FW工作原理与路由器配置上的区别:
-
FW接口配IP地址 + 接口加入到安全区域
默认防火墙接口不属于任何安全区域
防火墙安全区域类型:
Trust:信任区域,优先级85,常用于连接内网设备
Untrust:非信任区域,优先级5,常用于连接外网
DMZ:非军事管理区,优先级50,用于连接服务器的接口
Local:本地区域,默认优先级100,代表防火墙本身
防火墙安全区域之间默认动作是禁止访问的
防火墙同一个安全区域下,默认是允许访问的
防火墙接口默认是禁止ping、telnet、http
防火墙 FW 当前关键配置:
接口配置:
interface GigabitEthernet1/0/0 // 市场部
ip address 192.168.1.254 255.255.255.0
service-manage ping permit
interface GigabitEthernet1/0/1 // 生产部
ip address 192.168.2.254 255.255.255.0
service-manage ping permit
interface GigabitEthernet1/0/2 // 服务器区
ip address 172.16.1.254 255.255.255.0全安区域:把"市场部 / 生产部"两个内网口加入 trust (优先级 85)
把"服务器"口加入 dmz(优先级 50)
firewall zone trust
add interface GigabitEthernet1/0/0
add interface GigabitEthernet1/0/1
firewall zone dmz
add interface GigabitEthernet1/0/2安全策略:
-
方向:trust → dmz(inbound,默认拒绝,必须显式放行)。
-
源地址:192.168.1.0/24、192.168.2.0/24(市场+生产)。
-
目的地址:172.16.1.1/32(Server1)。
-
服务:http(80)、icmp(ping)。
-
动作:permit。
security-policy
rule name t_d_icmp
source-zone trust
destination-zone dmz
source-address 192.168.1.0 24
source-address 192.168.2.0 24
destination-address 172.16.1.1 32
service http
service icmp
action permit