华为防火墙ftp_华为防火墙实现web、ftp的安全发布综合实验
实验拓扑:
配置要求:
1.client2与clien3都属于trust区,但是无法互通;
2.trust区能访问dmz区但是dmz访问不了trust区;
3.将dmz区nat到公网地址,以便访问该web ftp服务;
4.开启防火墙,实现telnet外部远程管理 ;
配置思路与步骤:
思路:配置各区域接口的ip地址,规划公司设备布局,划分区域,:
添加防火墙策略,
开启telnet服务,达到远程管理华为的防火墙。
配置nat区域的地址池,以便安全发布web 服务器;
步骤:
1.配置公司防火墙FW1各区域接口的ip地址,
规划公司防火墙FW1的trust区域:
规划公司防火墙FW1的untrust区域:
规划公司防火墙FW1的dmz区:
2.当前同属于trust区域的,是互相可以访问的,为实现它们之间的不互通,则需要创建防火墙策略实现;
策略如下:
创建策略1 ,并应用策略:
注意:上面的命令策略仅能实现财务访问不了技术部【即source 10.1.1.1到destnation 10.1.2.1 的访问】,
但是技术部依然可以访问财务部,不能达到互访的目的;
所以,为实现两者都不能互访的目的,应该再创建技术部到财务的策略:
3.创建trust区到dmz区的防火墙策略,允许trust区的用户可以访问dmz区域的web服务器,但dmz区不能访问trust区
注:firewall packet-filter default permit interzone trust dmz【trust dmz , 两者的顺序可以随便,如写成dmz trust 也可以】
direction outbound // 允许trust区的用户访问dmz区 从级别高的到低的访问,用outbound,反之用inbound
为dmz区的安全考虑,不允许dmz区访问trust区和untrust ,所以FW1默认是拒绝dmz区访问别的区域的。如下图:
注:display firewall packet-filter default all //查看防火墙所有数据流量默认策略
4.配置防火墙,实现外网访问dmz区域【为安全考虑,只允许icmp www ftp 服务】
默认情况下:untrust区用户是禁止访问dmz区!
开启untrust区到dmz区的访问,
命令:firewall packet-filter default permit interzone untrust dmz direction inbound
添加防火墙和R1路由间的路由:
R1:ip route- static0.0.0.0 0.0.0.0 202.1.1.254
【FW1]ip route-static 0.0.0.0 0.0.0.0 202.1.1.1
现在外网就可以访问dmz区的web ftp 服务器
注:该配置在现实中是不可取的,
1).因为intenet是不可能配置路由的,属于非法操作----外网用BGP [可以用NAT或***技术解决】
2).防火墙上也不能有路由,不能允许untrust区到dmz区流量全部放行,不然病毒也是放行的,对内网安全构成威胁
只放行untrust到dmz中的icmp www ftp服务
关闭刚才的配置服务:firewall packet-filter default deny interzone untrust dmz direction inbound
现在,外网是访问不了dmz区的!
配置icmp www ftp 放行服务:【只放行icmp www ftp】
第一步:
创建服务集:
[FW1]ip service-set toserver type object //创建服务集 toserver 类型为object 【toserver这个单词不是命令,可以随便命名】
[FW1-object-service-set-toserver]service 0 protocol icmp //服务顺序 0 协议为 icmp
[FW1-object-service-set-toserver]service 1 protocol tcp destination-port 80 //服务顺序1 协议为 tcp 目标端口80
[FW1-object-service-set-toserver]service 2 protocol tcp destination-port 21 //服务顺序1 协议为 tcp 目标端口21
第二步:
开启策略:
[FW1]policy interzone untrust dmz inbound //开启untrust区到dmz区方向的流量,并进入该策略
[FW1-policy-interzone-dmz-untrust-inbound]policy 10 //创建策略10,并进入策略10
[FW1-policy-interzone-dmz-untrust-inbound-10]policy service service-set toserver 【标红的为上面服务集的名字】
//应用上面创建的服务集策略
[FW1-policy-interzone-dmz-untrust-inbound-10]policy destination 10.1.3.2 0.0.0.0 【0.0.0.0 代表精确匹配】
策略目标地址10.1.3.2
[FW1-policy-interzone-dmz-untrust-inbound-10]action permit // 允许以上策略集
现在,即可实现外网icmp www ftp到dmz,别的服务到不了dmz,但是验证时你会发现icmp www没问题,而ftp访问不了;
因为FTP是有一个双通道的概念,而防火墙默认是不支持双通道的;
现在外网才可以访问ftp服务:
而防火墙策略中的untrust到dmz依然是关闭的,说明只放行icmp www ftp服务
如下图:
配置NAT地址转换,实现内网的安全:
先清除之前R1配置的路由:
[R1]undo ip route-static 10.1.3.0 255.255.255.0 202.1.1.254
当前内网是通不到外网的;
配置trust区到untrust区的nat
[FW1]nat address-group 1 202.1.1.2 202.1.1.2 //创建nat转换地址池为202.1.1.2
[FW1]nat-policy interzone trust untrust outbound //进入trust区到untrust区的nat策略配置
[FW1-nat-policy-interzone-trust-untrust-outbound]policy 10
[FW1-nat-policy-interzone-trust-untrust-outbound-10]action source-nat
//开启源nat
[FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.1.0 mask 24
//添加源地址范围为 10.1.1.0 24
[FW1-nat-policy-interzone-trust-untrust-outbound-10]address-group 1
//调用刚才创建的nat地址池 1
配置trust区到untrust区的nat【也可以用easy-ip 配置,直接nat到接口g0/0/3,节省公网ip】
[FW1]nat-policy interzone trust untrust outbound //进入trust区到untrust区的nat策略配置
[FW1-nat-policy-interzone-trust-untrust-outbound]policy 11
[FW1-nat-policy-interzone-trust-untrust-outbound-11]action source-nat
//开启源nat
[FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.2.0 mask 24
//添加源地址范围为 10.1.1.0 24
[FW1-nat-policy-interzone-trust-untrust-outbound-10]easy-ip interface g0/0/3
//直接将内网的10.1.2.0网段转换到g0/0/3接口上
以上两种nat技术方法都可以实现内网ip地址转换的公网地址,保证内网的安全,但是easy技术相对来说可以
节省ip ,不用再买另一个公网ip地址
dmz区web/ftp的发布
直接用静态nat实现地址转换
[FW1]nat server global 202.1.1.3 inside10.1.3.2 //将内部10.1.3.2 转换到公网地址202.1.1.3上
结合上面的配置,直接实现dmz区的web /ftp 区不能访问到别的区域,但是trust和untrust都可以访问,特别
是untrust只有,ping /http/ftp服务可以访问内部的服务器,而别的服务无法访问进到内网!