防火墙
**作用:**它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵
**使用场景:**通常被应用于网络边界,例如企业互联网出口、企业内部业务边界、数据中心边界等。
防火墙根据设备形态分为,框式防火墙、盒式防火墙和软件防火墙,支持在云上云下灵活部署。 防火墙、交换机、路由器对比
以园区网为例,交换机作用是接入终端和汇聚内部路由,组建内部互联互通的局域网。 路由器作用是路由的分发、寻址和转发,构建外部连接网络。防火墙作用是流量控制和安全防护,区分和隔离不同安全区域。
安全区域
非受信区域(untrust):低安全级别区域,优先级为5,一般设置外网部分为untrust 区域
非军事化区域(dmz):中等安全级别区域,优先级为50。一般放置服务器的区域设置为DMZ区域
受信区域(trust):较高安全级别区域,优先级为85,一般设置连接内部网络的区域
本地区域(local):Local区域定义的是设备本身,例如设备的接口。Local区域是最高安全级别区域,优先级为100。
也可以自定义安全区域,每个需要需要设置一个安全级别,一个级别只能对应一个安全区域,默认的安全区域以及级别不能修改
**
防火墙基础配置案例
**
实验拓扑:
1. 实验要求:
1.将防火墙的密码修改为Huawei@123 2.按照题目要求配置ip,并且将防火墙接口的ping功能打开再R1上ping 10.1.14.4 验证能否ping通 3.按照题目要求设备安全区域,其中ZHYx为自定义区域,优先级为30,并将相应的防火墙接口划分进对应区域 4.全网运行ospf,确保Pc可以ping通对应区域的防火墙接口,如Pc3需要ping通防火墙的G1/日/1接口,PC2需要ping防火墙的 G1/0/0接口 5、部署安全策略,要求实现PC2可以ping通PC3、PC2可以ping通Pc4(默认可通)、PC4可以ping通Pc1,其他均不可通
(1)先进行基础配置,按照题目的要求配置接口的IP地址,开启防火墙的ping服务(默认是关闭的)。
配置案例:
[FW4]
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 10.1.14.4 255.255.255.0
service-manage ping permit #开启开启防火墙接口的ping服务(默认是关闭的)
#
return
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.1.34.4 255.255.255.0
service-manage ping permit
#
return
实验现象:实现PC2 ping 通FW4
PC>ping 10.1.24.4
Ping 10.1.24.4: 32 data bytes, Press Ctrl_C to break
From 10.1.24.4: bytes=32 seq=1 ttl=254 time=16 ms
From 10.1.24.4: bytes=32 seq=2 ttl=254 time<1 ms
From 10.1.24.4: bytes=32 seq=3 ttl=254 time=15 ms
From 10.1.24.4: bytes=32 seq=4 ttl=254 time<1 ms
From 10.1.24.4: bytes=32 seq=5 ttl=254 time=16 ms
--- 10.1.24.4 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 0/9/16 ms
(2)将端口划分到对应的安全区域,以及另外创建自定义区域。
1,将接口划分带到对应的安全区域
[FW4]
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
#
return
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
return
2,创建自定义区域,并将对应区域的端口划分到该接口中。
[FW4]firewall zone name ZGYD
firewall zone name ZGYD id 4
set priority 30
add interface GigabitEthernet1/0/2
(3)创建NAT策略实现内外网互通
原理:需要将发往外网的数据包在园区网出口处将私网地址转换成公网地址,同时解决公网设备回包问题
注意:防火墙配置安全策略时,无需考虑回包的问题;
原因:防火墙在发送数据时会自动生成一个会话表,用来记录发送流量的sip(源ip)、dip(目的ip)、入接口、出接口、源区域、目的区域;
如果收到会话表有记录的反向流量,可以不用匹配安全策略,直接根据路由表转发;
[FW1]nat-policy
[FW1-policy-nat]dis this
#
nat-policy
rule name ttou
source-zone trust
destination-zone untrust
source-address 192.168.2.0 mask 255.255.255.0
action source-nat easy-ip
#
return
(4)在防火墙上配置安全策略,实现不同区域的互通
默认情况下,各区域是互相隔离的,需要配置对应的安全策略,来放行各区域的流量,以实现不同区域的互访。
[FW1]security-policy
[FW1-policy-security]dis this
#
security-policy
rule name ttou #实现trust区域可以访问untrust区域的安全策略
source-zone trust
destination-zone untrust
source-address 192.168.2.0 mask 255.255.255.0
destination-address 10.1.34.3 mask 255.255.255.255
destination-address 192.168.3.0 mask 255.255.255.0
action permit
rule name ttoZG
source-zone trust
destination-zone ZGYD #实现trust区域可以访问ZGYD区域
source-address 192.168.4.0 mask 255.255.255.0
destination-address 10.1.14.0 mask 255.255.255.0
destination-address 192.168.1.0 mask 255.255.255.0
action permit
#
return
(5)最后:在出口的三层设备中配置默认路由,并宣布到OSPF中,让内部主机可以找到网络的出口处,来与外网互通。
#在防火墙上配置默认路由
ip route-static 0.0.0.0 0.0.0.0 10.1.34.3
#将该默认路由宣告到OSPF区域中
[FW1-ospf-1]display this
ospf 1
default-route-advertise
area 0.0.0.0
network 10.1.14.0 0.0.0.255
network 10.1.24.0 0.0.0.255
#
return
实现PC2可以ping通PC3、PC2可以ping通PC4(默认可通)、PC4可以ping通PC1,其他均不可通
实验现象:
网络小白第一次写博客,希望在以后的求学过程中,通过写博客记录自己的生活学习和工作的分享。本人(一个计算机专业的学生党)觉得写博客自己既是对自己的学习总结,也是一种分享,还可以帮到其他人,何乐而不为?希望路过的大佬可以对文章有误或者不足的地方提出宝贵的建议。