防火墙简介
定义
防火墙(Firewall)是一种隔离技术,使内网和外网分开,可以防止外部网络用户以非法手段通过外部网络进入内部网络,保护内网免受外部非法用户的侵入。
目的
在大厦构造中,防火墙被设计用来防止火从大厦的一部分传播到另一部分。网络中的防火墙有类似的作用:
防止因特网的危险传播到私有网络。
在网络内部保护大型机和重要的资源(如数据)。
控制内部网络的用户对外部网络的访问。
安全域是防火墙功能实现的基础,防火墙的安全域包括安全区域和安全域间。
安全区域
在防火墙中,安全区域(Security Zone),简称为区域(zone),是一个或多个接口的组合,这些接口所包含的用户具有相同的安全属性。每个安全区域具有全局唯一的安全优先级。
设备认为在同一安全区域内部发生的数据流动是可信的,不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时,才会触发防火墙的安全检查,并实施相应的安全策略。
安全域间
任何两个安全区域都构成一个安全域间(Interzone),并具有单独的安全域间视图,大部分的防火墙配置都在安全域间视图下配置。
例如:配置了安全区域zone1和zone2,则在zone1和zone2的安全域间视图中,可以配置ACL包过滤功能,表示对zone1和zone2之间发生的数据流动实施ACL包过滤。
在安全域间使能防火墙功能后,当高优先级的用户访问低优先级区域时,防火墙会记录报文的IP、VPN等信息,生成一个流表。当报文返回时,设备会查看报文的IP、VPN等信息,因为流表里记录有发出报文的信息,所以有对应的表项,返回的报文能通过。低优先级的用户访问高优先级用户时,默认是不允许访问的。因此,把内网设置为高优先级区域,外网设置为低优先级区域,内网用户可以主动访问外网,外网用户则不能主动访问内网。
基于安全域的防火墙的优点
传统的交换机/路由器的策略配置通常都是围绕报文入接口、出接口展开的,随着防火墙的不断发展,已经逐渐摆脱了只连接外网和内网的角色,出现了内网/外网/DMZ(Demilitarized Zone)的模式。在这种组网环境中,传统基于接口的策略配置方式给网络管理员带来了极大的负担,安全策略的维护工作量成倍增加,从而也增加了因为配置引入安全风险的概率。
除了复杂的基于接口的安全策略配置,某些防火墙支持全局的策略配置,全局策略配置的缺点是配置粒度过粗,一台设备只能配置同样的安全策略,满足不了用户在不同安全区域或者不同接口上实施不同安全策略的要求,使用上具有明显的局限性。
与基于接口和基于全局的配置相比,基于安全域的防火墙支持基于安全区域的配置方式,通过将接口加入安全区域并在安全区域域间配置安全策略,既降低了网络管理员配置负担,又能满足复杂组网情况下针对安全区域实施不同攻击防范策略的要求。
配置ACL包过滤防火墙典型示例
组网需求如图5-22所示,Router的接口Eth2/0/0连接一个高安全优先级的内部网络,接口GE3/0/0连接低安全优先级的外部网络,需要对内部网络和外部网络之间的通信实施包过滤。具体要求如下:
- 外部特定主机(10.39.2.3)允许访问内部网络中的服务器。
- 其余的访问均不允许。
图5-22 配置ACL包过滤组网图
配置思路
采用如下思路配置ACL包过滤防火墙:
-
配置安全区域和安全域间。
-
将接口加入安全区域。
-
配置ACL。
-
在安全域间配置基于ACL的包过滤。
操作步骤
在Router上配置安全区域和安全域间。
<Huawei> system-view
[Huawei] firewall zone trust
[Huawei-zone-trust] priority 14
[Huawei-zone-trust] quit
[Huawei] firewall zone untrust
[Huawei-zone-untrust] priority 1
[Huawei-zone-untrust] quit
[Huawei] firewall interzone trust untrust
[Huawei-interzone-trust-untrust] firewall enable
[Huawei-interzone-trust-untrust] quit
在Router上将接口加入安全区域。
[Huawei] vlan 100
[Huawei-vlan100] quit
[Huawei] interface vlanif 100
[Huawei-Vlanif100] ip address 10.38.1.1 24
[Huawei-Vlanif100] quit
[Huawei] interface ethernet 2/0/0
[Huawei-Ethernet2/0/0] port link-type access
[Huawei-Ethernet2/0/0] port default vlan 100
[Huawei-Ethernet2/0/0] quit
[Huawei] interface vlanif 100
[Huawei-Vlanif100] zone trust
[Huawei-Vlanif100] quit
[Huawei] interface gigabitethernet 3/0/0
[Huawei-GigabitEthernet3/0/0] undo portswitch
[Huawei-GigabitEthernet3/0/0] ip address 10.39.2.1 24
[Huawei-GigabitEthernet3/0/0] zone untrust
[Huawei-GigabitEthernet3/0/0] quit
在Router上配置ACL。
[Huawei] acl 3102
[Huawei-acl-adv-3102] rule permit tcp source 10.39.2.3 0.0.0.0 destination 10.38.1.2 0.0.0.0
[Huawei-acl-adv-3102] rule permit tcp source 10.39.2.3 0.0.0.0 destination 10.38.1.3 0.0.0.0
[Huawei-acl-adv-3102] rule permit tcp source 10.39.2.3 0.0.0.0 destination 10.38.1.4 0.0.0.0
[Huawei-acl-adv-3102] rule deny ip
[Huawei-acl-adv-3102] quit
在Router上配置包过滤。
[Huawei] firewall interzone trust untrust
[Huawei-interzone-trust-untrust] packet-filter 3102 inbound
[Huawei-interzone-trust-untrust] quit
验证配置结果。
配置成功后,仅特定主机(10.39.2.3)可以访问内部服务器。
在Router上执行display firewall interzone [ zone-name1 zone-name2 ]命令,结果如下。
[Huawei] display firewall interzone trust untrust
interzone trust untrust
firewall enable
packet-filter default deny inbound
packet-filter default permit outbound
packet-filter 3102 inbound
配置文件
Router的配置文件
#
vlan batch 100
#
acl number 3102
rule 5 permit tcp source 10.39.2.3 0 destination 10.38.1.2 0
rule 10 permit tcp source 10.39.2.3 0 destination 10.38.1.3 0
rule 15 permit tcp source 10.39.2.3 0 destination 10.38.1.4 0
rule 20 deny ip
#
interface Vlanif100
ip address 10.38.1.1 255.255.255.0
zone trust
#
firewall zone trust
priority 14
#
firewall zone untrust
priority 1
#
firewall interzone trust untrust
firewall enable
packet-filter 3102 inbound
#
interface Ethernet2/0/0
port link-type access
port default vlan 100
#
interface GigabitEthernet3/0/0
undo portswitch
ip address 10.39.2.1 255.255.255.0
zone untrust
#
return
5486
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
