网络安全专题 | 第十章 | 防火墙基础配置 | 安全策略

拓扑图

如上图所示,防火墙部署在企业边界。

(1)防火墙三个端口分别归属不同安全区域等。(g1/0/0 为 trust,G1/0/1 为 untrust,G0/0/0 为 DMZ)
复制代码
[FW1]firewall zone trust 
[FW1-zone-trust]add interface g1/0/0

[FW1]firewall zone untrust 

[FW1]firewall zone dmz
(2)通过配置 easy NAT 实现内部主机访问 AR1。
C 复制代码
[FW1]security-policy
[FW1-policy-security]rule name tr_un
[FW1-policy-security-rule-tr_un]source-zone trust
[FW1-policy-security-rule-tr_un]destination-zone untrust
[FW1-policy-security-rule-tr_un]source-address 192.168.1.0 mask 255.255.255.0
[FW1-policy-security-rule-tr_un]source-address 192.168.2.0 mask 255.255.255.0
[FW1-policy-security-rule-tr_un]action permit

 // nat-polict策略:
[FW1]nat-policy 
[FW1-policy-nat]rule name tr_to_un
[FW1-policy-nat-rule-tr_to_un]source-zone trust
[FW1-policy-nat-rule-tr_to_un]egress-interface GigabitEthernet1/0/1
[FW1-policy-nat-rule-tr_to_un]source-address 192.168.1.0 mask 255.255.255.0
[FW1-policy-nat-rule-tr_to_un]source-address 192.168.2.0 mask 255.255.255.0
[FW1-policy-nat-rule-tr_to_un]action source-nat easy-ip
(3)防火墙配置安全策略,使 PC1 和 PC2 可以访问处于 DMZ 区域的 PC3。
C 复制代码
#
rule name to_dmz
source-zone trust
destination-zone dmz
source-address 192.168.1.0 mask 255.255.255.0
source-address 192.168.2.0 mask 255.255.255.0
destination-address 192.168.3.0 mask 255.255.255.0
action permit
#
// 这里注意G0/0/0口默认绑定的有vpn实例,不存在路由
#
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 192.168.3.1 255.255.255.0
alias GE0/METH
#
  • 小提示:华为设备不论从高等级到低等级都是默认拒绝的,而思科的设备,从高到低可以通过,从低到高是拒绝的。
(4)防火墙配置安全策略与端口映射,使 PC4 可以通过 60.1.1.1 的 8080 端口访问 PC3 的 80 端口。
C 复制代码
#
rule name 2
source-zone untrust
destination-zone dmz
destination-address 192.168.3.0 mask 255.255.255.0
action permit
#

// 端口映射
[FW1]nat server protocol tcp global 60.1.1.1 8080 inside 192.168.3.100 80 
(5)配置端口映射后,管理员通过 ping 命令测试,发现不能通信,原因是什么?如果解决?
c 复制代码
[FW1]nat server protocol icmp global 60.1.1.1 inside 192.168.3.100
  • 配置一条ICMP映射,注意:如果只在接口上配置允许ping是不行的。
相关推荐
洲覆2 小时前
【网络编程】TCP 通信
网络·网络协议·tcp/ip·php
悟能不能悟2 小时前
文件同步神器-rsync命令讲解
服务器·网络
秋风起,再归来~3 小时前
Linux网络编程【UDP网络通信demon】
linux·网络·udp
许野平3 小时前
Rust 同步方式访问 REST API 的完整指南
java·网络·rust·restful
༺ཉི།星陈大海།ཉྀ༻CISSP3 小时前
专网内网IP攻击防御:从应急响应到架构加固
网络·安全
Crazy________5 小时前
28Rsync免密传输与定时备份
linux·运维·服务器
阿巴~阿巴~6 小时前
信号产生机制全解析:从硬件异常到软件触发的深度探索
linux·运维·服务器
sky北城8 小时前
linux基本系统服务——DNS服务
linux·运维·服务器
William一直在路上10 小时前
KONG API Gateway中的核心概念
网络·gateway·kong
张人玉10 小时前
WinForm之ListBox 控件
服务器·windows·microsoft