華爲防火牆實現web、ftp的安全發佈綜合實驗

時間 2021-01-19

標籤 web 安全服務器 tcp ide 佈局 spa orm server 接口欄目 HTML 简体版

原文原文鏈接

實驗拓撲：web

配置要求：安全

1.client2與clien3都屬於trust區，可是沒法互通；服務器

2.trust區能訪問dmz區可是dmz訪問不了trust區；tcp

3.將dmz區nat到公網地址，以便訪問該web ftp服務；ide

4.開啓防火牆，實現telnet外部遠程管理；佈局

配置思路與步驟：spa

思路：orm

配置各區域接口的ip地址，規劃公司設備佈局，劃分區域，：server
添加防火牆策略，接口
開啓telnet服務，達到遠程管理華爲的防火牆。
配置nat區域的地址池，以便安全發佈web 服務器；

步驟：

1.配置公司防火牆FW1各區域接口的ip地址，

規劃公司防火牆FW1的trust區域：

規劃公司防火牆FW1的untrust區域：

規劃公司防火牆FW1的dmz區：

2.當前同屬於trust區域的，是互相能夠訪問的，爲實現它們之間的不互通，則須要建立防火牆策略實現；

策略以下：

建立策略1 ，並應用策略：

注意：上面的命令策略僅能實現財務訪問不了技術部【即source 10.1.1.1到destnation 10.1.2.1 的訪問】，

可是技術部依然能夠訪問財務部，不能達到互訪的目的；

因此，爲實現二者都不能互訪的目的，應該再建立技術部到財務的策略：

3.建立trust區到dmz區的防火牆策略，容許trust區的用戶能夠訪問dmz區域的web服務器，但dmz區不能訪問trust區

注：firewall packet-filter default permit interzone trust dmz【trust dmz ，二者的順序能夠隨便，如寫成dmz trust 也能夠】

direction outbound // 容許trust區的用戶訪問dmz區從級別高的到低的訪問，用outbound，反之用inbound

爲dmz區的安全考慮，不容許dmz區訪問trust區和untrust ，因此FW1默認是拒絕dmz區訪問別的區域的。以下圖：

注：display firewall packet-filter default all //查看防火牆全部數據流量默認策略

4.配置防火牆，實現外網訪問dmz區域【爲安全考慮，只容許icmp www ftp 服務】

默認狀況下：untrust區用戶是禁止訪問dmz區！

開啓untrust區到dmz區的訪問，

命令：firewall packet-filter default permit interzone untrust dmz direction inbound

添加防火牆和R1路由間的路由：

R1：ip route- static 0.0.0.0 0.0.0.0 202.1.1.254

【FW1]ip route-static 0.0.0.0 0.0.0.0 202.1.1.1

如今外網就能夠訪問dmz區的web ftp 服務器

注：該配置在現實中是不可取的，

1）.由於intenet是不可能配置路由的，屬於非法操做----外網用BGP [能夠用NAT或***技術解決】

2）.防火牆上也不能有路由，不能容許untrust區到dmz區流量所有放行，否則病毒也是放行的，對內網安全構成威脅

只放行untrust到dmz中的icmp www ftp服務

關閉剛纔的配置服務：firewall packet-filter default deny interzone untrust dmz direction inbound

如今，外網是訪問不了dmz區的!

配置icmp www ftp 放行服務：【只放行icmp www ftp】

第一步：

建立服務集：

[FW1]ip service-set toserver type object //建立服務集 toserver 類型爲object 【toserver這個單詞不是命令，能夠隨便命名】

[FW1-object-service-set-toserver]service 0 protocol icmp //服務順序 0 協議爲 icmp

[FW1-object-service-set-toserver]service 1 protocol tcp destination-port 80 //服務順序1 協議爲 tcp 目標端口80

[FW1-object-service-set-toserver]service 2 protocol tcp destination-port 21 //服務順序1 協議爲 tcp 目標端口21

第二步：

開啓策略：

[FW1]policy interzone untrust dmz inbound //開啓untrust區到dmz區方向的流量，並進入該策略

[FW1-policy-interzone-dmz-untrust-inbound]policy 10 //建立策略10，並進入策略10

[FW1-policy-interzone-dmz-untrust-inbound-10]policy service service-set toserver 【標紅的爲上面服務集的名字】

//應用上面建立的服務集策略

[FW1-policy-interzone-dmz-untrust-inbound-10]policy destination 10.1.3.2 0.0.0.0 【0.0.0.0 表明精確匹配】

策略目標地址10.1.3.2

[FW1-policy-interzone-dmz-untrust-inbound-10]action permit // 容許以上策略集

如今，便可實現外網icmp www ftp到dmz，別的服務到不了dmz，可是驗證時你會發現icmp www沒問題，而ftp訪問不了；

由於FTP是有一個雙通道的概念，而防火牆默認是不支持雙通道的；

如今外網才能夠訪問ftp服務：

而防火牆策略中的untrust到dmz依然是關閉的，說明只放行icmp www ftp服務

以下圖：

配置NAT地址轉換，實現內網的安全：

先清除以前R1配置的路由：
[R1]undo ip route-static 10.1.3.0 255.255.255.0 202.1.1.254
當前內網是通不到外網的;
配置trust區到untrust區的nat
[FW1]nat address-group 1 202.1.1.2 202.1.1.2 //建立nat轉換地址池爲202.1.1.2

[FW1]nat-policy interzone trust untrust outbound //進入trust區到untrust區的nat策略配置

[FW1-nat-policy-interzone-trust-untrust-outbound]policy 10

[FW1-nat-policy-interzone-trust-untrust-outbound-10]action source-nat

//開啓源nat

[FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.1.0 mask 24

//添加源地址範圍爲 10.1.1.0 24

[FW1-nat-policy-interzone-trust-untrust-outbound-10]address-group 1

//調用剛纔建立的nat地址池 1

配置trust區到untrust區的nat【也能夠用easy-ip 配置，直接nat到接口g0/0/3,節省公網ip】

[FW1]nat-policy interzone trust untrust outbound //進入trust區到untrust區的nat策略配置

[FW1-nat-policy-interzone-trust-untrust-outbound]policy 11

[FW1-nat-policy-interzone-trust-untrust-outbound-11]action source-nat

//開啓源nat

[FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.2.0 mask 24

//添加源地址範圍爲 10.1.1.0 24

[FW1-nat-policy-interzone-trust-untrust-outbound-10]easy-ip interface g0/0/3

//直接將內網的10.1.2.0網段轉換到g0/0/3接口上

以上兩種nat技術方法均可以實現內網ip地址轉換的公網地址，保證內網的安全，可是easy技術相對來講能夠

節省ip ，不用再買另外一個公網ip地址