路由器基础(十):防火墙配置

已于 2023-11-03 23:54:44 修改
阅读量1.5k 收藏
点赞数
分类专栏: Network 文章标签: 服务器 运维
于 2023-11-03 23:39:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/limengshi138392/article/details/134212637
版权
本文详细介绍了防火墙的工作原理,包括安全区域的创建、安全级别设定、安全域间的定向规则,以及配置基本步骤,如添加接口、配置安全策略和NATALG功能。以一个企业网络配置案例为例,展示了如何在NGFW上实现内外网通信控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、防火墙默认的区域

        防火墙是基于安全区域进行工作的安全设备。 一个安全区域是若干接口所连网络的集合,这些网络中的用户具有相同的安全属性。

        通常防火墙认为在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时,才会 触发设备的安全检查,并实施相应的安全策略。不同安全区域通过安全级别 设定,安全级别用1~100的数字表示,数字越大表示安全级别越高。系统缺 省已经创建了四个安全区域。用户可以根据需求创建新的安全区域并定义其 安全等级。安全区域创建完成后,还需要将相应接口加入安全区域。接口只 有在加入安全区域之后,从该接口接收的或发送出去的报文才会被认为属于该安全区域;否则接口默认不属于任何安全区域,将不能通过该接口与其他安全区域通信。防火墙中有一些默认的安全区域无须创建,也不能删除。用户不能改变Local区域本身的任何配置,如向其中添加接口。

区域名称

安全级别

说明

     (Untrust)

低安全级别的安 全区域,安全级 别为5

通常用于定义Internet等不安全的网络

非军事化区域

(DMZ)

中等安全级别的 安全区域,安全 级别为50

通常用于定义内网服务器所在区域。所以将其 部署一个安全级别比Trust低但比Untrust高的 安全区域中

      

(Trust)

较高安全级别的 安全区域,安全 级别为85

通常用于定义内网终端用户所在区域

      

(Local)

最高安全级别的 安全区域,安全 级别为100

Local区域定义设备本身,包括设备的各接口。 凡是由设备生成并发出的报文都认为是从

Local区域发出的,凡是需要设备响应并处理 的报文都认为是由Local区域接受的。

用户不能改变Local区域本身的任何配置,如 向其中添加接口

 二、安全域间与方向

         防火墙的安全防范能力取决于防火墙中设置的安全策略。防火墙中任意两个安全区域之间构成一个安全域间 (Interzone),防火墙的大部分安全策略都是在安全域间配置的。在同一个安全域间内转发的流量, 安全域间设置的安全策略是不起作用的。安全域间的数据流动具有方向性,包括入方向 (Inbound)  出方向 (Outbound)。

        1)入方向:数据由低优先级的安全区域向高优先级的安全区域传输。

        2)出方向:数据由高优先级的安全区域向低优先级的安全区域传输。

        通常情况下,安全域间的两个方向上都有信息传输。在判断方向时,以发起该条流量的第一个报文为准。例如,在Trust区域的一台主机发起向Untrust区域的某服务器的连接请求。由于Untrust区域的安全级别比Trust 区域低,所以防火墙认为这个报文属于Outbound 方向,并根据Outbound 方向上的安全策略决定是放行还是丢弃。如果这个连接能够成功建立,防火墙就会在会话表中增加一条会话记录。

         会话表中记录了连接的五个基本属性:源/目的IP地址、源/目的端口号、 协议。之后匹配此会话信息的所有报文,如主机后续发给服务器的报文  和服务器返回给主机的报文,都根据会话表来进行处理,而不重新检查  安全策略。若防火墙只开放了TrustUntrustOutbound 方向,而关闭了Inbound 方向的安全策略,Trust 区域内的主机可以主动向Untrust区域内的主机发起连接,即使Untrust返回的报文也可以正常通过。而  Untrust区域内的主机不能主动向Trust区域内的主机发起连接,只能被  动接受Trust区域内的用户发起的连接。另外要特别注意,只有当数据在安全域间流动时,才会触发设备进行安全策略的检查。

三、配置防火墙的基本步骤 

(1)防火墙中创建区域。

system-view                //进入系统视图

firewall  zone  [name]zone-name        //创建安全区域,并进入安全区域视图

set  priority security-priority        //为新创建的安全区域配置优先级,优先级一旦设定,不能更改

add interface interface-type interface-number        //将接口加入安全区域

(2)进入安全域间视图

        只有当不同安全区域之间发生数据流动时,才会触发安全检查。所以如 果想对跨安全区域的流量进行控制,需要进入安全域间并应用各种安全策略。其中方向的定义从高安全级别去往低安全级别区域的是outbound 方向,如从trust 区域去往untrust 区域的就是outbound;    之则是inbound 方向。

system-view        // 进入系统视图

firewall interzone zone-namel zone-name2  //进入安全域间视图

        在域间视图下,使用detect 协议名,对指定协议启用NATALG功能。也 可以使用aspf  packet-filter  ACLnumber   inbound/outbound设置域间 ACL。 由于版本关系,部分版本不需要使用aspf, 直接使用packet-filter  ACLnumber   inbound/outbound即可设置域间ACL策略。

四、配置案例

        某企业网络的拓扑如图所示,网络中部署了NGFW 作为安全网关。 使内网Trust 区域的用户可以访问外网Untrust 区域。在DMZ区域  部署了Web 服务器和FTP 服务器,这两台服务器能通过10.1.1.100地址对Untrust 区域用户提供服务。假设Untrust 区域 与防火墙对接的IP地址为10.1.1.2。如下图所示:

<NGFW>system-view

[NGFW]interface GigabitEthernet 1/0/3

[NGFW-GigabitEthernet1/0/3]ip address 10.1.3.124         //按照拓扑图配置好各个接口IP地址

[NGFW-GigabitEthernet1/0/3]quit

[NGFW]interface GigabitEthernet 1/0/1

[NGFW-GigabitEthernet1/0/1]ip address 10.1.1.124

[NGFW-GigabitEthernet1/0/1]quit

[NGFW]interface GigabitEthernet 1/0/2

[NGFW-GigabitEthernet1/0/2]ip address 10.1.2.124

[NGFW-GigabitEthernet1/0/2]quit

[NGFW]firewall zone trust         //向配置好的区域中加入相应的接口

[NGFW-zone-trust]add interface GigabitEthernet 1/0/3

[NGFW-zone-trust]quit

[NGFW]firewall zone untrust

[NGFW-zone-untrust]add interface GigabitEthernet 1/0/1

[NGFW-zone-untrust]quit

[NGFW]firewall zone dmz

[NGFW-zone-dmz]add interface GigabitEthernet 1/0/2

[NGFW-zone-dmz]quit

[NGFW]security-policy

//根据拓扑和配置要求,创建TrustUntrust域间安全策略,允许Trust区域的用户可访问Untrust

[NGFW-policy-security]rule name policy1

[NGFW-policy-security-rule-policy1]source    zone     trust

[NGFW-policy-security-rule-policy1]destination     zone      untrust

[NGFW-policy-security-rule-policy1]source-address   10.1.3.0   mask   24

[NGFW-policy-security-rule-policy1]destination-address  10.1.1.0    mask    24

[NGFW-policy-security-rule-policy1]action permit

[NGFW-policy-security-rule-policy1]quit

[NGFW-policy-security]quit

[NGFW]firewall interzone dmz untrust

[NGFW-dmz-untrust]detect ftp

//配置域间NATALG功能,使服务器可以正常对外提供FTP 服务,部分应用协议通过防火墙需要用NAT ALG功能,否则无法正常工作,如FTP

 [NGFW-dmz-untrust]quit

[NGFW]nat server policyweb protocol tcp global 10.1.1.10080  inside 10.1.1.280 no-reverse //配置内部地址映射到外网地址

[NGFW]nat  server  policyftp  protocol  tcp  global  10.1.1.10021  inside 10.1.1.321 no-reverse //配置内部地址映射到外网地址

[NGFW]ip  route-static  0.0.0.00.0.0.010.1.1.2  //最后,在NGFW上配置缺省路由,使内网流量可以正常转发至ISP的路由器

网络入门:防火墙路由器、交换机三者到底有啥区别?
网络技术联盟站
06-12 2223
防火墙路由器和交换机是网络架构中三个重要的设备,它们在保护网络安全、优化数据传输和管理网络连接方面发挥着各自的作用。防火墙主要用于保护网络免受威胁,通过过滤和检测数据包来控制网络流量。路由器负责在不同网络之间传输数据包,根据路由表选择最佳路径。交换机则用于在局域网内连接多个设备,通过MAC地址表进行数据帧的转发。交换机:交换机位于网络的底层,负责连接网络中的各种设备,如电脑、打印机等。当这些设备需要互相通信时,交换机会根据目标设备的MAC地址,将数据包直接发送到目标设备,从而实现高效的数据传输。路由器
路由器防火墙配置命令
最新发布
google20的博客
03-14 810
路由器配置命令
路由器防火墙配置(14)
yyj1781572的博客
02-23 5549
Packet Tracer 是由Cisco公司发布的一个辅助学习工具,为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。本实验主要介绍了路由器防火墙的工作原理,学会路由器防火墙功能配置方法。主要包括网路地址转换、数据包过滤功能等。
路由器防火墙配置命令
编程资料大全
08-02 420
一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | d...
如何配置防火墙?看这篇就够了
热门推荐
wuli1024的博客
11-27 1万+
例如,一个企业按图 1-3 划分防火墙安全区域,内网接口加入 trust 安全区域,外网接口加入 untrust 安全区域服务器区接口加入 dmz 安全区域,另外为访客区自定义名称为 guest 的安全区域。反之如果防火墙主动访问其他安全区域的对象,例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等,需要配置 local 到其他安全区域的安全策略。另外除了物理接口,防火墙还支持逻辑接口,如子接口、VLANIF、Tunnel 接口等,这些逻辑接口在使用时也需要加入安全区域
如何配置防火墙?看这篇就够了_防火墙设置
Spontaneous_0的博客
09-29 6876
防火墙是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵。
华为防火墙配置笔记
weixin_30375247的博客
07-05 7075
防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。 初始化防火墙 初始化防火墙: 默认用户名为admin,默认的密码Admin@12...
网络工程师考试模拟器:路由器、交换机及防火墙配置
模拟器提供的防火墙配置功能,允许用户创建和管理安全策略,以保护网络不受外部攻击或内部威胁的侵害。 在网络工程考试中,除了理论知识,实际配置能力的考察也占有很大的比重。因此,网络工程师下午题模拟器通过...
路由器基础知识:数据同步与服务器传输指南
路由器基础知识与数据同步过程 在讨论路由器基础和数据同步过程之前,我们首先需要明确路由器的定义。路由器是一种网络设备,它可以连接两个或多个网络,并将数据从一个网络传输到另一个网络。路由器的基本功能包括...
CISCO路由器配置详解:从基础到高级设置
CISCO路由器配置手册详细介绍了路由器配置基础和高级功能,帮助用户理解和掌握路由器的操作与管理。以下是各章节的主要知识点: 1. 第一章 - 路由器配置基础 - 基本设置方式:包括使用Console口、AUX口、通过...
Cisco路由器配置大全:从基础到高级实战
"这篇资源提供了丰富的CISCO路由器配置实例,涵盖了从基础配置到高级功能的多个方面,包括用户接入、远程拨号、HSRP、ISDN备份、路由器调试、策略路由、DHCP配置、VOIP设置、Modem配置、BGP+EIGRP、ADSL配置、安全...
第四二讲:神州防火墙路由模式的初始配置
weixin_41687096的博客
01-06 1715
神州防火墙路由模式的初始配置.
安全第一天-防火墙的基本配置
weixin_59074966的博客
03-17 733
防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备授权用户非授权用户防火墙是一种阻隔(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备。区域的划分,根据安全等级来划分区域拥有不同的安全等级,内网(trust)一般是100(满分),外网(untrust)一般是0-10,服务器区(DMZ)一般是50简单,速度慢检查的颗粒粗--5元组(源地址,目标地址,协议,源端口,目标端口)简单、速度快检查的颗粒度粗降低包过滤颗粒度的一种做法,区域之间通信使用固定设备。
防火墙配置【最详细的实验演示】
ZL_1618的博客
03-09 3053
以上操作可定义一个名称为new,优先级为60的安全域。
防火墙区域配置
weixin_46516401的博客
03-31 979
什么是防火墙防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。
防火墙的简单介绍以及安全区域配置
坏坏-5的博客
07-10 390
关于防火墙的介绍,区域划分以及安全策略的匹配原则。TCP会话的过程、防火墙区域划分配置、安全策略配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

梦实学习室

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值