防火墙技术与应用课件 模块3 安全区域与安全策略

模块3安全区域与安全策略防火墙技术与应用微课版01模块概述03知识准备04项目实施02教学目标C教学过程壹模块概述模块概述华为防火墙是一种基于区域的防火墙，在防火墙中引入“安全区域”的概念是为了对网络流量进行安全等级划分，以确定何时需要对流量进行检测。安全策略是指按一定的规则，控制防火墙对流量转发以及对流量进行内容安全一体化检测的策略。规则的本质是包过滤。安全策略的主要应用是对跨防火墙的网络互访进行控制。通过防火墙安全策略可以控制内网访问外网的权限、控制内网不同安全级别的子网间的访问权限等；同时，能够对设备本身的访问进行控制，如限制哪些IP地址可以通过Telnet和Web等方式登录设备，控制网管服务器、网络时间协议（NetworkTimeProtocol，NTP）服务器等与设备的互访等。贰教学目标教学目标知识目标技能目标素养目标1．了解安全区域的概念。2．熟悉防火墙默认的安全区域。3．了解安全策略的作用。4．掌握防火墙的安全策略的匹配规则。1．培养边界防护思维，划分安全区域时主动识别不同网络的信任级别。2．强化策略影响预判能力，部署ASPF前先系统剖析业务流量特征。3．树立纵深防御理念，实现安全区域与策略的联动配置。1．能够合理地规划安全区域。2．能够熟练地配置安全区域。3．能够使用CLI及Web界面配置安全策略。4．能够根据实际情况配置ASPF功能。叁知识准备知识准备3.2.1安全区域

3.2.2安全策略3.2.3ASPF3.3.1安全区域1.安全区域的作用安全区域用来划分网络。华为防火墙默认在同一安全区域内的数据流动不存在安全风险，不需要部署安全策略，只有不同安全区域之间的数据流动，才会触发安全检查，实施相应的安全策略。但是华为防火墙也支持同一个安全域内报文控制。右图中，把防火墙的4个接口划分到3个安全区域中，对应三个网络。这三个网络相互之间默认不允许互相访问。安全区域A安全区域B安全区域C12343.3.1安全区域

华为防火墙默认定义了四个安全区域：Trust区域01DMZ区域03Untrust区域02Local区域04四个安全区域2、默认的安全区域受信任的区域，通常用来定义内部用户所在的网络。不受信任的区域，通常用来定义Internet等不安全的网络。中等受信任程序的区域，通常用来定义内部服务器所在的网络。代表防火墙本身。比如防火墙主动发起的报文以及抵达防火墙自身的报文，比如在防火墙上执行ping所产生的报文。3.3.1安全区域2、默认的安全区域在网络数量较少，环境简单的场合，默认的安全域可以满足网络划分需求。如右图中，接口1、2连接内部用户，可以划分到Trust安全区域。接口3连接内部服务器，划分到DMZ区域。接口4连接到Internet，划分到Untrust区域。TrustDMZUntrust12343.3.1安全区域用来表示安全区域的受信任程度，用数字1—100表示，数字越大，区域内的网络越可信。默认安全区域的安全级别是固定的。Local：安全级别为100，表示完全可信。Trust：安全级别为85，可信任度较高。DMZ：安全级别为50，中等可信。Untrust：安全级别为5，可信任度较低。3.安全级别3.3.1安全区域（1）天线数4.区域间报文方向入方向（Inbound）：报文从低级别的安全区域向高级别的安全区域流动时为入方向。出方向（Outbound）：报文从由高级别的安全区域向低级别的安全区域流动时为出方向。源安全区域ToLocal（100）ToTrust（85）ToDMZ（50）ToUntrust（5）Local（100）—出方向出方向出方向Trust（85）入方向—出方向出方向DMZ（50）入方向入方向—出方向Untrust（5）入方向入方向入方向—3.3.2安全策略一、安全策略的原理当入数据流经过防火墙时，防火墙查找安全策略，若找到，则根据安全策略定义规则对数据包进行处理，若未找到，则采用默认的策略操作。防火墙安全策略作用：根据定义的规则对经过防火墙的流量进行筛选，并根据关键字确定筛选出的流量如何进行下一步操作。入数据流出数据流BBAABBBAAAA

AAAAAAPolicy0：允许A后续操作Policy1：拒绝B后续操作防火墙安全策略默认策略操作3.3.2安全策略会话表项源IP地址源端口目的IP地址目的端口协议用户应用2000023TCPabcTelnet源IP地址源端口目的IP地址目的端口协议用户应用2320000TCPabcTelnetServerClientSession:TCP:20000

:23ClientServer创建会话表命中会话表该报文通过Server:23Host:200003.3.2安全策略二、安全策略的创建3.3.2安全策略三、安全策略的匹配规则3.3.2安全策略四、安全策略的过滤机制3.3.3ASPFASPF是基于状态检测的报文过滤，可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则（生成Server-map表）。以多通道协议（如FTP、H.323、SIP等）为例，这些多通道协议的应用需要先在控制通道中协商后续数据通道的地址和端口，然后根据协商结果建立数据通道连接。由于数据通道的地址和端口是动态协商的，管理员无法预知，因此无法制定完善精确的安全策略。为了保证数据通道的顺利建立，只能放开所有端口，这样显然会给服务器或客户端带来被攻击的风险。开启ASPF功能后，防火墙通过检测协商报文的应用层携带的地址和端口信息，自动生成相应的Server-map表，用于放行后续建立数据通道的报文，相当于自动创建了一条精细的“安全策略”。肆项目实施3.3.1配置安全区域实训：配置安全区域在防火墙网络中，将不同的接口划分到不同的安全区域，就对网络流量进行了安全等级的划分，从而确定对哪些网络流量进行检测与控制。任务描述3.3.1配置安全区域任务实施1．拓扑图2．需求说明为保障网络安全，将防火墙网络划分为四个安全区域。其中三个区域为默认安全区域，第四个区域为标定其他流量，自定义other安全区域。TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3G1/0/5PC11PC22PC33PC44PC55FW1other3.3.1配置安全区域3．配置说明任务实施设置防火墙各接口及PC的IP地址创建安全区域other，设置安全级别为60将各接口加入到安全域测试各区域间网络的连通性3.3.1配置安全区域操作步骤

设置IP地址

创建安全区域接口加入到安全区域[FW1]interfaceGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress24//为方便测试，开启ping服务[FW1-GigabitEthernet1/0/1]service-managepingpermit[FW1-GigabitEthernet1/0/1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress24[FW1-GigabitEthernet1/0/2]interfaceGigabitEthernet1/0/3[FW1-GigabitEthernet1/0/3]ipaddress24[FW1-GigabitEthernet1/0/3]interfaceGigabitEthernet1/0/4[FW1-GigabitEthernet1/0/4]ipaddress24[FW1-GigabitEthernet1/0/4]interfaceGigabitEthernet1/0/5[FW1-GigabitEthernet1/0/5]ipaddress24[FW1-GigabitEthernet1/0/5]quit设置FW1各接口IP地址：TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3otherG1/0/5PC11PC22PC33PC44PC55FW13.3.1配置安全区域操作步骤

设置IP地址

创建安全区域接口加入到安全区域在FW1上创建安全区域：[FW1]firewallzonenameother//设置安全级别[FW1-zone-other]setpriority60[FW1-zone-other]quit[FW1]displayzone//显示所有安全区域

TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3otherG1/0/5PC11PC22PC33PC44PC55FW13.3.1配置安全区域操作步骤

设置IP地址

创建安全区域接口加入到安全区域TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3otherG1/0/5PC11PC22PC33PC44PC55FW1[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceg1/0/1[FW1-zone-trust]addinterfaceg1/0/2[FW1-zone-trust]firewallzoneuntrust[FW1-zone-untrust]addinterfaceg1/0/3[FW1-zone-untrust]firewallzonedmz[FW1-zone-dmz]addinterfaceg1/0/4[FW1-zone-dmz]firewallzoneother[FW1-zone-other]addinterfaceg1/0/5[FW1-zone-other]quit在FW1上将接口加入到安全区域3.3.1配置安全区域（四）操作步骤连通性测试测试同一安全区域下的PC1和PC2是否可以互通其余不同安全区域的PC是否可以互通TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3otherG1/0/5PC11PC22PC33PC44PC55FW13.3.1配置安全区域Local安全区域不可以修改，也不能手动加入接口。各安全区域之间不通，是因为其间的默认安全策略禁止所有报文通过。华为防火墙各接口必须加入某个安全域，才能正常工作。注意事项3.3.2配置简单的安全策略实训：配置简单的安全策略某公司有一台托管于运营商的服务器，内网用户均可访问，但有一台计算机由于特殊原因，不允许访问这台专用服务器。通过配置安全策略，实现上述要求。任务描述3.3.2配置简单安全策略(三)任务实施1．拓扑图2．需求说明要求除PC1以外的/24网段可以访问服务器。1/24服务器G1/0/1/24TrustFW1PC1PC2/24G1/0/6Untrust0/242/243．配置说明(三)任务实施配置各计算机、服务器的IP地址；配置防火墙各接口的IP地址、安全域、服务；配置安全策略，满足访问需求。3.3.2配置简单安全策略（四）关键操作步骤

配置安全策略

测试结果[FW1]security-policy

//进入安全策略视图[[FW1-policy-security]rulenamePC1toS//创建名为PC1toS的安全规则[FW1-policy-security-rule-PC1toS]sourcre-zonetrust//源安全区域为trust[FW1-policy-security-rule-PC1toS]destination-zoneuntrust//目的安全区域为untrust[FW1-policy-security-rule-PC1toS]source-address132//源地址为主机地址1[FW1-policy-security-rule-PC1toS]destination-address032//目的地址为主机地址0[FW1-policy-security-rule-PC1toS]actiondeny//设置匹配动作为禁止[FW1-policy-security-rule-PC1toS]displaythis//显示当前项目的配置情况配置PC1的安全策略：[FW1]security-policy

[[FW1-policy-security]rulenameOtoS[FW1-policy-security-rule-OtoS]sourcre-zonetrust[FW1-policy-security-rule-OtoS]destination-zoneuntrust[FW1-policy-security-rule-OtoS]source-address24//源地址为/24网段[FW1-policy-security-rule-OtoS]destination-address032[FW1-policy-security-rule-OtoS]actionpermit//设置匹配动作为允许[FW1-policy-security-rule-OtoS]displaythis配置网段的安全策略：3.3.2配置简单安全策略（四）关键操作步骤

配置安全策略

测试结果显示安全策略：PC1ping服务器：PC2ping服务器：3.3.2配置简单安全策略注意事项配置安全策略时，如果源安全区域、目的安全区域、源地址、目的地址、用户、服务等项目未配置，则默认该项的值为any。若安全策略动作action未配置，则默认动作为“禁止”。3.3.2配置简单安全策略3.3.3使用WEB界面配置安全策略实训：使用WEB界面配置安全策略某公司有一台托管于运营商的服务器，内网用户均可访问，但由于安全方面的特殊原因，财务部的计算机仅允许通过WEB服务访问这台专用服务器。通过配置安全策略，实现上述要求。任务描述3.3.3使用WEB界面配置安全策略1/24服务器G1/0/1/24TrustFW1PC1PC2/24G1/0/6Untrust0/242/240/24本地计算机(三)任务实施1．拓扑图2．需求说明财务部的计算机（1到0）允许访问服务器的WEB服务(http服务和https服务)；财务部的计算机不允许访问服务器的其他服务；/24网段允许访问服务器。3.3.3使用WEB界面配置安全策略3．配置说明(三)任务实施配置设备云使本地计算机连接到防火墙的WEB界面；配置防火墙各接口的IP地址、安全区域、访问管理服务；配置安全策略，满足访问需求；测试配置结果是否满足需求。3.3.3使用WEB界面配置安全策略（四）关键操作步骤

设置IP地址和服务

创建对象

设置安全策略配置G1/0/6接口配置G1/0/1接口3.3.3使用WEB界面配置安全策略（四）关键操作步骤

设置IP地址和服务

创建对象

设置安全策略创建“WEB”服务组对象创建“财务部”、“服务器”、“172.16.10网段”地址对象3.3.3使用WEB界面配置安全策略（四）关键操作步骤

设置IP地址和服务

创建对象

设置安全策略允许财务部访问服务器的WEB服务不允许财务部访问服务器的其他服务允许/24网段访问服务器3.3.3使用WEB界面配置安全策略设置安全策略结果如下：（四）关键操作步骤

设置IP地址和服务

创建对象

设置安全策略3.3.3使用WEB界面配置安全策略PC1ping服务器：PC1访问服务器的http服务：（四）关键操作步骤测试结果3.3.3使用WEB界面配置安全策略PC2ping服务器：PC2访问服务器的http服务：（四）关键操作步骤测试结果3.3.3使用WEB界面配置安全策略注意事项WEB界面配置安全策略时，最好先配置好所需要的地址、服务、时间等对象。地址对象不仅支持IPv4地址，还支持IPv6地址，MAC地址，可以实际设置中灵活使用。3.3.4配置Local区域的安全策略实训：配置Local区域安全策略在网络中，有一些业务是需要防火墙自身参与的，这些业务想要正常运行，就需要在防火墙的Local安全区域与业务安全区域之间配置安全策略，如禁止或允许防火墙主动ping其他设备，禁止或允许某些用户登录防火墙等。任务描述3.3.4配置Local区域的安全策略(三)任务实施1．拓扑图2．需求说明使防火墙可以主动ping其它设备；允许路由器R1ping防火墙，但不能通过telnet登录到防火墙；路由器R2能够通过telnet登录到防火墙，但不允许ping防火墙。G1/0/1/24TrustFW1G0/0/02/24G0/0/01/24R1R23.3.4配置Local区域的安全策略3．配置说明(三)任务实施设置Local到trust的安全策略实现第一个需求设置trust到Local的安全策略实现第二个需求3.3.4配置Local区域的安全策略（四）关键操作步骤Local到trust的安全策略Trust到Local的安全策略防火墙默认无法ping通R1、R2：[FW1]security-policy

[[FW1-policy-security]rulenameLocaltoTrust[FW1-policy-security-rule-LocaltoTrust]source-zonelocal[FW1-policy-security-rule-LocaltoTrust]destination-zonetrust[FW1-policy-security-rule-LocaltoTrust]serviceicmp[FW1-policy-security-rule-LocaltoTrust]actionpermit//配置默认动作为允许[FW1-policy-security-rule-LocaltoTrust]displaythis配置Local到trust的安全策略：设置策略后可通。3.3.4配置Local区域的安全策略（四）关键操作步骤Local到trust的安全策略Trust到Local的安全策略关闭接口下的访问管理功能：[FW1]interfaceg1/0/1[FW1-GigabitEthernet1/0/1]undoservice-manageenable

[FW1]security-policy

[FW1-policy-security]rulenameR1toFW[FW1-policy-security-rule-R1toFW]source-zonetrust[FW1-policy-security-rule-R1toFW]destination-zonelocal[FW1-policy-security-rule-R1toFW]source-address132[FW1-policy-security-rule-R1toFW]serviceicmp[FW1-policy-security-rule-R1toFW]actionpermit[FW1-policy-security-rule-R1toFW]quit[[FW1-policy-security]rulenameR2toFW[FW1-policy-security-rule-R2toFW]source-zonetrust[FW1-policy-security-rule-R2toFW]destination-zonelocal[FW1-policy-security-rule-R2toFW]source-address232[FW1-policy-security-rule-R2toFW]servicetelnet[FW1-policy-security-rule-R2toFW]actionpermit[FW1-policy-security-rule-R2toFW]quit设置trust到Local的安全策略，使得R1可以ping防火墙，R2可以telnet防火墙：3.3.4配置Local区域的安全策略（四）关键操作步骤Local到trust的安全策略Trust到Local的安全策略R1可ping防火墙，但不能telnet登录R2

ping不允许ping防火墙