防火墙安全策略①

防火墙

基本定义
防火墙是一种隔离（非授权用户在区域间）并过滤（对受保护网络有害流量或数据包）的设备。
防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下，用户才能够进入计算机内，如果不同意就会被阻挡于外，防火墙技术的警报功能十分强大，在外部的用户要进入到计算机内时，防火墙就会迅速的发出相应的警报，并提醒用户的行为，并进行自我的判断来决定是否允许外部的用户进入到内部，只要是在网络环境内的用户，这种防火墙都能够进行有效的查询，同时把查到信息朝用户进行显示，然后用户需要按照自身需要对防火墙实施相应设置，对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看，并且还能够对数据信息的上传和下载速度进行掌握，便于用户对计算机使用的情况具有良好的控制判断，计算机的内部情况也可以通过这种防火墙进行查看，还具有启动与关闭程序的功能，而计算机系统的内部中具有的日志功能，其实也是防火墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。
防火墙是在两个网络通讯时执行的一种访问控制尺度，能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

防火墙的工作原理
防火墙默认设置为deny any操作，如果不做任何放行策略操作，则默认拒绝所有。
防火墙策略：先定义区域到区域，源区域到目标区域，其次源地址到目标地址

防御对象：

• 授权用户
• 非授权用户

防火墙安全策略

在cloud中建立端口映射设置

在FW中设置

在windows上测试是否连接成功

打开浏览器进行图形化命令操作界面，输入账号密码进入

untrust区

设置g1/0/0接口

设置FW到Serve3的下一跳静态路由

在Server2上ping100.1.1.1

trust区

设置g1/0/1接口

在SW1上设置

[SW1]vlan 1
[SW1-vlan1]int vlan 1
[SW1-Vlanif1]ip add 10.1.255.1 24
[SW1-Vlanif1]vlan 2
[SW1-vlan2]int vlan 2
[SW1-Vlanif2]ip add 10.1.3.1 24
[SW1-Vlanif2]q
[SW1]int g0/0/2	
[SW1-GigabitEthernet0/0/2]port link-type access	
[SW1-GigabitEthernet0/0/2]port default vlan 2

设置FW到PC1的吓一跳路由

在PC1上ping10.1.255.2

DMZ区

在g0/0/2和g0/0/3做接口聚合

在SW2上设置

[SW2]int eth	
[SW2]int Eth-Trunk 1
[SW2-Eth-Trunk1]trunkport g0/0/1
[SW2-Eth-Trunk1]port link-type trunk 
[SW2-Eth-Trunk1]port trunk allow-pass vlan 10 to 11
[SW2]int g0/0/4	
[SW2-GigabitEthernet0/0/4]port link-type access 
[SW2-GigabitEthernet0/0/4]port default vlan 10
[SW2-GigabitEthernet0/0/4]int g0/0/3
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 11

配置vlan10的网关

配置vlan11的网关

在Server3上ping10.1.10.1

在Server1上ping10.1.11.1

网络中的操作一览

把互联网内部的通信放开

trust-to-untrust

新建安全策略

在AR1上写一条缺省

[ISP]ip route-static 0.0.0.0 0 100.1.1.1

在SW1上写一条缺省

[SW1]ip route-static 0.0.0.0 0 10.1.255.2

用PC1pingServer2

至此trust与untrust区可以正常通信

trust-to-DMZ

新建安全策略

在pc1上pingServer1和Server3

untrust-to-DMZ

新建安全策略

用Server2pingServer3

用Server2pingServer1

ping不通，策略成功
用Server2pingPC1

ping不通，策略成功

安全策略一览