防火墙基础基础篇:配置基本转发策略(安全策略)
1 什么是安全策略?
安全策略指的是用于保护网络的规则。它是由管理员在系统中配置,决定了哪些流量可以通过,哪些流量应该被阻断。安全策略是防火墙产品的一个基本概念和核心功能。防火墙通过安全策略来提供业务管控能力,以保证网络的安全。
为了避免歧义,通常把针对一个组织的安全策略称为信息安全策略(Information Security Policy),而把后者称为防火墙安全策略(Firewall Security Policy,有时也简称为防火墙策略Firewall Policy)、防火墙规则(Firewall Rule)。在本文档中,我们主要介绍防火墙安全策略,并简称为安全策略。
简单一点来说,如果需要防火墙访问互联网或者外部网络,最基础的配置就是安全策略,因为它决定了哪些流量可以通过。
下面这个实验模拟内网用户访问外部网络,以路由器代替外部网络。
2 安全策略实验
2.1创建实验环境
2.2 配置防火墙接口IP地址
配置接口g1/0/1 IP地址,并开启ping功能
配置接口g1/0/2 IP地址,并开启ping功能
2.3 配置安全区域分别将g1/0/1加入trust区域、g1/0/2加入untrust区域
将g1/0/1加入trust区域
将g1/0/2加入untrust区域
2.4 配置默认路由访问公网
2.5 配置安全策略
[FW1]security-policy
[FW1-policy-security]rule name policy1 //创建策略名为policy1
[FW1-policy-security-rule-policy1]source-zone trust //设置源区域为trust
[FW1-policy-security-rule-policy1]destination-zone untrust //设置目标区域为untrust
[FW1-policy-security-rule-policy1]source-address 192.168.100.0 24
[FW1-policy-security-rule-policy1]action permit //安全规则的动作,这里表示允许该规则流量的通过
2.6 配置路由器
3 测试结果
给PC添加IP地址
在PC上ping路由器,查看防火墙会话表
可以看到,内网的PC可以ping通路由器,说明内网用户可以访问外网。