AR系列路由器域間防火牆實施ACL

時間 2020-09-11

標籤系列路由器防火牆實施 acl 欄目網絡硬件简体版

原文原文鏈接

先簡單說下華爲路由器域間防火牆的一些基本特性：web

狀態化防火牆（簡單說就是高級別訪問低級別會記錄狀態）
AR系列能夠設置16種區域安全級別0-15，15保留給Loca區域使用
位於兩個不一樣級別的安全區域，低級別的默認不能主動訪問高級別區域
若是高級別區域主動訪問低級別的區域，防火牆會記錄一個狀態，一般由五元組（協議、源目端口和IP）構成
收到的數據先匹配域間防火牆安全策略，安全策略沒有匹配的，再匹配狀態
因爲這種狀態化的機制實現A能隨時訪問B，B卻須要A主動訪問時才能訪問
高級別流向低級別區域的數據方向爲Outbound
低級別流向高級別區域的數據方向爲Inbound
域間防火牆默認策略
packet-filter default deny inbound
packet-filter default permit outbound
接下來看一個實例加深理解
實驗拓撲：

需求：
1. HR（人力資源）與YF（研發）不能互訪
2. HR隨時能夠但只能訪問WEB和FTP
3. YF只能在上班時間能訪問FTP
4. WB（外部）只能訪問WEB
  配置：
  各接口IP配置此處省略
  1.建立安全區域並指定安全級別
  firewall zone HR
  priority 12
  firewall zone YF
  priority 10
  firewall zone trust #trust爲web與ftp服務器所在區域
  priority 14
  firewall zone WB
  priority 8
  2.將接口加入相應安全區域
  interface Vlanif1
  ip address 10.0.0.254 255.255.255.0
  zone WB
  interface GigabitEthernet0/0/0
  ip address 192.168.1.254 255.255.255.0
  zone HR
  interface GigabitEthernet0/0/1
  ip address 192.168.2.254 255.255.255.0
  zone YF
  interface GigabitEthernet0/0/2
  ip address 192.168.3.254 255.255.255.0
  zone trust
  3.建立ACL
  先定義YF研發部工做時間
  time-range YF-working 08:00 to 17:00 working-day
  acl number 2000
  description deny-HR-to-YF #禁止HR訪問YF
  rule 10 deny source 192.168.1.0 0.0.0.255
  acl name HR-trust 3000 #只容許HR訪問web和ftp服務
  rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq www
  rule 20 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq ftp
  acl name YF-trust 3001
  rule 30 permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www
  rule 40 permit tcp source 192.168.2.0 0.0.0.255 destination-port eq ftp time-range YF-working #定義基於時間的ACL
  acl name WB-trust 3002
  rule 5 permit tcp source 10.0.0.0 0.0.0.255 destination-port eq www
  4.啓用路由器域間防火牆並實施ACL
  firewall interzone HR YF
  firewall enable
  packet-filter 2000 outbound
  firewall interzone trust HR
  firewall enable
  firewall interzone trust WB
  firewall enable
  packet-filter 3002 inbound
  firewall interzone trust YF
  firewall enable
  packet-filter 3001 inbound