一、实验需求

防火墙将网络隔离为三个安全区域,trust、untrust和OM,其中OM区域优先级为95。

现有需求如下:

1、trust区域10.1.1.0/24能访问Untrust区域的所有业务;

   trust区域10.1.2.0/24只能访问untrust区域的ftp;

2、trust区域能访问OM区域,但OM区域不能访问trust区域;

3、trust区域用户访问Untrust区域的ftp,主动模式也可以访问;

4、通过命令行或Web界面观察防火墙的安全策略,会话表,Server-map表等。

二、实验拓扑

三、配置步骤

1、创建VLAN,加接口,配置VLAN间路由

在SW1上创建vlan10 vlan20 和vlan99,将client1的网关放入vlanif 10 中,client2的网关放入vlan20 中,0/0/24口的IP地址—10.1.99.254放入vlan99上:

[SW1]vlan b 10 20

[SW1]int g0/0/1

[SW1-GigabitEthernet0/0/1]p l a

[SW1-GigabitEthernet0/0/1]p d v 10

[SW1-GigabitEthernet0/0/1]int g0/0/2

[SW1-GigabitEthernet0/0/2]p l a

[SW1-GigabitEthernet0/0/2]p d v 20

[SW1]vlan b 99

[SW1]int Vlanif 10

[SW1-Vlanif10]ip add 10.1.1.254 24

[SW1]int Vlanif 20

[SW1-Vlanif20]ip add 10.1.2.254 24

[SW1-Vlanif20]q

[SW1]int g0/0/24

[SW1-GigabitEthernet0/0/24]p l a

[SW1-GigabitEthernet0/0/24]p d v 99

[SW1-GigabitEthernet0/0/24]q

[SW1]int Vlanif 99

[SW1-Vlanif99]ip add 10.1.99.254 24

2、防火墙上创建安全区域,加接口

根据拓扑图创建OM和MTMG(管理)区域:创建安全区域OM,并设置优先级,而后加入对应的接口:

[FW1]firewall zone name OM

[FW1-zone-OM]set priority 11

[FW1-zone-OM]add interface GigabitEthernet 1/0/1

创建安全区域MTMG,设置优先级,加入对应的接口:

[FW1]firewall zone name MGMT

[FW1-zone-MGMT]set priority 12

[FW1-zone-MGMT]add interface GigabitEthernet 0/0/0

由于防火墙上的0/0/0接口默认在trust区域,故先在trust区域中奖该接口undo,而后再加入设置的管理区域MTMG中:

[FW1-zone-trust]undo add interface GigabitEthernet 0/0/0

[FW1]firewall zone MGMT

[FW1-zone-MGMT]add interface GigabitEthernet 0/0/0

下面查看防火墙上的安全区域设置:

3、配置配置防火墙接口IP

在防火墙上为其各个接口配置相对应的IP地址:

[FW1]int g1/0/0

[FW1-GigabitEthernet1/0/0]ip add 10.1.99.1 24

[FW1-GigabitEthernet1/0/0]int g1/0/1

[FW1-GigabitEthernet1/0/1]ip add 172.16.1.254 24

[FW1-GigabitEthernet1/0/1]int  g1/0/2

[FW1-GigabitEthernet1/0/2]ip add 11.1.1.1 24

[FW1-GigabitEthernet1/0/2]int g0/0/0

[FW1-GigabitEthernet0/0/0]ip add 172.16.10.1 24

4、配置全网路由

在防火墙和交换机之间利用OSPF建立一个区域,使得能够实现需求网段之间的通信:

[SW1]ospf

[SW1-ospf-1]area 0

[SW1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255

[SW1-ospf-1-area-0.0.0.0]network 10.1.2.0 0.0.0.255

[SW1-ospf-1-area-0.0.0.0]network 10.1.99.0 0.0.0.255

通过OSPF邻居内下发一个默认路由,即使得交换机上产生一个默认路由

从而使得到达交换机的数据能够由防火墙转发:

[FW1-ospf-1]default-route-advertise always

下面查看交换机和防火墙上的路由OSPF设置:

防火墙上:

交换机上:

5、配置防火墙安全策略

1>trust区域10.1.1.0/24能访问Untrust区域的所有业务;

[FW1-policy-security]rule name 1

[FW1-policy-security-rule-1]source-zone trust

[FW1-policy-security-rule-1]destination-zone untrust

[FW1-policy-security-rule-1]source-address 10.1.1.0 24

[FW1-policy-security-rule-1]action permit

[FW1-policy-security-rule-1]dis this

2023-07-19 08:02:38.430

#

 rule name 1

  source-zone trust

  destination-zone untrust

  source-address 10.1.1.0 mask 255.255.255.0

  action permit

#

Return

下面利用Client1对Server1进行连通性测试,查看是否能够访问到Server1 :

 由图可知,正常ping命令可以连通。

下面测试一下Client1与Server1的ftp和http服务能否访问成功:

由上图可知,服务均可完成。

2>trust区域10.1.2.0/24只能访问untrust区域的ftp;

[FW1-policy-security]rule name 2

[FW1-policy-security-rule-2]source-zone trust

[FW1-policy-security-rule-2]destination-zone untrust

[FW1-policy-security-rule-2]source-address 10.1.2.0 24

[FW1-policy-security-rule-2]service ftp

[FW1-policy-security-rule-2]action permit

[FW1-policy-security-rule-2]dis this

2023-07-19 08:05:35.930

#

 rule name 2

  source-zone trust

  destination-zone untrust

  source-address 10.1.2.0 mask 255.255.255.0

  service ftp

  action permit

#

Return

FTP服务测试:

http服务测试:

正常联通性能测试:

由于只启动了Client2与Server1之间的ftp服务,故仅此服务能够正常使用,其余无法连通。

3>trust区域能访问OM区域,但OM区域不能访问trust区域;

[FW1-policy-security]rule name 3

[FW1-policy-security-rule-3]source-zone trust

[FW1-policy-security-rule-3]destination-zone OM

[FW1-policy-security-rule-3]access-authentication

[FW1-policy-security-rule-3]action permit

[FW1-policy-security-rule-3]dis this

2023-07-19 08:07:52.990

#

 rule name 3

  source-zone trust

  destination-zone OM

  action permit

由上图可以看出,trust区域内的Client1、2 均能与OM区域内的Client3正常连通,但是OM区域内的Client无法与Client1、2正常连通。

3>trust区域用户访问Untrust区域的ftp,主动模式也可以访问;

由于要使trust区域用户访问Untrust区域的ftp,主动模式也可以访问,故启用防火墙的Ftp的检测功能,使得多通道通信能够畅通:

[FW1]firewall detect ftp

6、结果验证

Client1和Server1连接时查看到的会话表:

[FW1]dis firewall session table

利用Client2 对 Server1的ftp访问,查看此间的Server-map

[FW1]dis firewall server-map

三、实验总结

    通过此次实验,进一步深入学习到防火墙的相关知识,了解其工作时的性能。通过对防火墙安全区域的划分以及相关联通性测试,加深了防火墙本身固有区域的印象,同时对防火墙安全区域划分有了进一步的认知。通过实验,更好的理解了相关配置命令的实际意义,对ENSP 环境的操作熟练程度有了进一步的提升。

# 网络 # 华为
Logo
腾讯云开发者社区

腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。

更多推荐

终极指南:Flink SQL连接器版本管理从混乱到有序的升级之路

Apache Flink作为流处理领域的佼佼者,其SQL连接器的版本管理一直是开发者面临的核心挑战。本文将系统讲解Flink SQL连接器版本管理的最佳实践,帮助你轻松应对版本兼容性问题,实现从混乱到有序的升级之旅。## 连接器版本管理的常见痛点 😫在Flink应用开发中,连接器版本管理常常让开发者头疼不已。不同版本的连接器可能导致各种兼容性问题,例如API变更、功能差异甚至运行时错误。

avatar 腾讯云开发者社区

Elasticsearch复杂数据类型终极指南:从入门到精通

Elasticsearch作为功能强大的搜索引擎,支持多种复杂数据类型,让开发者能够灵活处理各种结构化和非结构化数据。本文将带你全面了解Elasticsearch中的复杂数据类型,从基础概念到实际应用,助你轻松掌握数据建模的核心技巧。## 内部对象:构建层级化数据结构在Elasticsearch中,对象类型(Object)是最基础的复杂数据类型之一,用于表示具有嵌套关系的数据。例如,我们可

avatar 腾讯云开发者社区

如何快速搭建Neon无服务器PostgreSQL:面向初学者的完整指南

Neon是一款革命性的无服务器PostgreSQL解决方案,它通过分离存储和计算层,实现了自动扩缩容、类代码式数据库分支以及零级扩展能力。本指南将帮助你从零开始搭建Neon开发环境,体验这款创新数据库的强大功能。## 准备工作:环境要求与依赖项在开始搭建Neon环境前,请确保你的系统满足以下要求:- Linux操作系统(推荐Ubuntu 20.04+或Debian 11+)- Git

avatar 腾讯云开发者社区