防火墙访问控制实验
实验拓扑
实验要求
- 配置防火墙的接口加入对应区域,并放通所有区域间的流量
- 使用真机浏览器登录防火墙的Web控制台
- 为PC和所有设备配置IP地址和网关
- 在三层交换机上创建VLAN,为VLAN配置IP地址
- 在内网配置路由和NAPT使内网互通且可以访问互联网
- 在防火墙上配置安全策略,拒绝内网192.168.1.10到192.168.1.100的地址在上班期间范围访问互联网上200.2.2.2的基于TCP的5100端口的服务。要求使用对象组配置匹配元素
实验步骤
- 为两台pc机配置IP地址与网关
- 配置防火墙的接口加入对应区域
[FW]int g1/0/0
[FW-GigabitEthernet1/0/0]ip add 192.168.56.2 24
[FW]security-zone name Trust
[FW-security-zone-Trust]import int g1/0/2
[FW-security-zone-Trust]import int g1/0/0
[FW]security-zone name Untrust
[FW-security-zone-Untrust]import int g1/0/1
- 创建区域间安全策略,放通相关流量
[FW]acl advanced 3000
[FW-acl-ipv4-adv-3000]rule permit ip
[FW]zone-pair security source any destination any
[FW-zone-pair-security-Any-Any]packet-filter 3000
- 在三层交换机上创建VLAN,为VLAN配置IP地址
[SW]VLAN 10
[SW-vlan10]port g1/0/2
[SW-vlan10]vlan 20
[SW-vlan20]port g1/0/3
[SW]int vlan 10
[SW-Vlan-interface10]ip add 192.168.1.254 24
[SW-Vlan-interface10]int vlan 20
[SW-Vlan-interface20]ip add 192.168.2.254 24
[SW]vlan 30
[SW-vlan30]port g1/0/1
[SW-vlan30]int vlan 30
[SW-Vlan-interface30]ip add 10.1.1.2 24
- 在内网配置路由和NAPT使内网互通且可以访问互联网
[FW]int g1/0/2
[FW-GigabitEthernet1/0/2]ip add 10.1.1.1 24
[FW]int g1/0/1
[FW-GigabitEthernet1/0/1]ip add 100.1.1.2 24
[FW]ip route-static 0.0.0.0 0 100.1.1.1
[FW]ip route-static 192.168.1.0 24 10.1.1.2
[FW]ip route-static 192.168.2.0 24 10.1.1.2
[SW]ip route-static 0.0.0.0 0 10.1.1.1
[INTERNET]int g0/0
[INTERNET-GigabitEthernet0/0]ip add 100.1.1.1 24
[FW]acl basic 2000
[FW-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[FW-acl-ipv4-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[FW]int g1/0/1
[FW-GigabitEthernet1/0/1]nat out 2000
- 使用真机浏览器登录防火墙的Web控制台
- 创建地址对象组名为shangban其中包含内网192.168.1.10到192.168.1.100的地址,创建地址对象组名为internet为单个IP地址200.2.2.2
[FW]object-group ip address shangban
[FW-obj-grp-ip-shangban]network range 192.168.1.10 192.168.1.100
[FW]object-group ip add internet
[FW-obj-grp-ip-internet]network host add 200.2.2.2
- 创建服务对象组名为fangwen声明其协议为tcp协议,源端口为所有端口,目的端口等于5100端口,并且创建时间对象组设置上班时间段
[FW]object-group service fangwen
[FW-obj-grp-service-fangwen]service tcp destination eq 5100
[FW]time-range workingday 9:00 to 18:00 working-day
- 进入安全策略匹配模式,创建安全策略,指定安全策略的区域,地址,服务和策略动作
[FW]security-policy ip
[FW-security-policy-ip]rule name deny
[FW-security-policy-ip-0-deny]source-zone trust
[FW-security-policy-ip-0-deny]destination-zone untrust
[FW-security-policy-ip-0-deny]source-ip shangban
[FW-security-policy-ip-0-deny]destination-ip internet
[FW-security-policy-ip-0-deny]service fangwen
[FW-security-policy-ip-0-deny]action drop