文章目录
eNSP实验——防火墙配置(Zone 区域配置 + 安全策略配置)
仅供参考
基础概念
一、防火墙简介
1. 防火墙的定义
防火墙(Firewall)是一种网络安全设备(硬件或软件),用于监控和控制进出网络的流量,基于预定义的安全规则允许或阻止数据包的传输。其主要目的是在可信网络(内网)和不可信网络(外网) 之间建立安全屏障,防止未授权访问、恶意攻击和数据泄露。
防火墙既可以是二层设备,也可以是三层设备,具体取决于其工作模式和部署场景。
| 特性 | 三层防火墙 | 二层防火墙 |
|---|---|---|
| 工作层级 | 网络层(Layer 3) | 数据链路层(Layer 2) |
| IP地址需求 | 需要配置IP地址和路由 | 无需IP地址,透明转发 |
| 部署影响 | 需调整路由表 | 对网络拓扑无影响 |
| 过滤依据 | IP/端口/协议 | MAC地址/VLAN/二层协议 |
| 典型用途 | 边界防护、跨子网隔离 | 内部流量监控、隐身部署 |
2. 防火墙的核心功能
- 访问控制
- 基于源/目标IP、端口、协议等过滤流量(如阻止外部访问内部数据库)。
- 网络地址转换(NAT)
- 隐藏内网IP,提供地址转换(如将多个内网IP映射到一个公网IP)。
- 状态检测(Stateful Inspection)
- 跟踪连接状态(如仅允许已建立的TCP会话返回流量)。
- 应用层过滤(DPI)
- 识别并控制特定应用(如阻断P2P软件或恶意HTTP请求)。
- 日志与审计
- 记录流量日志,用于安全分析和合规性检查。
- VPN支持
- 提供加密隧道(如IPSec/SSL VPN)保障远程访问安全。
3. 防火墙的类型
| 类型 | 特点 | 典型应用场景 |
|---|---|---|
| 包过滤防火墙 | 基于IP/端口过滤,无状态检测,性能高但安全性较低。 | 早期网络、简单边界防护 |
| 状态检测防火墙 | 跟踪连接状态,动态允许合法返回流量,安全性更高。 | 企业网络边界防护 |
| 应用层防火墙(WAF) | 深度解析HTTP/HTTPS流量,防御SQL注入、XSS等Web攻击。 | Web服务器保护 |
| 下一代防火墙(NGFW) | 集成IPS、AV、沙箱等功能,支持应用识别和用户策略。 | 高级威胁防护(如APT防御) |
| 云防火墙 | 虚拟化部署,适用于云环境(如AWS Security Group、Azure Firewall)。 | 公有云/混合云安全 |
防火墙核心特性
- 状态化检测机制
- 默认拒绝原则(Implicit Deny)
- 安全区域隔离逻辑
与传统网络设备对比
| 特性 | 防火墙 | 交换机/路由器 |
|---|---|---|
| 默认行为 | 拒绝所有流量 | 允许同网段/VLAN流量 |
| 控制维度 | L2-L7深度检测 | L2/L3基础转发 |
防火墙的特殊性:
- 基础要求更严格:
- 必须配置接口IP地址
- 必须将接口划分到安全区域(Zone)
- 必须手动配置安全策略放行流量
- 默认安全策略:
- "默认拒绝"原则(Default Deny)
- 不做任何配置时,所有流量都会被过滤
- 必须显式配置才能允许特定流量
- 多层控制机制:
- 基于安全区域的隔离(Zone)
- 细粒度的安全策略控制(Policy)
- 状态化检测(Stateful Inspection)
- 可选的服务管理控制(Service-Manage)
二、安全区域(Zone)
1. Zone 定义
Zone(安全区域) 是华为防火墙中用于 逻辑划分网络边界 的核心概念,通过将物理接口或子网分配到不同安全区域,实现:
- 网络隔离:不同 Zone 默认禁止互访
- 策略控制:基于 Zone 定义流量放行规则
- 信任分级:标识网络的安全等级(如内网=高信任,外网=低信任)
📌 本质:Zone 是安全策略的容器,防火墙通过 Zone 间规则决定流量是否允许通过。
2. 核心特性
2.1 基础特性
| 特性分类 | 详细说明 | 配置示例 | 关联 |
|---|---|---|---|
| 接口绑定 | 每个物理/逻辑接口必须且只能属于一个Zone | add interface GigabitEthernet0/0/1 | VLAN、子接口 |
| 优先级机制 | 1-100表示信任等级(Local=100固定),数值越大可信度越高 | set priority 85 | 策略匹配顺序 |
| 默认访问规则 | 不同Zone间默认禁止通信,需显式放行;同Zone内默认允许(可关闭) | intra-zone default deny | 白名单模型 |
| 方向性控制 | 策略需明确指定源Zone→目的Zone(如Trust→DMZ) | source-zone Trust | 安全策略 |
2.2 高级特性
| 特性分类 | 详细说明 | 配置示例 | 关联 |
|---|---|---|---|
| 三维度隔离 | 网络层(IP划分)、协议层(ICMP限制)、应用层(APP识别)立体隔离 | rule deny protocol icmp | ACL/应用识别 |
| 策略匹配机制 | 按策略列表顺序匹配,首条命中后立即生效;末尾隐含deny any规则 | display security-policy all | 策略优化 |
| 与ACL/NAT绑定 | 所有ACL必须关联Zone;NAT策略需基于Zone配置(如Untrust→DMZ端口映射) | nat-policy interzone Untrust DMZ | 地址转换 |
3. Zone 基础概念
备注:想要不同优先级通信其实就是不同Zone之间通信,因为一个Zone只有一个优先级,但是自定义创建Zone时,优先级不能和默认的Zone的优先级重复(数字越大,优先级越高)。
3.1 Zone 类型
| 区域类型 | 安全级别 | 典型用途 | 访问权限 | 默认优先级 | 优先级范围 | 跨区域通信特性 |
|---|---|---|---|---|---|---|
| Local | 最高 | 防火墙自身管理 | 严格管控 | 100 | 固定不可变 | • 禁止Untrust→Local • 允许Trust→Local需策略 |
| Trust | 高 | 内部可信网络 | 较宽松 | 85 | 1-100 | • Trust→DMZ默认拒绝 • Trust→Untrust需策略 |
| DMZ | 中 | 对外服务区 | 受限访问 | 50 | 1-100 | • DMZ→Trust默认拒绝 • Untrust→DMZ需NAT策略 |
| Untrust | 低 | 不可信网络(如Internet) | 严格限制 | 5 | 1-100 | • 禁止Untrust→Trust • Untrust→DMZ需严格策略 |
3.2 不同 Zone 通信规则
防火墙五元组策略控制矩阵
源Zone → 目的Zone | 源IP | 目的IP | 服务(端口/协议) | 动作(允许/拒绝)
| 策略要素 | 字段类型 | 配置示例 | 通配符支持 |
|---|---|---|---|
| 源安全区域 | Zone名称 | source-zone Trust | any (任意区域) |
| 目的安全区域 | Zone名称 | destination-zone DMZ | any |
| 源IP地址 | IPv4/IPv6地址/网段 | source-address 192.168.1.0/24 | 0.0.0.0/0 (任意IP) |
| 目的IP地址 | IPv4/IPv6地址/网段 | destination-address 10.0.1.100 | 0.0.0.0/0 |
| 服务(端口/协议) | 协议+端口组合 | service HTTP (TCP/80) | ANY (所有服务) |
示例:允许内网访问 DMZ 区域的 Web 服务:
Trust → DMZ | 192.168.1.0/24 | 10.0.1.100 | HTTP(80) | Permit
# 允许内网访问DMZ的Web服务
rule name "Permit_Trust_to_DMZ_Web" # 策略规则命名
source-zone Trust # 源安全区域:信任的内网区域
destination-zone DMZ # 目标安全区域:对外服务的DMZ区域
source-address 192.168.1.0/24 # 源IP范围:允许192.168.1.0网段的所有主机
destination-address 10.0.1.100 # 目标服务器:DMZ区的Web服务器IP
service HTTP # 允许的服务:HTTP协议(TCP 80端口)
action permit # 动作:允许通过
备注:示例里面配置的是内网访问DMZ区域的Web服务,但是Web服务不能访问内外,这里做的是单向通信。
三、安全策略配置
1. 安全策略的定义(Security Policy)
安全策略(Security Policy)是华为防火墙的核心控制机制,是一组规则,用于定义允许或拒绝特定流量/行为的准则,用于精细化管控不同安全区域(Zone)之间的数据流。
安全策略是华为防火墙的流量管控中枢,通过规则集实现:
- 精准控制:基于安全区域(Zone)的访问权限管理
- 流量过滤:五元组(IP/端口/协议)+ 时间/用户等多维条件
- 深度防护:与IPS/AV/URL过滤等安全服务无缝联动
📌 本质:安全策略是防火墙的"交通警察",决定哪些流量可以通行,哪些需要拦截。
2. 安全策略的特性
| 特性 | 说明 |
|---|---|
| 基于Zone的管控 | 必须指定源/目的安全区域(如Trust→DMZ) |
| 五元组匹配 | 支持源/目的IP、服务(端口/协议)、时间、用户等多维度条件组合 |
| 状态化检测 | 自动跟踪合法连接状态(如TCP会话) |
| 策略优先级 | 按配置顺序从上到下匹配,首条匹配规则生效 |
| 日志记录 | 可记录策略命中情况,用于安全审计 |
| 与NAT联动 | 支持在策略中引用NAT规则 |
3. 安全策略的基本概念
3.1 策略组成要素
rule name <规则名称>
source-zone <源区域>
destination-zone <目的区域>
source-address <源IP/网段>
destination-address <目的IP/网段>
service <协议/端口>
action <permit/deny>
[可选] time-range <时间范围>
[可选] profile <安全配置文件>
3.2 策略匹配机制
| 机制类型 | 说明 |
|---|---|
| 匹配顺序 | 按策略ID从小到大逐条匹配,首条匹配成功后立即执行动作(后续规则跳过) |
| 默认策略 | 所有未明确允许的流量自动拒绝(符合等保"默认拒绝"原则) |
| 隐式规则 | 同Zone内设备默认互通(可通过inter-zone default deny关闭) |
| 特殊规则 | 本地策略(Local)、管理策略(Management)优先于普通策略 |
3.3 策略动作类型
| 动作类型 | 说明 | 典型应用场景 |
|---|---|---|
| permit | 允许通过 | 放行合法业务流量 |
| deny | 拒绝并丢弃 | 阻断已知威胁流量 |
| log | 仅记录不拦截(需配合其他动作) | 安全审计/攻击行为分析 |
- 默认策略:通常为“隐式拒绝”(未明确允许的流量均拒绝)。
- 策略粒度:可细化到用户、应用层协议(如HTTP方法)。
- 策略组(Policy Group):将同类策略归类管理(如“远程访问策略组”)。
- 策略优化:需定期合并冗余规则,避免策略膨胀。
四、对防火墙与常规二/三层设备通信特性的对比
| 设备类型 | 基础通信条件 | 默认行为 |
|---|---|---|
| 二层交换机 | ▶ 同VLAN内设备直连即可通信 ▶ 依赖MAC地址表进行转发 | 允许所有同VLAN流量 |
| 三层设备 (路由器/三层交换) | ▶ 接口配置同网段IP即可通信 ▶ 依赖路由表转发 | 允许同网段直连通信 |
| 防火墙 | ▶ 必须满足以下所有条件: - 接口IP配置正确 -接口通过流量 - 接口加入安全区域(Zone) - 配置安全策略允许流量 | 默认拒绝所有流量 |
五、防火墙通信的要素
1. 接口基础配置(配置接口IP地址)
interface GigabitEthernet 0/0/1
ip address 192.168.1.1 24 # 配置接口IP地址
2. 安全区域绑定(把防火墙接口划入Zone)
firewall zone trust # Trust区域
add interface GigabitEthernet 0/0/1 # 在Trust区域加入GigabitEthernet 0/0/1接口
3. 安全策略放行(基于五元组配置)
security-policy # 安全策略配置
rule name allow_traffic # 策略规则命名
source-zone trust # 源 Zone
destination-zone untrust # 目的 Zone
action permit # 允许通过
如果想要不同Zone之间通信,需要配置安全策略放行
4. 服务管理(如需管理防火墙本身)
interface GigabitEthernet 0/0/1
service-manage ping permit # 允许 ping 防火墙接口
interface GigabitEthernet 0/0/1
service-manage all permit # 放行接口所有服务(可选)
六、其他补充(直连防火墙通信)
1. 关于二层交换机和三层设备的通信
- 二层交换机:
同一 VLAN 内的主机通过 MAC 地址直接通信(无需配置),跨 VLAN 需三层设备介入。 - 三层设备直连(路由器/三层交换机):
同网段配置 IP 后可直接通信,但需注意:- 如果启用 ACL 或防火墙功能(如三层交换机的端口安全),可能仍需放行规则。
- 某些厂商设备默认启用 ICMP 拦截
2. 关于防火墙的通信机制
- 防火墙的默认行为:
防火墙默认拒绝所有流量(隐式 Deny All),必须显式配置安全策略才能放行。- 接口本身不“过滤”服务,而是由安全策略(Security Policy)控制流量。
- Zone 的作用:
- 接口必须加入 Zone(如
trust、untrust),但同 Zone 的接口间仍需策略放行 - 跨 Zone 通信必须配置策略。
- 接口必须加入 Zone(如
- 补充:
- 防火墙的接口 IP 仅用于路由和管理,不直接影响流量转发。
- 例外情况:
- 某些防火墙的“虚拟路由器”允许接口间路由,但仍需安全策略。
- 管理接口(如 MGMT)可能默认允许 SSH/HTTPS,但数据接口严格拦截。
防火墙直连两台PC通信(以这个拓扑图参考)
这里要清楚的是,即使是配置了防火墙的接口IP地址,也就是PC通往的网关,依然是不能够通信的,因为防火墙本身只要是没有做配置,像Zone和策略之类的,全部都默认拒绝。
1. 防火墙配置接口IP
[FW]dis ip int b
2025-03-31 11:55:35.800
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
(d): Dampening Suppressed
(E): E-Trunk down
The number of interface that is UP in Physical is 4
The number of interface that is DOWN in Physical is 6
The number of interface that is UP in Protocol is 4
The number of interface that is DOWN in Protocol is 6
Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/0 192.168.0.1/24 down down
GigabitEthernet1/0/0 192.168.1.254/24 up up
GigabitEthernet1/0/1 192.168.2.254/24 up up
GigabitEthernet1/0/2 unassigned down down
GigabitEthernet1/0/3 unassigned down down
GigabitEthernet1/0/4 unassigned down down
GigabitEthernet1/0/5 unassigned down down
GigabitEthernet1/0/6 unassigned down down
NULL0 unassigned up up(s)
Virtual-if0 unassigned up up(s)
[FW]
2. PC1 ping防火墙的接口IP地址
可以看到只有192.168.1.1的主机给防火墙发送数据包,而防火墙的接口(192.168.1.254)并没有给192.168.1.1主机回应这个数据包,也就是说数据包到了防火墙的接口时就已经被过滤掉了。PC2这边也是一样的,没有划分zone和通过接口流量都是这样被拒绝数据包。
3. 防火墙和直连设备通信
- (1)需要先把接口划入zone
- 默认zone自带优先级,如果是自定义的zone需要手动配置优先级,否则zone无法生效,一样默认被防火墙过滤数据包
- (2)把接口的所有服务放行
- 如果只用ICMP协议,
service-manage ping permit就可以了
- 如果只用ICMP协议,
配置完之后再看PC2能否ping通防火墙。
# PC1
[FW]firewall zone trust # 进入firewall的trust(信任区域)
[FW-zone-trust]add int g1/0/0 # **加入g1/0/0接口到trust(信任区域)**
[FW-zone-trust]q
[FW]
[FW]int g1/0/0
[FW-GigabitEthernet1/0/0]ip address 192.168.1.254 24
[FW-GigabitEthernet1/0/0]
[FW-GigabitEthernet1/0/0]service-manage all permit # **放行通过所有服务**
[FW-GigabitEthernet1/0/0]
# PC2
[FW]firewall zone trust # 进入firewall的trust(信任区域)
[FW-zone-trust]add int g1/0/1 # **加入g1/0/1接口到trust(信任区域)**
[FW-zone-trust]q
[FW]
[FW]int g1/0/1
[FW-GigabitEthernet1/0/1]ip address 192.168.2.254 24
[FW-GigabitEthernet1/0/1]
[FW-GigabitEthernet1/0/1]service-manage all permit # **放行通过所有服务**
[FW-GigabitEthernet1/0/1]
4. 测试
这里可以看到PC2发送出去的这个数据包,防火墙这边也同样做出了一个回应。
如果PC1要和PC2通信,划分zone,接口加入zone。接口允许通过ICMP服务
实验环境
1. 拓扑图
2. 设备信息划分
| 区域 | 设备类型 | 设备名称 | 接口 | IP 地址 |
|---|---|---|---|---|
| Trust(信任区) | 防火墙 | FW | GE 1/0/0 | 192.168.100.1 |
| GE 1/0/1 | 10.1.1.1 | |||
| GE 1/0/2 | 100.1.1.1 | |||
| Trust(信任区) | 三层交换机 | SW1 | GE 0/0/1 | 192.168.100.2(Vlan 100) |
| GE 0/0/2 | 192.168.1.254(Vlan 10) | |||
| GE 0/0/3 | 192.168.2.254(Vlan 20) | |||
| Trust(信任区) | 二层交换机 | SW2 | Ethernet 0/0/1 | 连接 SW1(Vlan 10 相关) |
| Ethernet 0/0/2 | 连接 PC1 | |||
| Ethernet 0/0/3 | 连接 PC2 | |||
| Trust(信任区) | 二层交换机 | SW3 | Ethernet 0/0/1 | 连接 SW1(Vlan 20 相关) |
| Ethernet 0/0/2 | 连接 PC3 | |||
| Trust(信任区) | 主机 | PC1 | Ethernet 0/0/1 | 192.168.1.1 |
| Trust(信任区) | 主机 | PC2 | Ethernet 0/0/1 | 192.168.1.2 |
| Trust(信任区) | 主机 | PC3 | Ethernet 0/0/1 | 192.168.2.2 |
| DMZ(服务区) | 服务器 | Server1 | Ethernet 0/0/0 | 10.1.1.2 |
| Untrust(不信任区) | 路由器 | AR1 | GE 0/0/2 | 100.1.1.2 |
| GE 0/0/1 | 200.1.1.2 | |||
| Untrust(不信任区) | 路由器 | AR2 | GE 0/0/1 | 200.1.1.1 |
| GE 0/0/2 | 10.10.10.1 | |||
| Untrust(不信任区) | 主机 | Client1 | Ethernet 0/0/0 | 10.10.10.2 |
组网环境配置
1. 配置接口加入VLAN
[SW1]vlan batch 10 20 100
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW1]
[SW1]int g0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1-GigabitEthernet0/0/2]q
[SW1]
[SW1]
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 20
[SW1-GigabitEthernet0/0/3]q
[SW1]
[SW1]
[SW1]
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 100
[SW1-GigabitEthernet0/0/1]q
[SW1]
[SW1]
2. 配置VLAN接口IP地址
[SW1]int Vlanif 10
[SW1-Vlanif10]ip address 192.168.1.254 24
[SW1-Vlanif10]q
[SW1]
[SW1]
[SW1]int Vlanif 20
[SW1-Vlanif20]ip address 192.168.2.254 24
[SW1-Vlanif20]q
[SW1]
[SW1]
[SW1]int Vlanif 100
[SW1-Vlanif100]ip address 192.168.100.2 24
[SW1-Vlanif100]q
[SW1]
3. 配置接口IP地址
[AR1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip address 100.1.1.2 30
[AR1-GigabitEthernet0/0/2]q
[AR1]
[AR1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip address 200.1.1.2 30
[AR1-GigabitEthernet0/0/2]q
[AR1]
[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip address 200.1.1.1 30
[AR2-GigabitEthernet0/0/1]q
[AR2]
[AR2]
[AR2]int g0/0/2
[AR2-GigabitEthernet0/0/2]ip address 10.10.10.1 30
[AR2-GigabitEthernet0/0/2]q
[AR2]
[AR2]
[FW]int g1/0/0
[FW-GigabitEthernet1/0/0]ip address 192.168.100.1 24
[FW-GigabitEthernet1/0/0]q
[FW]
[FW]
[FW]int g1/0/1
[FW-GigabitEthernet1/0/1]ip address 10.1.1.1 24
[FW-GigabitEthernet1/0/1]q
[FW]
[FW]
[FW-GigabitEthernet1/0/2]ip address 100.1.1.1 30
[FW-GigabitEthernet1/0/2]q
[FW]
[FW]
4. 配置Zone区域
[FW]firewall zone trust
[FW-zone-trust]add interface g1/0/0
[FW]
[FW]
[FW]firewall zone dmz
[FW-zone-dmz]add int g1/0/1
[FW]
[FW]
[FW]firewall zone untrust
[FW-zone-untrust]add interface g1/0/2
[FW-zone-untrust]q
[FW]
[FW]
5. 端口放行服务
这里直接放行所有服务(可选)
[FW]int g1/0/0
[FW-GigabitEthernet1/0/0]service-manage all permit
[FW-GigabitEthernet1/0/0]q
[FW]
[FW]
[FW]int g1/0/1
[FW-GigabitEthernet1/0/1]service-manage all permit
[FW-GigabitEthernet1/0/1]q
[FW]
[FW]int g1/0/2
[FW-GigabitEthernet1/0/2]service-manage all permit
[FW-GigabitEthernet1/0/2]q
[FW]
配置到这里,和防火墙直连的设备都能 ping 通防火墙的接口,但由于都不在同一个Zone区域,所以设备发送数据包还不能从防火墙接口出去。
6. 配置路由
没有路由就配路由,直接配置出口默认路由即可。
注意:默认路由适合做出口的路由,不能完全精准匹配到具体路由,如果配置好策略还是不能通信可以使用尝试使用静态路由。
[SW1]ip route-static 0.0.0.0 0 192.168.100.1
[SW1]
[FW]ip route-static 0.0.0.0 0 100.1.1.2
[FW]ip route-static 0.0.0.0 0 192.168.100.2
[FW]
[AR1]ip route-static 0.0.0.0 0 100.1.1.1
[AR1]ip route-static 0.0.0.0 0 200.1.1.1
[AR1]ip route-static 10.10.10.0 24 200.1.1.1
[AR1]
[AR2]ip route-static 0.0.0.0 0 200.1.1.2
[AR2]
7. 配置安全策略
7.1配置允许 Trust 区域 能访问 DMZ 区域
这里只做了单向通信(不允许 DMZ 访问 Trust 区域)
[FW]security-policy # 进入安全策略配置视图
[FW-policy-security]rul
[FW-policy-security]rule nam
[FW-policy-security]rule name Trust_to_DMZ # 命名规则为"Trust_to_DMZ"(自定义)
[FW-policy-security-rule-Trust_to_DMZ]source-zone trust # 设置源区域为信任区域(trust)
[FW-policy-security-rule-Trust_to_DMZ]destination-zone dmz # 设置目标区域为DMZ区域(dmz)
[FW-policy-security-rule-Trust_to_DMZ]action permit # 设置动作为允许(permit)
[FW-policy-security-rule-Trust_to_DMZ]q
[FW-policy-security]q
[FW]
这里在SW1交换机尝试能否和Server1进行通信,如果能通信,那PC设备也可以和Server1进行通信
<SW1>ping 10.1.1.2
PING 10.1.1.2: 56 data bytes, press CTRL_C to break
Reply from 10.1.1.2: bytes=56 Sequence=1 ttl=254 time=40 ms
Reply from 10.1.1.2: bytes=56 Sequence=2 ttl=254 time=30 ms
Reply from 10.1.1.2: bytes=56 Sequence=3 ttl=254 time=50 ms
Reply from 10.1.1.2: bytes=56 Sequence=4 ttl=254 time=1 ms
Reply from 10.1.1.2: bytes=56 Sequence=5 ttl=254 time=40 ms
--- 10.1.1.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/32/50 ms
<SW1>
测试
这里两个网段的PC都能和DMZ的Server1服务器通信
7.2 配置允许 Trust 访问 Untrust 区域
这里做的是单向通信
只有 Trust区域 访问 Untrust区域 ,Untrust区域 是访问不进来 Trust区域的。
[FW]security-policy # 进入安全策略配置视图
[FW-policy-security]rule name Trust_to_Untrust # 创建规则并命名为Trust_to_Untrust(信任区到非信任区的访问规则)
[FW-policy-security-rule-Trust_to_Untrust]source-zone trust # 指定源区域为trust(通常连接内网的接口所在区域)
[FW-policy-security-rule-Trust_to_Untrust]destination-zone untrust # 指定目标区域为untrust(通常连接外网的接口所在区域)
[FW-policy-security-rule-Trust_to_Untrust]action permit # 设置动作为允许通过(permit表示放行,deny表示拒绝)
[FW-policy-security-rule-Trust_to_Untrust]q
[FW-policy-security]q
[FW]
测试
这里可以看到PC1是可以通防火墙g1/0/2(Untrust区域接口)
Untrust区域是ping不通Trust内网的,但是Trust区域可以访问Untrust。
7.3 配置内网网段做NAT转换
将192.168.1.0/24和192.168.2.0/24网段的流量,都通过防火墙的 出接口 IP 做 NAT 转换(即 源 NAT + Easy-IP)
[FW]nat-policy
[FW-policy-nat]
[FW-policy-nat]rule
[FW-policy-nat]rule name NAT_Trust # 创建规则(自定义)
[FW-policy-nat-rule-NAT_Trust]source-zone trust # 数据包来自内网(Trust区)
[FW-policy-nat-rule-NAT_Trust]destination-zone untrust # 数据包去往外网(Untrust区)
[FW-policy-nat-rule-NAT_Trust]source-address 192.168.1.0 24 # 匹配源IP段
[FW-policy-nat-rule-NAT_Trust]source-address 192.168.2.0 24 # 匹配源IP段
[FW-policy-nat-rule-NAT_Trust]action source-nat easy-ip # 使用出接口IP做NAT(关键配置)
[FW-policy-nat-rule-NAT_Trust]q
[FW-policy-nat]q
[FW]
easy-ip:直接使用防火墙出接口(如 100.1.1.1)作为转换后的 IP。
测试
这里使用 PC1和PC3的网段的主机 和 AR1的g0/0/2接口 通信
PC1和PC3给AR1发送数据包,抓包显示,源IP是哪个发送的,而这里可以看到Source的IP地址都是100.1.1.1,这个就是防火墙接口IP地址。 PC1 和 PC3 访问 AR1(100.1.1.2)时,源 IP 被转换为防火墙出接口 IP(100.1.1.1),符合 Easy IP 的行为。说明这个Easy IP NAT配置成功了。
7.4 配置允许 Trust 区域的PC 和 Untrust 的 client1 设备通信
给策略配置加上源IP网段和目标IP网段通过即可(这里做的是单向通信)
回到
Trust_to_Untrust这个策略规则里面配置策略
[FW]security-policy
[FW-policy-security]
[FW-policy-security]dis th
2025-04-03 10:33:21.760
#
security-policy
rule name Trust_to_DMZ # Trust访问DMZ的策略
source-zone trust
destination-zone dmz
action permit
rule name Trust_to_Untrust # Trust访问Untrust的策略
source-zone trust
destination-zone untrust
action permit
#
return
[FW-policy-security]
[FW-policy-security]
[FW-policy-security]rule name Trust_to_Untrust
[FW-policy-security-rule-Trust_to_Untrust]source-address 192.168.1.0 24 # 源IP网段(添加)
[FW-policy-security-rule-Trust_to_Untrust]source-address 192.168.2.0 24 # 源IP网段(添加)
[FW-policy-security-rule-Trust_to_Untrust]destination-address 10.10.10.0 24 # 目标网段(添加)(client1所在的网段)
[FW-policy-security-rule-Trust_to_Untrust]action permit # 允许通过(添加)
[FW-policy-security-rule-Trust_to_Untrust]dis th
2025-04-03 10:35:15.980
#
rule name Trust_to_Untrust
source-zone trust
destination-zone untrust
source-address 192.168.1.0 mask 255.255.255.0
source-address 192.168.2.0 mask 255.255.255.0
destination-address 10.10.10.0 mask 255.255.255.0
action permit
#
return
[FW-policy-security-rule-Trust_to_Untrust]
测试
这里用内网的PC主机 ping 一下 client1。
从抓包信息来看,源IP都是 100.1.1.1,目标是 10.10.10.2。也是因为两个PC的网段的主机通过防火墙接口IP地址出去访问的,所以说10.10.10.2回应的IP只会是100.1.1.1。
其他补充
备注:client1是不能和PC通信的,除非做双向通信。
# 这里举例做双向通信
ecurity-policy
rule name Trust_to_Untrust
source-zone trust # 假设源区域为trust
destination-zone untrust # 假设目标区域为untrust
source-address 192.168.1.0 24
source-address 192.168.2.0 24
destination-address 10.10.10.0 24
action permit
rule name Untrust_to_Trust
source-zone untrust # 注意区域方向反转
destination-zone trust
source-address 10.10.10.0 24
destination-address 192.168.1.0 24
destination-address 192.168.2.0 24
action permit
扫一扫
4019
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
