防火墙技术综合介绍1

时代的认知：这是一个快鱼吃慢鱼的时代，是技术能够成就梦想是时代。
防火墙的认知：网络安全产品；位于网络的边界（企事业单位的出口位置与ISP运营商进行连接并接入外网（公网的）设备。防火墙第一个要配置的东西是：安全域（local(100)—trust(85)—dmz(50)—untrust(5).
实验拓扑：

实验要求：内网能够访问外网（外网不能ping通内网）
实验步骤：
1.基本配置（终端配置IP信息，设备接口配置IP）

内网PC

DMZ服务器区

外网的客户端（远程客户端）
路由器的接口（ISP）
sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys ISP
[ISP]undo in e
Info: Information center is disabled.
[ISP]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip add 64.1.1.2 24
[ISP-GigabitEthernet0/0/1]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 5.5.5.1 24
[ISP-GigabitEthernet0/0/0]
2.配置防火墙
2.1，配置防火墙的接口IP
用户名：admin 密码：Admin@123 新密码：huawei@123
sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo in e
Info: Saving log files…
Info: Information center is disabled.
[USG6000V1]in e
Info: Information center is enabled.
[USG6000V1]undo in e
Info: Saving log files…
Info: Information center is disabled.
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24
[USG6000V1-GigabitEthernet1/0/0]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 172.16.1.254 24
[USG6000V1-GigabitEthernet1/0/1]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip add 64.1.1.1 24
[USG6000V1-GigabitEthernet1/0/2]
2.2 配置安全域
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int g1/0/0
[USG6000V1-zone-trust]q
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add int g1/0/2
[USG6000V1-zone-untrust]q
[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add int g1/0/1
[USG6000V1-zone-dmz]
2.3 配置路由让网络先通
[USG6000V1]ip route-static 5.5.5.0 24 64.1.1.2
2.4 运营商IPS路由上配置一条路由
[ISP]ip route-static 0.0.0.0 0 64.1.1.1
2.5 配置防火墙的安全策略
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name nei-to-loc
[USG6000V1-policy-security]rule name zhl
[USG6000V1-policy-security-rule-zhl]source-zone trust
[USG6000V1-policy-security-rule-zhl]destination-zone untrust
[USG6000V1-policy-security-rule-zhl]action permit
测试一下用PC访问防火墙ping 192.168.1.254是否能通？

不通的原因是没有解除防火墙上的服务管理规则中禁PING。要求防火墙允许ping。
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit
[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit
再次测试网络连通性

服务器可以ping到防火墙

内网PC可以访问到防火墙了。
2.5 内网访问远程客户端（不能访问，原因只剩下一个就是私有IP不能够直接上公网）需要配置NAT地址转换，使用easy-IP，就是内网的地址全部转换为防火墙公网的出口地址。
[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name zhang
[USG6000V1-policy-nat-rule-zhang]source-zone trust
[USG6000V1-policy-nat-rule-zhang]destination-zone untrust
[USG6000V1-policy-nat-rule-zhang]action source-nat easy-ip
[USG6000V1-policy-nat-rule-zhang]

服务器能否ping通防火墙？（答案是可以）

PC1能否PING通服务器？

既然PC无法访问服务器，看看是否可以访问防火墙的服务器接口

小结：PC可以访问防火墙与服务器的接口，服务器可以和防火墙的服务器接口通信，但是就是没法和PC通信。（如果服务器被骑劫，通过服务器攻击内网，你该如何处理）

如何让PC可以访问到服务器：
sys
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name yzf
[USG6000V1-policy-security-rule-yzf]source-zone trust
[USG6000V1-policy-security-rule-yzf]destination-zone dmz
[USG6000V1-policy-security-rule-yzf]action permit
[USG6000V1-policy-security-rule-yzf]
测试预期是，PC可以访问服务器，但是服务器不能访问PC

总结：服务器的三个安全域，设置不同的安全策略就能实现管理的价值。