作业十:防火墙的配置
文章目录
实验环境
实验思路
- 规划并配置IP
- 划分安全区域
- 配置安全策略
- 配置NAT
- 检查配置结果
具体实施
规划并配置IP
PC1
FW1
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 192.168.1.254 24
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 200.1.1.1 24
AR1
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 201.1.1.254 24
[AR1-GigabitEthernet0/0/1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 200.1.1.2 24
Server
划分安全区域
FW1
[FW1-GigabitEthernet1/0/0]firewall zone trust
[FW1-zone-trust]add interface g1/0/1
[FW1-zone-trust]firewall zone untrust
[FW1-zone-untrust]add interface g1/0/0
配置安全策略
FW1
[FW1]ip route-static 0.0.0.0 0 200.1.1.2
[FW1]security-policy
[FW1-policy-security]rule name t_u
[FW1-policy-security-rule-t_u]source-zone trust
[FW1-policy-security-rule-t_u]destination-zone untrust
[FW1-policy-security-rule-t_u]source-address 192.168.1.0 24
[FW1-policy-security-rule-t_u]service icmp
[FW1-policy-security-rule-t_u]action permit
配置NAT
FW1
[FW1]nat address-group 1
[FW1-address-group-1]section 200.1.1.10 200.1.1.10
[FW1-address-group-1]q
[FW1]nat-policy
[FW1-policy-nat]rule name t_u
[FW1-policy-nat-rule-t_u]source-zone trust
[FW1-policy-nat-rule-t_u]destination-zone untrust
[FW1-policy-nat-rule-t_u]source-address 192.168.1.0 24
[FW1-policy-nat-rule-t_u]action source-nat address-group 1
检查连通性
PC1 ping Server
PC>ping 201.1.1.1
Ping 201.1.1.1: 32 data bytes, Press Ctrl_C to break
From 201.1.1.1: bytes=32 seq=1 ttl=253 time=16 ms
From 201.1.1.1: bytes=32 seq=2 ttl=253 time=16 ms
From 201.1.1.1: bytes=32 seq=3 ttl=253 time=16 ms
From 201.1.1.1: bytes=32 seq=4 ttl=253 time=16 ms
From 201.1.1.1: bytes=32 seq=5 ttl=253 time<1 ms
--- 201.1.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 0/12/16 ms
g1/0/0抓包
g1/0/1抓包
实验总结
本次实验学习了防火墙的原理。防火墙用来保护一个网络区域免受另外一个网络区域的攻击或入侵。本次实验主要介绍了安全策略。安全策略是按照一定规则控制设备对流量转发和内容进行一次检测就能实现反病毒、入侵防御的策略。包过滤防火墙核心技术是访问控制列表,转发效率低且有安全隐患,而状态检测防火墙将属于同一连接的所有报文作为整体数据流,更加高效安全。状态机制开启时只有首包通过设备才能建立会话表,后续的包直接查找会话表匹配,通过会话中的五元组信息可以唯一确定通信双方的一条链路。防火墙也会在一段时间后删除会话。