典型防火墙配置案例-组网需求
某公司通过一台 Quidway 2501路由器的接口Serial0 访问 Internet ,公司内部对外提供 www、ftp 和 telnet 服务,公司内部子网为129.38.1.0,其中,内部 ftp 服务器地址为129.38.1.1,内部 telnet 服务器地址为129.38.1.2,内部 www 服务器地址为129.38.1.3,公司对外地202.38.160.1。在路由器上配置了地址转换,这样内部特定 PC 机(129.38.1.4)可以访问Internet ,外部PC可以访问内部服务器。通过配置防火墙,希望实现以下要求:
外部网络只有特定用户可以访问内部服务器
内部网络只有特定主机可以访问外部网络。
假定外部特定用户的 IP 地址为202.39.2.3 。
参考配置如下:
允许防火墙:
Quidway(config)# firewall enable
设置防火墙缺省过滤方式为允许包通过:
Quidway(config)# firewall default permit
配置访问规则禁止所有包通过:
Quidway(config)# access-list 100 deny ip any any
配置规则允许特定主机(129.38.1.4)访问外部网,允许内部服务器访问外部网:
Quidway(config)# access-list 101 permit ip 129.38.1.4 0 any
Quidway(config)# access-list 101 permit ip 129.38.1.1 0 any
Quidway(config)# access-list 101 permit ip 129.38.1.2 0 any
Quidway(config)# access-list 101 permit ip 129.38.1.3 0 any
配置规则允许特定用户从外部网访问内部服务器:
Quidway(config)# access-list 102 permit tcp 202.39.2.3 0 202.38.160.1 0
配置规则允许特定用户从外部网取得数据(只允许端口号大于1024的包):
Quidway(config) # access-list 102 permit tcp any 202.38.160.1 0 gt 1024
Quidway(config) # access-list normal 102 deny ip any any
将规则100 作用于从接口 Ethernet0 进入的包:
Quidway(config)# interface ethernet 0
Quidway(config-if-Ethernet0)# ip access-group 100 in
将规则101 作用于从接口 Ethernet0 进入的包:
Quidway(config-if-Ethernet0)#ip access-group 101 in
将规则102 作用于从接口 Serial0 进入的包:
Quidway(config-if-Serial0)# ip access-group 102 in
在接口 Serial0上作地址转换:
Quidway(config-if-Serial0)# nat enable
在全局模式下配置 Nat server :
natserver ftphost 129.38.1.1
natserver telnethost 129.38.1.2
natserver wwwhost 129.38.1.3
其他内容如各端口 IP 地址,封装协议等这里不再赘述。