先简单说下华为路由器域间防火墙的一些基本特性:

  • 状态化防火墙(简单说就是高级别访问低级别会记录状态)
  • AR系列可以设置16种区域安全级别0-15,15保留给Loca区域使用
  • 位于两个不同级别的安全区域,低级别的默认不能主动访问高级别区域
  • 如果高级别区域主动访问低级别的区域,防火墙会记录一个状态,通常由五元组(协议、源目端口和IP)构成
  • 收到的数据先匹配域间防火墙安全策略,安全策略没有匹配的,再匹配状态
  • 由于这种状态化的机制实现A能随时访问B,B却需要A主动访问时才能访问
  • 高级别流向低级别区域的数据方向为Outbound
  • 低级别流向高级别区域的数据方向为Inbound
  • 域间防火墙默认策略
    packet-filter default deny inbound
    packet-filter default permit outbound
    接下来看一个实例加深理解
    实验拓扑:
    AR系列路由器域间防火墙实施ACL_第1张图片
    需求:
    1. HR(人力资源)与YF(研发)不能互访
    2. HR随时可以但只能访问WEB和FTP
    3. YF只能在上班时间能访问FTP
    4. WB(外部)只能访问WEB
      配置:
      各接口IP配置此处省略
      1.创建安全区域并指定安全级别
      firewall zone HR
      priority 12
      firewall zone YF
      priority 10
      firewall zone trust #trust为web与ftp服务器所在区域
      priority 14
      firewall zone WB
      priority 8
      2.将接口加入相应安全区域
      interface Vlanif1
      ip address 10.0.0.254 255.255.255.0
      zone WB
      interface GigabitEthernet0/0/0
      ip address 192.168.1.254 255.255.255.0
      zone HR
      interface GigabitEthernet0/0/1
      ip address 192.168.2.254 255.255.255.0
      zone YF
      interface GigabitEthernet0/0/2
      ip address 192.168.3.254 255.255.255.0
      zone trust
      3.创建ACL
      先定义YF研发部工作时间
      time-range YF-working 08:00 to 17:00 working-day
      acl number 2000
      description deny-HR-to-YF #禁止HR访问YF
      rule 10 deny source 192.168.1.0 0.0.0.255
      acl name HR-trust 3000 #只允许HR访问web和ftp服务
      rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq www
      rule 20 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq ftp
      acl name YF-trust 3001
      rule 30 permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www
      rule 40 permit tcp source 192.168.2.0 0.0.0.255 destination-port eq ftp time-range YF-working #定义基于时间的ACL
      acl name WB-trust 3002
      rule 5 permit tcp source 10.0.0.0 0.0.0.255 destination-port eq www
      4.启用路由器域间防火墙并实施ACL
      firewall interzone HR YF
      firewall enable
      packet-filter 2000 outbound
      firewall interzone trust HR
      firewall enable
      firewall interzone trust WB
      firewall enable
      packet-filter 3002 inbound
      firewall interzone trust YF
      firewall enable
      packet-filter 3001 inbound

到这里,所有需求都已经实现
总结如下:
由于域间防火墙的特性,它自动拒绝了所有从低级别区域主动访问高级别区域的流量,因此,我们只需要明确指出哪些流量该放行就ok