任务2.1-防火墙安全区域与安全策略配置

目录ContentsPart01任务目标Part02任务描述Part04任务实施任务2.1-防火墙安全区域与安全策略配置Part03知识储备项目2-防火墙基础配置任务目标知识目标技能目标素养目标1．理解安全区域的基本概念。2.

理解华为防火墙默认安全区域的访问规则。3.

理解安全策略的匹配机制与优先级规则。1．牢固树立“安全隔离、最小权限”的网络防护理念，以严谨审慎的态度筑牢网络安全防线。2．不断增强遵守网络安全法规的职业使命感，将维护网络安全视为职业生涯的重要责任。1.能根据业务需求划分安全区域。2.能配置基于五元组的域间访问控制策略。3.

能通过命令行验证策略生效状态。任务描述本任务要完成的工作：

XUN公司需构建内部网络的访问控制体系，根据员工角色设定对内网FTP与HTTP服务器的差异化访问权限。其中，管理员拥有对FTP和HTTP服务器的完全控制权，研发人员可访问两台服务器的FTP与HTTP服务，售后人员仅可访问HTTP服务器的HTTP服务。

“观众器者为良匠，观众病者为良医。”“为学日益，为道日损。”青年学生要多动手、多动脑,多积累。知识储备2.1.1安全区域2.1.2安全策略2.1.1安全区域防火墙的安全区域，是指具有相同安全级别的接口或子网划归逻辑单元。例如，将内网接口归为Trust区域，外网接口归为Untrust区域。华为防火墙默认预定义了四个固定的安全区域，具体如下：local区域：即本地区域，主要用于代表防火墙自身，防火墙的所有接口都属于local区域。trust区域：即可信任区域，通常用于连接内部可信网络，像企业内部的办公网络、生产网络等。untrust区域：即不受信任区域，通常用于连接外部不受信任的网络。Dmz区域：即非军事化区域，通常用于连接企业服务器区域。2.1.1安全区域防火墙安全区域的安全级别是用于标识不同安全区域的安全程度高低的，用于决定区域间的访问控制策略。每个安全区域都有一个唯一的安全优先级，取值范围是0到100。默认安全区域的安全优先级不能更改。自定义的安全区域可以设置安全优先级。华为防火墙不存在安全优先级相同的安全区域。安全区域优先级说明Local100设备本身，包括设备的各接口本身。Trust85通常用于定义内网终端用户所在区域。DMZ50通常用于定义内网服务器所在区域。Untrust5通常用于定义Internet等不安全的网络。2.1.1安全区域防火墙的安全区域划分的原则不同的接口可以加入到相同的安全区域。同一个接口不能加入到不同的安全区域接口加入到安全区域代表接口下联的网络被加入到该区域，不代表接口本身加入到该区域。2.1.2安全策略防火墙的基本作用是对进出网络的访问行为进行控制，保护特定网络免受“不信任”网络的攻击，但同时还必须允许两个网络之间可以进行合法的通信。防火墙一般通过安全策略实现以上功能。安全策略是由匹配条件（五元组、用户、时间段等）和动作组成的控制规则，防火墙收到流量后，对流量的属性（五元组、用户、时间段等）进行识别，并将流量的属性与安全策略的匹配条件进行匹配。防火墙IntranetTrustUntrust安全策略禁止通过的流量安全策略允许通过的流量2.1.2安全策略防火墙的安全域间是不同区域间流量的传输通道，而且这个通道是两个“区域”之间的唯一“线路”。安全域间的数据流动具有方向性入方向（Inbound）：数据由低级别安全区域向高级别安全区域传输的方向。

出方向（0utbound）：数据由高级别安全区域向低级别安全区域传输的方向。防火墙缺省规则

任意两个安全区域之间的任意方向流量默认是拒绝。

同一个安全区域之间任意方向流量默认是放行。防火墙Trust85DMZ50Untrust5Local100OutboundInbound2.1.2安全策略防火墙安全策略是指在防火墙上制定和实施的一系列规则和措施，是对网络流量转发以及对流量进行内容安全一体化检测的策略，确保只有符合特定条件的网络数据才能够在不同网络区域之间进行传输。其主要应用于对跨防火墙的网络互访和对防火墙本身的访问。安全策略的组成如下：2.1.2安全策略防火墙最基本的设计原则一般是没有明确允许的流量默认都会被禁止，这样能够确保防火墙一旦接入网络就能保护网络的安全。如果想要允许某流量通过，可以创建安全策略。一般针对不同的业务流量，设备上会配置多条安全策略。安全策略匹配过程如下：匹配顺序策略编号匹配条件动作Policy1:匹配条件1匹配条件2……匹配条件N动作（允许/禁止）Policy2:匹配条件1匹配条件2……匹配条件N动作（允许/禁止）……PolicyN:匹配条件1匹配条件2……匹配条件N动作（允许/禁止）Default:匹配条件均为any动作（禁止）任务实施实施场景在XUN公司出口防火墙上完成安全区域划分和安全策略配置，实现如下步骤：1）根据拓扑图在防火墙上划分安全区域。2）管理员对内网FTP服务器和HTTP服务器进行完全控制。3）研发人员能访问内网FTP服务器的FTP服务和HTTP服务器的HTTP服务。4）售后人员只能访问内网HTTP服务器的HTTP服务。任务实施实施设备1）USG6000V防火墙1台；2）Client机3台；3）S5700交换机2台；4）AR2220路由器1台；5）Server服务器2台。任务实施实施过程1）配置Client1、Client2和Client3网络基本参数，以Client1为例。Client1参数配置任务实施实施过程2）配置FTP服务器网络参数，开启FTP服务。FTP服务器网络参数配置FTP服务器配置任务实施实施过程3）配置HTTP服务器网络参数，开启HTTP服务。HTTP服务器网络参数配置HTTP服务器配置任务实施实施过程

4）配置防火墙网络基本参数，配置命令如下：[FW1]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress24

[FW1]interfaceGigabitEthernet1/0/4[FW1-GigabitEthernet1/0/4]ipaddress24

[FW1]interfaceGigabitEthernet1/0/5[FW1-GigabitEthernet1/0/5]ipaddress0024

5）划分防火墙安全区域，将GE1/0/0口加入Trust区域，将GE1/0/4口加入DMZ区域，将GE1/0/5口加入Untrust区域，配置命令如下：[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/0

[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/4

[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/5任务实施实施过程

6）配置安全策略，实现管理员对内网FTP服务器和HTTP服务器进行完全控制，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenameClient1_to_dmz[FW1-policy-security-rule-Client1_to_dmz]source-zonetrust

[FW1-policy-security-rule-Client1_to_dmz]destination-zonedmz[FW1-policy-security-rule-Client1_to_dmz]source-address0032

[FW1-policy-security-rule-Client1_to_dmz]actionpermit配置完成后，管理员在Client1上访问FTP服务器和HTTP服务器都是允许的，也可以ping通FTP服务器。任务实施实施过程

7）配置安全策略，实现研发人员只能访问内网FTP服务器和HTTP服务器的FTP服务和HTTP服务，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenameClient2_to_dmz[FW1-policy-security-rule-Client2_to_dmz]source-zonetrust

[FW1-policy-security-rule-Client2_to_dmz]destination-zonedmz[FW1-policy-security-rule-Client2_to_dmz]source-address0132[FW1-policy-security-rule-Client2_to_dmz]destination-address0032[FW1-policy-security-rule-Client2_to_dmz]destination-address0032

[FW1-policy-security-rule-Client2_to_dmz]serviceprotocoltcpdestination-port80

[FW1-policy-security-rule-Client2_to_dmz]serviceprotocoltcpdestination-port21

[FW1-policy-security-rule-Client2_to_dmz]actionpermit配置完成后，研发人员在Client2上只能访问FTP服务器的FTP服务和HTTP服务器的HTTP服务，不能访问其他服务，如在Client2上ping不通FTP服务器和HTTP服务器。任务实施实施过程

8）配置安全策略，实现售后人员只能访问内网HTTP服务器的HTTP服务，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenameClient3_to_dmz[FW1-policy-security-rule-Client3_to_dmz]source-zonetrust[FW1-policy-security-rule-Client3_to_dmz]destination-zonedmz[FW1-policy-security-rule-Client3_to_dmz]source-address0232[FW1-policy-security-rule-Client3_to_dmz]destination-address0032

[FW1-policy-security-rule-Client3_to_dmz]serviceprotocoltcpdestination-port80

[FW1-policy-security-rule-Client3_to_dmz]actionpermit配置完成后，售后人员在