网络系统建设与运维 课件 P03-12. 防火墙配置基础

网络系统建设与运维在现代计算机网络的运维过程中，网络安全问题正在变得日益紧要和关键，在各种各样的网络安全事故中，轻则网络瘫痪，重则关键数据丢失，对业务的开展影响巨大（当下企业的业务流正在不断向互联网上转移），然而，绝大多数人并不了解网络安全，也不懂得如何防范，怎么才能保证网络的安全呢？防火墙就是这样的一种设备，他内置了很多安全策略，并且允许用户自行定制各种安全策略，通常他工作在园区网络的出口处，是内部网络和外部网络的连接点，本项目介绍防火墙的入门知识和常用配置。深入篇项目12防火墙配置基础一、学习目标1、掌握防火墙的工作原理；2、掌握防火墙的配置方法。二、网络拓扑图深入篇项目12防火墙配置基础三、环境与设备要求1、按下列清单准备好网络设备，并依图示搭建网络拓扑图；深入篇项目12防火墙配置基础设备型号数量交换机S37002路由器Router1防火墙USG55001计算机PC1服务器WebServer2浏览器Client22、为计算机和相关接口配置IP地址；3、Trust区域和Untrust区域之间能够自由互通；4、Trust区域能够访问DMZ区域的所有Web服务，不能进行其他通信；5、Untrust区域只能访问DMZ区域的特定Web服务，不能进行其他通信。深入篇项目12防火墙配置基础设备连接端口IP地址备注FW1G0/0/0SW1E0/0/1/24连接Trust区域FW1G0/0/1SW2E0/0/1/24连接DMZ区域FW1G0/0/2R1E0/0/0/24连接Untrust区域R1E0/0/0FW1G0/0/2/24--R1E0/0/1Client1/24--R1Loopback0--/32--四、认知与配置过程1、配置所有设备的接口IP地址略2、配置R1和FW1上的默认路由深入篇项目12防火墙配置基础[R1]iproute-static[SRG]iproute-static3、配置FW1的接口所属区域注：为方便用户使用，防火墙的G0/0/0口在出厂时已经配置了IP地址，并且被分配至了Trust区域，用户可按需自行修改。不同区域之间是不能通信的，此时PC1和其他区域的计算机之间不能ping通。深入篇项目12防火墙配置基础[SRG]firewallzonetrust[SRG-zone-dmz]addinterfaceg0/0/0[SRG-zone-dmz]q[SRG]firewallzonedmz[SRG-zone-dmz]addinterfaceg0/0/1[SRG-zone-dmz]q[SRG]firewallzoneuntrust[SRG-zone-dmz]addinterfaceg0/0/2[SRG-zone-dmz]q4、配置Trust和Untrust区域之间的自由互通深入篇项目12防火墙配置基础[SRG]policyinterzonetrustuntrustinbound[SRG-policy-interzone-trust-untrust-inbound]policy0[SRG-policy-interzone-trust-untrust-inbound-0]policysourceany[SRG-policy-interzone-trust-untrust-inbound-0]policydestinationany[SRG-policy-interzone-trust-untrust-inbound-0]actionpermit[SRG-policy-interzone-trust-untrust-inbound]q[SRG]policyinterzonetrustuntrustoutbound[SRG-policy-interzone-trust-untrust-outbound]policy0[SRG-policy-interzone-trust-untrust-outbound-0]policysourceany[SRG-policy-interzone-trust-untrust-outbound-0]policydestinationany[SRG-policy-interzone-trust-untrust-outbound-0]actionpermit接下来测试Trust区域和Untrust、DMZ区域之间的连通性：可以看到Trust区域和Untrust区域之间可以正常通信，但和DMZ区域之间不能通信。5、配置Trust和DMZ区域之间的Web访问深入篇项目12防火墙配置基础PC>pingPC>ping[SRG]policyinterzonetrustdmzoutbound[SRG-policy-interzone-trust-dmz-outbound]policy0[SRG-policy-interzone-trust-dmz-outbound-0]policysourceany[SRG-policy-interzone-trust-dmz-outbound-0]policydestinationany[SRG-policy-interzone-trust-dmz-outbound-0]policyserviceservice-sethttp[SRG-policy-interzone-trust-dmz-outbound-0]actionpermit接下来测试在Trust区域的Web访问：可以看到在Client2上可以正常地浏览DMZ区域的所有Web服务器。深入篇项目12防火墙配置基础接下来测试P1和DMZ区域的ping连通性：可以看到PC1仍然不能ping通DMZ区域的Web服务器，因为我们的安全策略是仅仅放行http流量。6、配置Untrust和DMZ区域之间的特定Web访问深入篇项目12防火墙配置基础PC>ping[SRG]policyinterzoneuntrustdmzinbound[SRG-policy-interzone-dmz-untrust-inbound]policy0[SRG-policy-interzone-dmz-untrust-inbound-0]policysourceany[SRG-policy-interzone-dmz-untrust-inbound-0]policydestination0[SRG-policy-interzone-dmz-untrust-inbound-0]policyserviceservice-sethttp[SRG-policy-interzone-dmz-untrust-inbound-0]actionpermit接下来测试在Untrust区域的Web访问：可以看到在Client1上可以浏览DMZ区域的Server1服务器，但不能浏览Server2服务器，因为我们的安全策略是放行的http流量。深入篇项目12防火墙配置基础五、测试并验证结果1、Trust区域和Untrust区域之间的访问控制与预期结果相符。2、Trust区域和DMZ区域之间的访问控制与预期结果相符。3、Untrust区域和DMZ区域之间的访问控制与预期结果相符。深入篇项目12防火墙配置基础六、项目小结与知识拓展1、防火墙上默认有四个区域，分别是local、trust、untrust、dmz（DemilitarizedZone，隔离区），默认的区域优先级分别为100、85、5、50，本实训用到了trust、untrust、dmz三个区域。默认情况下不同区域间是不可互通的，需要配置区域间的安全策略放行允许通过的流量。2、任何两个安全区域都构成一个安全域间（Interzone），并具有单独的安全域间视图，大部分的防火墙配置都在安全域间视图下配置。配置了防火墙的功能后，设备对这两个安全区域之间发生流动的数据进行检查。安全域间的数据流动具有方向性，包括入方向（inbound）和出方向（outbound）。入方向：数据由低优先级的安全区域向高优先级的安全区域传输。出方向：数据由高优先级的安全区域向低优先级的安全区域传输。深入篇项目12防火墙配置基础3、防火墙也可充当出口路由设备使用，执行NAT等出口路由相关的操作，下面的配置完成了从trust到untrust区域的NAT配置：深入篇项目12防火墙配置基础[SRG]nataddress-group09