目錄

防火墻

1.1防火墻的定義

1.2路由器、防火墻、交換機(jī)三者之間的關(guān)系

1.3防火墻安全區(qū)域

1.4報文在安全區(qū)域之間流動的方向

?1.5?安全區(qū)域的配置

1.6防火墻的檢查和會話機(jī)制

1.6.1狀態(tài)檢測

1.6.2會話機(jī)制

1.7基礎(chǔ)防火墻兩個實驗復(fù)現(xiàn)

1.7.1實現(xiàn)三層：Trust區(qū)域訪問Untrust區(qū)域

1.7.2實現(xiàn)二層：Unrust區(qū)域訪問Untrust區(qū)域

1.7.3 Trust區(qū)域 Untrust區(qū)域以及MDZ區(qū)域之間數(shù)據(jù)報文的流向路徑實驗

防火墻

1.1防火墻的定義

防火墻主要一個網(wǎng)絡(luò)免受另一個網(wǎng)絡(luò)的攻擊和入侵行為。防火墻靈活應(yīng)用于網(wǎng)絡(luò)邊界、子網(wǎng)隔離等位置。例如：企業(yè)網(wǎng)絡(luò)出口、大型網(wǎng)絡(luò)內(nèi)部子網(wǎng)隔離、數(shù)據(jù)中心邊界。

1.2路由器、防火墻、交換機(jī)三者之間的關(guān)系

路由器用來連接不同的網(wǎng)絡(luò)設(shè)備，通過路由協(xié)議保證互聯(lián)網(wǎng)互通，確保將數(shù)據(jù)報文轉(zhuǎn)發(fā)到目的地；

交換機(jī)用來組建局域網(wǎng)，作為局域網(wǎng)通信的重要樞紐，通過二層/三層交換快速轉(zhuǎn)發(fā)數(shù)據(jù)報文；

防火墻主要部署在網(wǎng)絡(luò)的邊界，對進(jìn)出網(wǎng)絡(luò)的訪問行為進(jìn)行控制，安全防護(hù)是其核心特性。

路由器與交換機(jī)的本質(zhì)是轉(zhuǎn)發(fā)，防火墻的本質(zhì)是控制

1.3防火墻安全區(qū)域

防火墻主要部署在網(wǎng)絡(luò)邊界起到隔離的作用，那么防火墻如何區(qū)分不同網(wǎng)絡(luò)，這就要引入一個重要的概念：安全區(qū)域（一個或多個接口的集合，防火墻通過接口來劃分網(wǎng)絡(luò)、表示數(shù)據(jù)報文的流動路線）當(dāng)數(shù)據(jù)報文在不同的安全區(qū)域之間流動時才會受到控制。

注意：在華為防火墻上，一個接口只能加入到一個安全區(qū)域中。

華為防火墻上已經(jīng)默認(rèn)提供了三個安全區(qū)域：Trust區(qū)域（該區(qū)域的受信任度高，通常用來定義內(nèi)部用戶的網(wǎng)絡(luò)；安全級別85）

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?Untrust區(qū)域（該區(qū)域不受信任的網(wǎng)絡(luò)，通常用來定義外網(wǎng)等不安全的網(wǎng)絡(luò)；安全級別5）

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? ? ? DMZ區(qū)域（該區(qū)域的受信任程度為中等，通常用來定義內(nèi)部服務(wù)器所在的網(wǎng)絡(luò)；安全級別50）

在網(wǎng)絡(luò)數(shù)量較少、環(huán)境簡單的場合下，使用默認(rèn)提供的安全區(qū)域就可以滿足劃分網(wǎng)絡(luò)的需求；如下圖所示：

當(dāng)然，在網(wǎng)絡(luò)數(shù)量較多的場合，還可以根據(jù)需要創(chuàng)建新的安全區(qū)域。

由上圖也可看出不同網(wǎng)絡(luò)的用戶互相訪問數(shù)據(jù)報文時在發(fā)防火墻上所走的路線；例如：內(nèi)部網(wǎng)絡(luò)訪問外網(wǎng)時，報文在防護(hù)墻上的路線是從Trust區(qū)域到Untrust區(qū)域；當(dāng)外部網(wǎng)絡(luò)訪問內(nèi)部服務(wù)器時，報文在防火墻上是路線是從Untrust區(qū)域到DMZ區(qū)域。

除了不同網(wǎng)絡(luò)之間流動的報文之外，還存在某個網(wǎng)絡(luò)到達(dá)防火墻本身的報文，以及防火墻本身發(fā)出的報文。防火墻上提供的Local區(qū)域，代表防火墻本身。凡是由防火墻主動發(fā)出報文就認(rèn)為是從Local區(qū)域中發(fā)出，凡是需要防火墻響應(yīng)并且處理的報文認(rèn)為是由Local區(qū)域接收。

1.4報文在安全區(qū)域之間流動的方向

在華為防火墻上，每個安全區(qū)域都必須有一個安全級別，該安全級別是唯一的，用1~100是數(shù)字表示，數(shù)字越大，代表該區(qū)域內(nèi)的網(wǎng)絡(luò)越可信。對于默認(rèn)的安全區(qū)域，它們的安全級別是固定的：Local區(qū)域的安全級別是100，Trust區(qū)域的安全級別是85，DMZ區(qū)域的安全級別是50，Untrust區(qū)域的安全級別是5。級別確定之后，安全區(qū)域就被分成了三六九等，高低有別。報文在兩個安全區(qū)域之間流動時，我們規(guī)定：報文從低級別的安全區(qū)域向高級別的安全區(qū)域流動時為入方向(Inbound)，報文從由高級別的安全區(qū)域向低級別的安全區(qū)域流動時為出方向(Outbound)。如下圖圖標(biāo)明了Local區(qū)域、Trust區(qū)域、DMZ區(qū)域和Untrust區(qū)域間的方向。

?1.5?安全區(qū)域的配置

安全區(qū)域的配置主要包括創(chuàng)建安全區(qū)域以及將接口加入安全區(qū)域，下面給出了創(chuàng)建一個新的安全區(qū)域test，然后將接口GE0/0/1加入該安全區(qū)域的過程。接口GE0/0/1可以工作在三層模式也可以工作在二層模式。配置命令非常簡單，唯一需要注意的是，新創(chuàng)建的安全區(qū)域是沒有安全級別的，我們必須為其設(shè)置安全級別，然后才能將接口加入安全區(qū)域。當(dāng)然，鑒于安全級別的唯一性，設(shè)置的安全級別不能和已經(jīng)存在的安全區(qū)域的級別相同。

        [FW]firewall zone name test                       //創(chuàng)建安全區(qū)域test
        [FW-zone-test]set priority 10                       //將安全級別設(shè)置為10
        [FW-zone-test]add interface GigabitEthernet 0/0/1       //將接口GE0/0/1加入安全區(qū)域

1.6防火墻的檢查和會話機(jī)制

1.6.1狀態(tài)檢測

首先我們還是需要在防火墻上設(shè)定安全策略，允許PC訪問Web服務(wù)器的報文通過。當(dāng)報文到達(dá)防火墻后，防火墻允許報文通過，同時還會針對PC訪問Web服務(wù)器的這個行為建立會話，會話中包含PC發(fā)出的報文信息如地址和端口等。當(dāng)Web服務(wù)器回應(yīng)給PC的報文到達(dá)防火墻后，防火墻會把報文中的信息與會話中的信息進(jìn)行比對。如果發(fā)現(xiàn)報文中的信息與會話中的信息相匹配，并且該報文符合HTTP協(xié)議規(guī)范的規(guī)定，則認(rèn)為這個報文屬于PC訪問Web服務(wù)器行為的后續(xù)回應(yīng)報文，直接允許這個報文通過，如下圖所示：

1.6.2會話機(jī)制

會話是通信雙方建立的連接在防火墻上的具體體現(xiàn)，代表兩者的連接狀態(tài)，一條會話就表示通信雙方的一個連接。防火墻上多條會話的集合就叫作會話表，先看一個標(biāo)準(zhǔn)的會話表項。

          http  VPN:public-->public 192.168.0.1:2049-->172.16.0.1:80

?重點介紹這個表項中的關(guān)鍵字段：

?http表示協(xié)議（此處顯示的是應(yīng)用層協(xié)議）

192.168.0.1表示源地址；

2049表示源端口；

172.16.0.1表示目的地址；

80表示目的端口。

其實通過會話表項中的“-->”符號就可以直觀區(qū)分，符號前面的是源，符號后面的是目的。源地址、源端口、目的地址、目的端口和協(xié)議這5個元素是會話的重要信息，我們將這5個元素稱之為“五元組”。只要這5個元素相同的報文即可認(rèn)為屬于同一條流，在防火墻上通過這5個元素就可以唯一確定一條連接。

1.7基礎(chǔ)防火墻兩個實驗復(fù)現(xiàn)

1.7.1實現(xiàn)三層：Trust區(qū)域訪問Untrust區(qū)域

1.7.2實現(xiàn)二層：Unrust區(qū)域訪問Untrust區(qū)域

實現(xiàn)三層：Trust區(qū)域訪問Untrust區(qū)域

1.對cLoud進(jìn)行基本配置：

?2.對防火墻的管理接口以及區(qū)域接口進(jìn)行配置?

3.添加區(qū)域報文流向策略

Trust區(qū)域----Untrust區(qū)域

?

4.測試：

?實現(xiàn)二層：Unrust區(qū)域訪問Untrust區(qū)域

?

?

?

二層：Unrust區(qū)域訪問Untrust區(qū)域測試：

1.7.3 Trust區(qū)域 Untrust區(qū)域以及MDZ區(qū)域之間數(shù)據(jù)報文的流向路徑實驗

?

防火墻的基本配置：

<USG6000V1>sys
[USG6000V1]interface g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.10.101 255.255.255.0
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 

Untrust區(qū)域的配置：

路由配置：

[ISP]dis ip int brief 
Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              100.1.1.2/24         up         up        
GigabitEthernet0/0/1              200.1.1.1/24         up         up        

在防火墻上給G1/0/0配上管理IP

在G1/0/0接口上配置路由：

測試：untrust區(qū)域到防火墻的連通性

?Trust區(qū)域配置

對Trust區(qū)域內(nèi)網(wǎng)的交換機(jī)進(jìn)行配置：

[SW1]vlan 20
[SW1]vlan 30
[SW1]interface Vlanif 30
[SW1-Vlanif30]ip address 10.1.3.1 24
[SW1]interface  Vlanif 20
[SW1-Vlanif30]ip address 10.1.3.1 24
[SW1-GigabitEthernet0/0/1]port link-type access 
[SW1-GigabitEthernet0/0/1]port default vlan 20
[SW1-GigabitEthernet0/0/2]port link-type access 
[SW1-GigabitEthernet0/0/2]port default vlan 30

給防火墻G1/0/1接口配置管理IP

配置一條到達(dá)10.1.3.0/24網(wǎng)段的路由?

?測試內(nèi)網(wǎng)PC到防火墻的連通性：

?MDZ區(qū)域的配置

對交換機(jī)進(jìn)行鏈路聚合配置：

[MDZ]interface Eth-Trunk 1
[MDZ-Eth-Trunk1]trunkport GigabitEthernet 0/0/1
[MDZ-Eth-Trunk1]trunkport GigabitEthernet 0/0/2
[MDZ-Eth-Trunk1]port link-type trunk 
[MDZ-Eth-Trunk1]port trunk allow-pass vlan 10 to 11
[MDZ]vlan 10
[MDZ]vlan 11
[MDZ]interface GigabitEthernet 0/0/4
[MDZ-GigabitEthernet0/0/4]port link-type access 
[MDZ-GigabitEthernet0/0/4]port default vlan 10
[MDZ]interface GigabitEthernet 0/0/3
[MDZ-GigabitEthernet0/0/3]port link-type access 
[MDZ-GigabitEthernet0/0/3]port default vlan 11

在防火墻上進(jìn)行接口聚合的配置：

配置連個vlan接口：

配置防火墻策略：

Trust區(qū)域訪問Untrust區(qū)域

?待補(bǔ)充...........文章來源地址http://www.zghlxwxcb.cn/news/detail-772388.html

到了這里，關(guān)于【安全防御之防火墻基礎(chǔ)】的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！