详解USG5500防火墙基础配置Trust、DMZ、Untrust |
您所在的位置:网站首页 › usg防火墙servermap三要素 › 详解USG5500防火墙基础配置Trust、DMZ、Untrust |
组网要求: 1、本实验中的防火墙为USG5500系列防火墙; 2、 防火墙三个接口的IP地址按照上图所示进行配置;将这三个接口划入相应的安全域; 3、配置防火墙的域间包过滤策略,使得PC1能够主动访问PC2,但是PC2无法主动访问PC1;PC2能够主动访问WebServer的WEB服务。 一、eNSP实际操作视频: 二、主要知识点: 防火墙中的DMZ区域,Trust区域,Untrust区域的作用: 1、安全策略都基于区域实施。 2、在同一区域内部发生的数据流动是不存在风险的,不需要实施任何安全策略。 只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。 3、一个接口只能属于一个区域,而一个区域可以有多个接口。 DMZ区域:1。两个防火墙之间的空间被称为DMZ。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。 4、服务器内外网都可以访问,但还是与内网隔离。就算是黑客把DMZ服务器拿下,也不能使用服务器来控制内网的网络。起到安全的策略。 Trust区域:可信任的接口。是局域网的接口,此接口外网和DMZ无法访问,外部不能访问trust口,DMZ不能访问trust口。 Untrust区域:不信任的接口,是用来接internet的,这个接口的信息内网不接受,可以通过untrust口访问DMZ,但不能访问trust口。 重点: 华为防火墙系统默认的系统默认区域有四个,且优先级不能更改:非受信区(Untrust) 优先级5,非军事化区(DMZ)优先级50,受信区(Trust) 优先级85,本地区域(Local) 优先级100;如不满组网需求,可自行创建安全区域,数量最大为16个(包含默认4个),但是优先级不能与现有区域优先级相同。 说明: 1、域基本分为:local、trust、dmz、untrust这四个是系统自带不能删除,除了这四个域之外,还可以自定义域。 2、域等级local>trust>dmz>untrust,自定义的域的优先级是可以自己调节的。 3、域与域之间如果不做策略默认是deny的,即任何数据如果不做策略是通不过的,如果是在同一区域的就相当于二层交换机一样直接转发。 4、当域与域之间有inbound和outbound区分,华为定义了优先级低的域向优先级高的域方向就是inbound,反之就是outbound 三、IP设置: PC1:192.168.1.1/24,trust PC2:10.1.1.1/24,untrust Server1:172.16.1.1/24,DMZ FW1:192.168.1.254/24,172.16.1.254/24,10.1.1.254/24 四、配置步骤: 如果在eNSP中进行这个实验,由于涉及到WEB客户端及服务器,因此可以PC2可以使用“终端”设备中的Client来模拟,而Web Server可以使用“终端”设备中的Server来模拟。 防火墙FW的配置如下: [FW] interface GigabitEthernet0/0/1 [FW-GigabitEthernet0/0/1] ip address 192.168.1.254 24 [FW] interface GigabitEthernet0/0/2 [FW-GigabitEthernet0/0/2] ip address 172.16.1.254 24 [FW] interface GigabitEthernet0/0/3 [FW-GigabitEthernet0/0/3] ip address 10.1.1.254 24 #将接口添加到相应的安全区域: [FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet0/0/1 [FW] firewall zone dmz [FW-zone-dmz] add interface GigabitEthernet0/0/2 [FW] firewall zone untrust [FW-zone-untrust] add interface GigabitEthernet0/0/3 #配置域间策略,使得trust域的192.168.1.0/24网段用户能够访问untrust区域的10.1.1.0/24网段: [FW] policy interzone trust untrust outbound [FW-policy-interzone-trust-untrust-outbound] policy 10 [FW-policy-interzone-trust-untrust-outbound-10] policy destination 10.1.1.0 0.0.0.255 [FW-policy-interzone-trust-untrust-outbound-10] policy source 192.168.1.0 0.0.0.255 [FW-policy-interzone-trust-untrust-outbound-10] action permit #配置域间策略,使得untrust区域的10.1.1.0/24网段用户能够访问Server的WEB服务: [FW] policy interzone dmz untrust inbound [FW-policy-interzone-dmz-untrust-inbound] policy 10 [FW-policy-interzone-dmz-untrust-inbound-10] policy source 10.1.1.0 0.0.0.255 [FW-policy-interzone-dmz-untrust-inbound-10] policy destination 172.16.1.1 0 [FW-policy-interzone-dmz-untrust-inbound-10] policy service service-set http [FW-policy-interzone-dmz-untrust-inbound-10] action permit 完成上述配置后,PC1即可主动发起访问PC2,而PC2无法主动访问PC1;另外,PC2能够访问WebServer的HTTP服务.下面做一些简单的验证及查看: [FW] display zone local priority is 100 # trust priority is 85 interface of the zone is (2): GigabitEthernet0/0/0 GigabitEthernet0/0/1 # untrust priority is 5 interface of the zone is (1): GigabitEthernet0/0/3 # dmz priority is 50 interface of the zone is (1): GigabitEthernet0/0/2 通过命令display zone,可以查看防火墙的安全区域、安全等级,以及每个安全区域下的接口. [FW] display firewall packet-filter default all Firewall default packet-filter action is: ---------------------------------------------------------------------- packet-filter in public: local -> trust : inbound : default: permit; || IPv6-acl: null outbound : default: permit; || IPv6-acl: null local -> untrust : inbound : default: deny; || IPv6-acl: null outbound : default: permit; || IPv6-acl: null local -> dmz : inbound : default: deny; || IPv6-acl: null outbound : default: permit; || IPv6-acl: null trust -> untrust : inbound : default: deny; || IPv6-acl: null outbound : default: deny; || IPv6-acl: null trust -> dmz : inbound : default: deny; || IPv6-acl: null outbound : default: deny; || IPv6-acl: null dmz -> untrust : inbound : default: deny; || IPv6-acl: null outbound : default: deny; || IPv6-acl: null packet-filter between VFW: 使用display firewall packet-filter default命令,能查看防火墙的缺省安全策略。当数据包经过防火墙且从一个安全域试图访问另一个安全域时,防火墙会根据数据包的流向首先检查用户定义的policy interzone,如果没有自定义的policy interone,则会看根据防火墙的缺省安全策略进行处理。例如从上面的显示中,我们可以看到local-trust的inbound及outbound都是permit,因此即使我们没有显式的配置local及trust安全区域的区域间策略,但是由于默认的策略就是放行,所以 trust区域的用户可以直接ping通防火墙的接口。 如果要让防火墙默认放行所有域间的流量,可以使用:firewall packet-filter default permit all命令,值得注意的是,在网络正式投入现网使用之前,此命令必须关闭(firewall packet-filter default deny all),针对需要放行的流量,需通过policy interzone的配置来放行,而不能鲁莽地将所有流量统统放行。 使用display policy命令,能查看我们定义的区域间安全策略,例如: [FW] display policy interzone trust untrust outbound policy interzone trust untrust outbound firewall default packet-filter is deny policy 10 (15 times matched) action permit policy service service-set ip policy source 192.168.1.0 0.0.0.255 policy destination 10.1.1.0 0.0.0.255 [FW] display policy interzone dmz untrust inbound policy interzone dmz untrust inbound firewall default packet-filter is deny policy 10 (1 times matched) action permit policy service service-set http (predefined) policy source 10.1.1.0 0.0.0.255 policy destination 172.16.1.1 0.0.0.0 上面都是我们通过命令定义的区域间安全策略. 当PC1 ping PC2时,我们可以在FW上查看到如下会话: [FW]display firewall session table 16:28:09 2016/05/04 Current Total Sessions : 5 icmp VPN:public --> public 192.168.1.1:41906-->10.1.1.1:2048 icmp VPN:public --> public 192.168.1.1:42162-->10.1.1.1:2048 icmp VPN:public --> public 192.168.1.1:42418-->10.1.1.1:2048 icmp VPN:public --> public 192.168.1.1:42674-->10.1.1.1:2048 icmp VPN:public --> public 192.168.1.1:42930-->10.1.1.1:2048 当PC2 访问 Server的WEB服务时,在FW上能看到如下会话: [FW]display firewall session table 16:28:49 2016/05/04 Current Total Sessions : 1 http VPN:public --> public 10.1.1.1:2050-->172.16.1.1:80 在display firewall session table命令中增加verbose关键字,可以查看会话的详细信息: [FW]display firewall session table verbose Current Total Sessions : 1 http VPN:public --> public Zone:untrust--> dmzTTL: 00:00:10 Left: 00:00:03 Interface: GigabitEthernet0/0/2 NextHop: 172.16.1.1 MAC: 54-89-98-94-29-85 packets:6 bytes:400 10.1.1.1:2050-->172.16.1.1:80 从防火墙的会话详细内容中,我们可以读出许多东西。例如上面的输出,可以看出会话是由哪个区域发起,去往哪个区域的,以及入站、出站报文的个数、字节数等信息. 注意:读懂防火墙的会话条目,是一项非常有用的基本技能。一个会话的流量,到达防火墙并且被防火墙顺利转发,我们便能够在会话表中查看到该会话的表项。而如果一个会话的流量因某种原因没有到达防火墙,或者到达了防火墙,而由于域间包过滤策略未放通相应的流量导致报文被丢弃,又或者防火墙没有匹配的路由信息用于转发流量等等,这些情况发生时,在防火墙上都将无法看到相应的会话表项。 五、FW的主要配置文件: # interface GigabitEthernet0/0/0 alias GE0/MGMT ip address 192.168.0.1 255.255.255.0 dhcp select interface dhcp server gateway-list 192.168.0.1 # interface GigabitEthernet0/0/1 ip address 192.168.1.254 255.255.255.0 # interface GigabitEthernet0/0/2 ip address 172.16.1.254 255.255.255.0 # interface GigabitEthernet0/0/3 ip address 10.1.1.254 255.255.255.0 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface GigabitEthernet0/0/1 # firewall zone untrust set priority 5 add interface GigabitEthernet0/0/3 # firewall zone dmz set priority 50 add interface GigabitEthernet0/0/2 # sysname FW # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction outboun d firewall packet-filter default permit interzone local dmz direction outbound # policy interzone trust untrust inbound policy 10 action permit policy source 10.1.1.0 0.0.0.255 policy destination 192.168.1.0 0.0.0.255 # policy interzone trust untrust outbound policy 10 action permit policy source 192.168.1.0 0.0.0.255 policy destination 10.1.1.0 0.0.0.255 # policy interzone dmz untrust inbound policy 10 action permit policy service service-set http policy service service-set icmp policy source 10.1.1.0 0.0.0.255 policy destination 172.16.1.0 0.0.0.255 # return |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |