拓扑

在这里插入图片描述

需求

  1. 内网能访问外网,但是外网不能访问内网
  2. 内网能访问服务器,但是服务器不能主动访问内网(防止黑客通过服务器攻击内网)

配置

1.基础配置

防火墙、路由器和PC的IP地址配置略
防火墙静态路由配置:
ip route-static 0.0.0.0 0.0.0.0 10.1.12.1

2.配置安全域

信任域--内网
firewall zone trust
 add interface GigabitEthernet1/0/2
 
非信任域--外网
firewall zone untrust
 add interface GigabitEthernet1/0/1
 
中间域--服务器
firewall zone dmz
 add interface GigabitEthernet1/0/0

3.配置安全策略(默认全部拒绝)

默认情况下,安全策略均为拒绝,即没有配置允许的安全策略下,所有区域之间均无法访问。想要互访,必须配置对应的安全策略,且动作为允许。

security-policy              //进入安全策略视图
 rule name to_waiwang        //创建规则--名字是to_waiwan,该策略可以实现内网访问外网
  source-zone trust          //源区域是信任域--内网
  destination-zone untrust   //目的区域是非信任域--外网
  action permit              //动作是允许
 rule name to_fuwuqi         //创建规则--名字是to_fuwuqi,该策略可以实现内网访问服务器
  source-zone trust          //源区域是信任域--内网
  destination-zone dmz       //目的区域是中间域--服务器
  action permit              //动作是允许

4.配置NAT策略

内网地址无法直接上网,因为内网地址是私网地址,必须转换成公网地址,才能实现上网。

nat-policy                   //进入NAT策略视图
 rule name to_waiwang        //创建规则--名字是to_waiwan,该策略可以实现内网地址从私网有地址转换为公网地址
  source-zone trust			 //源区域是信任域--内网
  destination-zone untrust   //目的区域是非信任域--外网
  action source-nat easy-ip	 //使用easy-ip的转换模式(使用出口的接口地址作为NAT转换的公网地址)

5.部分官方配置命令

1.创建接口/进入接口视图
[Huawei] interface interface-type interface-number
和交换机、路由器相同,interface命令用来创建接口或进入指定的接口视图。

2.(接口视图)配置接口允许通过的协议
[Huawei-GigabitEthernet0/0/1] service-manage { http | https | ping | ssh | snmp | netconf | telnet | all } { permit | deny }
service-manage命令用来允许或拒绝管理员通过HTTP、HTTPS、Ping、SSH、SNMP、NETCONF以及Telnet访问设备。
缺省情况下,接口开启了访问控制管理功能。仅有管理接口下 HTTP、HTTPS、Ping权限放开。非管理口所有权限都关闭。此时,即使配置了接口所在安全域允许访问local区域的安全策略,也不能通过该接口访问本地防火墙。
1.创建安全区域
[Huawei] firewall zone name zone-name [ id id ]  
firewall zone name命令用来创建安全区域,并进入安全区域视图。id表示安全区域ID,取值4~99,默认递增。
firewall zone命令用来并进入安全区域视图。防火墙默认的四个区域无需创建也不能删除。

2.(安全区域视图)设置安全区域优先级
[Huawei-zone-name] set priority security-priority
优先级取值范围为1~100,全局唯一,值越大优先级越高。系统默认的安全区域不能被删除,优先级也无法被重新配置或者删除。

3.(安全区域视图)添加接口到安全区域
[Huawei-zone-name] add interface interface-type { interface-number | interface-number.subinterface-number }
安全区域在使用时需要与防火墙的特定接口相关联,即需要将接口加入到安全区域。该接口既可以是物理接口,也可以是逻辑接口。
1.进入安全策略视图
[Huawei] security-policy
安全策略规则的创建、复制、移动和重命名都在此视图下完成。

2.(安全策略视图)创建规则
[Huawei-policy-security] rule name rule-name
rule name命令用来创建安全策略规则,并进入安全策略规则视图。

3.(安全策略规则视图)配置安全策略规则的源安全区域
[Huawei-policy-security-rule-name] source-zone { zone-name &<1-6> | any }
命令中zone-name必须为系统已经存在的安全区域名称。安全策略规则一次最多添加或删除6个安全区域。

4.(安全策略规则视图)配置安全策略规则的目的安全区域
[Huawei-policy-security-rule-name] destination-zone { zone-name &<1-6> | any }

5.(安全策略规则视图)配置安全策略规则的源IP地址
[Huawei-policy-security-rule-name] source-address ipv4-address { ipv4-mask-length | mask mask-address} 
命令中mask-address使用反掩码。

6.(安全策略规则视图)配置安全策略规则的目的IP地址
[Huawei-policy-security-rule-name] destination-address ipv4-address { ipv4-mask-length | mask mask-address} 
命令中mask-address使用反掩码。

7.(安全策略规则视图)配置服务
[Huawei] service { service-name &<1-6> | any }
service命令用来配置服务,例如service protocol命令用来在安全策略中直接引用TCP/UDP/SCTP端口或IP层协议。

8.(安全策略规则视图)配置安全策略规则的动作
[Huawei] action { permit | deny }
防火墙默认的动作为deny。

结语

	以上就是华为防火墙的实验,如果有不理解的或者想要防火墙的设备包欢迎评论和私信!!!
Logo

腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。

更多推荐