华为数通-防火墙IP、区域、域间策略配置

👨‍ Biaoge ⏰于2023-09-21 15:36发布 👓阅读量：10109 🏷️文章类型：【 网络规划·毕设 】

eNSP拓扑图

如图设备是：FW1是USG6000v、AR1是AR2220、LSW1是S5700

---

规划IP

IP规划，如图所示

配置（仅在防火墙上配置）：

[FW-BiaoGe]int g1/0/0
[FW-BiaoGe-GigabitEthernet1/0/0]ip add 10.10.10.1 16
[FW-BiaoGe-GigabitEthernet1/0/0]q [FW-BiaoGe]int g1/0/1
[FW-BiaoGe-GigabitEthernet1/0/1]ip add 192.168.1.1 24
[FW-BiaoGe-GigabitEthernet1/0/1]q [FW-BiaoGe]int g1/0/6
[FW-BiaoGe-GigabitEthernet1/0/6]ip add 192.168.2.1 24
[FW-BiaoGe-GigabitEthernet1/0/6]q [FW-BiaoGe]

---

区域规划

解释：

Trust:该区域内网络的受信任程度高，通常用来定义内部用户所在的网络。

Untrust:该区域代表的是不受信任的网络，通常用来定义Internet 等不安全的网络。

DMZ（Demilitarized非军事区）:该区域内网络的受信任程度中等，通常用来定义内部服务所在的网络。

简单理解与应用：

Trust：公司、校园网的内部网络接口（内网）

Untrust：外部区域的接口（外网）

DMZ：连接服务器的网络接口

规划如图：红色区域是Untrust、绿色区域是Trust、黄色区域是DMZ

配置：

[FW-BiaoGe]firewall zone untrust
[FW-BiaoGe-zone-untrust]add int g1/0/0
[FW-BiaoGe-zone-untrust]q
[FW-BiaoGe]firewall zone trust
[FW-BiaoGe-zone-trust]add int g1/0/1
[FW-BiaoGe-zone-trust]q
[FW-BiaoGe]firewall zone dmz
[FW-BiaoGe-zone-dmz]add int g1/0/6
[FW-BiaoGe-zone-dmz]q
[FW-BiaoGe]

---

配置策略

防火墙策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略。它主要用于保护特定网络免受“不信任”网络的攻击，同时允许两个网络之间进行合法的通信。

通俗来讲，就是允许或者拒绝某一IP、IP段、区域到某一IP、IP段、区域的规则。

设想，我们要外网能访问我们公司的服务器，我们该怎么办呢？

外网：即untrust区域

服务器：即dmz区域

只要我们写一条允许untrust到dmz区域的流量即可。

理论成立，实践开始！

[FW-BiaoGe]security-policy　　　　　　　　　　　　　　　　#进入到域间策略配置视图
[FW-BiaoGe-policy-security]rule name untrust_to_dmz　　　　#创建一个策略（名字自定义）
[FW-BiaoGe-policy-security-rule-untrust_to_dmz]source-zone untrust 　　　#源区域：untrust（非信任区域：外网）
[FW-BiaoGe-policy-security-rule-untrust_to_dmz]destination-zone dmz　　　#目的区域：dmz（军事化区域：服务器区域）
[FW-BiaoGe-policy-security-rule-untrust_to_dmz]action permit 　　　　　　　#行为：允许通过
[FW-BiaoGe-policy-security-rule-untrust_to_dmz]q
[FW-BiaoGe-policy-security]

设想，发现外网的20.20.20.0/24在攻击我们的公司服务器，我们该怎么阻止呢？

外网：即untrust区域

服务器：即dmz区域

只要我们写一条拒绝untrust的IP：20.20.20.0/24到dmz区域的流量即可。

理论成立，实践开始！

[FW-BiaoGe]security-policy　　　　　　　　　　　　　　　　#进入到域间策略配置视图
[FW-BiaoGe-policy-security]rule name 20_to_dmz　　　　　　　　　　　#创建一个策略（名字自定义）
[FW-BiaoGe-policy-security-rule-20_to_dmz]source-zone untrust　　　#源区域：untrust（非信任区域：外网）
[FW-BiaoGe-policy-security-rule-20_to_dmz]destination-zone dmz　　　#目的区域：dmz（军事化区域：服务器区域）
[FW-BiaoGe-policy-security-rule-20_to_dmz]source-address 20.20.20.0 24　　　#源地址：untrust的为20.20.20.0网段的IP（非信任区域：外网）
[FW-BiaoGe-policy-security-rule-20_to_dmz]action deny 　　　　　　　　　　　#行为：拒绝通过
[FW-BiaoGe-policy-security-rule-20_to_dmz]q

---

更多扩展：

local区域：是指防火墙上的接口，对于防火墙而言属于本地（无法更改）。

区域的安全等级：

local：100

trust：85

dmz：50

untrust：5

防火墙默认是安全等级高的区域可以访问等级低的区域，反之不可（如果等级低区域访问等级高区域，需要创建域间策略）。

---

如果想Ping通防火墙上的接口IP，需要在防火墙接口上开启Ping服务，如下：

（注意：此功能仅用于测试，实际应用和毕业设计中不应开启）

[FW-BiaoGe]int g1/0/0
[FW-BiaoGe-GigabitEthernet1/0/0]service-manage ping permit　　　　　　　　#开启端口服务

还要在域间策略中设置，local区域可以被其他区域访问

[FW-BiaoGe]security-policy
[FW-BiaoGe-policy-security]rule name all_to_local　　　　　　　　　　　　　#创建策略
[FW-BiaoGe-policy-security-rule-all_to_local]source-zone untrust　　　　　#源区域：外网
[FW-BiaoGe-policy-security-rule-all_to_local]source-zone trust　　　　　　　#源区域：内网
[FW-BiaoGe-policy-security-rule-all_to_local]source-zone dmz　　　　　　　#源区域：服务器
[FW-BiaoGe-policy-security-rule-all_to_local]destination-zone local　　　　　#目的区域：防火墙本地
[FW-BiaoGe-policy-security-rule-all_to_local]action permit 　　　　　　　　　#行为：允许通过
[FW-BiaoGe-policy-security-rule-all_to_local]q