防火墙技术综合介绍1
时代的认知:这是一个快鱼吃慢鱼的时代,是技术能够成就梦想是时代。
防火墙的认知:网络安全产品;位于网络的边界(企事业单位的出口位置与ISP运营商进行连接并接入外网(公网的)设备。防火墙第一个要配置的东西是:安全域(local(100)—trust(85)—dmz(50)—untrust(5).
实验拓扑:
实验要求:内网能够访问外网(外网不能ping通内网)
实验步骤:
1.基本配置(终端配置IP信息,设备接口配置IP)
内网PC
DMZ服务器区
外网的客户端(远程客户端)
路由器的接口(ISP)
sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys ISP
[ISP]undo in e
Info: Information center is disabled.
[ISP]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip add 64.1.1.2 24
[ISP-GigabitEthernet0/0/1]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 5.5.5.1 24
[ISP-GigabitEthernet0/0/0]
2.配置防火墙
2.1,配置防火墙的接口IP
用户名:admin 密码:Admin@123 新密码:huawei@123
sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo in e
Info: Saving log files…
Info: Information center is disabled.
[USG6000V1]in e
Info: Information center is enabled.
[USG6000V1]undo in e
Info: Saving log files…
Info: Information center is disabled.
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24
[USG6000V1-GigabitEthernet1/0/0]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 172.16.1.254 24
[USG6000V1-GigabitEthernet1/0/1]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip add 64.1.1.1 24
[USG6000V1-GigabitEthernet1/0/2]
2.2 配置安全域
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int g1/0/0
[USG6000V1-zone-trust]q
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add int g1/0/2
[USG6000V1-zone-untrust]q
[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add int g1/0/1
[USG6000V1-zone-dmz]
2.3 配置路由让网络先通
[USG6000V1]ip route-static 5.5.5.0 24 64.1.1.2
2.4 运营商IPS路由上配置一条路由
[ISP]ip route-static 0.0.0.0 0 64.1.1.1
2.5 配置防火墙的安全策略
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name nei-to-loc
[USG6000V1-policy-security]rule name zhl
[USG6000V1-policy-security-rule-zhl]source-zone trust
[USG6000V1-policy-security-rule-zhl]destination-zone untrust
[USG6000V1-policy-security-rule-zhl]action permit
测试一下用PC访问防火墙ping 192.168.1.254是否能通?
不通的原因是没有解除防火墙上的服务管理规则中禁PING。要求防火墙允许ping。
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit
[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit
再次测试网络连通性
服务器可以ping到防火墙
内网PC可以访问到防火墙了。
2.5 内网访问远程客户端(不能访问,原因只剩下一个就是私有IP不能够直接上公网)需要配置NAT地址转换,使用easy-IP,就是内网的地址全部转换为防火墙公网的出口地址。
[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name zhang
[USG6000V1-policy-nat-rule-zhang]source-zone trust
[USG6000V1-policy-nat-rule-zhang]destination-zone untrust
[USG6000V1-policy-nat-rule-zhang]action source-nat easy-ip
[USG6000V1-policy-nat-rule-zhang]
服务器能否ping通防火墙?(答案是可以)
PC1能否PING通服务器?
既然PC无法访问服务器,看看是否可以访问防火墙的服务器接口
小结:PC可以访问防火墙与服务器的接口,服务器可以和防火墙的服务器接口通信,但是就是没法和PC通信。(如果服务器被骑劫,通过服务器攻击内网,你该如何处理)
如何让PC可以访问到服务器:
sys
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name yzf
[USG6000V1-policy-security-rule-yzf]source-zone trust
[USG6000V1-policy-security-rule-yzf]destination-zone dmz
[USG6000V1-policy-security-rule-yzf]action permit
[USG6000V1-policy-security-rule-yzf]
测试预期是,PC可以访问服务器,但是服务器不能访问PC
总结:服务器的三个安全域,设置不同的安全策略就能实现管理的价值。