防火墙的最基本的功能作用:区域隔离和访问控制
状态检测:防火墙转发流量时,产生会话表,返回流量如果有会话表,直接根据会话表返回。
路由器的acl是双向的,要么是同时通,或者同时不通。
华为防火墙,默认情况下,不同区域的接口默认就是不通的,同一个安全域内部之间是互通的,防火墙的安全策略默认情况控制单播流量【比如ospf,BGP,DHCP等列外也不受控制】,对组播和广播流量不做控制直接放行(也可对组播流量做控制),想让不同区域之间通讯,需要专门做策略放行。特殊情况:抵达华为防火墙自身的Telnet、SSH、http、https、SNMP、Netconf等管理类型流量,不受华为防火墙安全策略的控制。受接口下命令【service-manage +协议+permit/deny】的控制 。
当数据包经过防火墙时,防火墙先查看路由表,再看策略 ,产生会话表,返回数据包时,查看会话表中如果存在数据时,直接通过。所以在防火墙做策略时候,不需要考虑返回流量。
防火墙dmz区域:非军事区域、缓存区、隔离区
华为防火墙的安全域默认区域有四个
- trust 信任区域 一般链接办公网络
- Untrust 不信任区域 一般链接外网
- Dmz 隔离区 一般链接服务器
- Local 本地区域 防火墙本地(默认防火墙)【防火墙也做策略也不能直接ping其他区域的网络】
华为防火墙的基本配置【防火墙作为一个企业的出口,保证内部用户可以正常访问internet】
- 接口划分到安全区域并配置安全区域
- 上网Nat
- 路由
- 安全策略
防火墙的基础实验
实验拓扑:
实验效果
- 1 实现防火墙trust到DMZ和untrust的访问
- 2 实现防火墙tDMZ到untrust的访问
实验操作:
1.接口划分到安全区域并配置安全区域
2.配置安全策略
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 10.1.1.254 24
[USG6000V1-GigabitEthernet1/0/1]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip address 10.1.2.254 24
[USG6000V1-GigabitEthernet1/0/2]int g1/0/3
[USG6000V1-GigabitEthernet1/0/3]ip address 10.1.3.254 24
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int g1/0/1
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add int g1/0/2
[USG6000V1-zone-untrust]firewall zone dmz
[USG6000V1-zone-dmz]add int g1/0/3
配置策略
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name trust_un
[USG6000V1-policy-security-rule-trust_un]source-zone trust
[USG6000V1-policy-security-rule-trust_un]destination-zone untrust
[USG6000V1-policy-security-rule-trust_un]action permit
[USG6000V1-policy-security]rule name trust_dmz
[USG6000V1-policy-security-rule-trust_dmz]source-zone trust
[USG6000V1-policy-security-rule-trust_dmz]destination-zone dmz
[USG6000V1-policy-security-rule-trust_dmz]action permit
[USG6000V1-policy-security-rule-trust_dmz]q
[USG6000V1-policy-security]rule name dmz_un
[USG6000V1-policy-security-rule-dmz_un]source-zone dmz
[USG6000V1-policy-security-rule-dmz_un]destination-zone untrust
[USG6000V1-policy-security-rule-dmz_un]action permit
测试
trust ping untrust 和trust ping dmz
dmz ping untrust
untrust ping dmz 和untrust ping trust 不通
实验完成