文章目录
- 前言
- 一、四种区域
- 二、实验拓扑图
- 基础配置
- 防火墙配置
- 测试结果
前言
防火墙是计算机网络中的一种安全设备或软件功能,旨在监控和控制进出网络的网络流量。其核心目的是保护内部网络免受外部攻击或不必要的访问。防火墙通过设定一系列安全规则,允许或拒绝数据包的传输。
包过滤防火墙:根据数据包的源地址、目标地址和端口号等信息,来决定是否放行。
状态检测防火墙:不仅检查数据包本身,还维护连接的状态,能够识别合法的连接状态。
代理防火墙:通过代理服务器转发请求,从而隐藏内部网络结构,提高安全性。
一、四种区域
内部区域(Internal Zone):
功能:这是组织内部的安全区域。它通常包括企业内部网络,如员工工作站、服务器等。
作用:提供对内部资源的访问和安全控制。防火墙在这一区域内通常会处于较为宽松的安全策略,因为内部流量一般被认为是可信的。
外部区域(External Zone):
功能:这是公网上的区域,通常代表互联网或其他不受信任的网络。
作用:防火墙严格控制和过滤进入内部网络的流量,以防止外部攻击和未授权访问。安全策略通常非常严格,默认拒绝所有流量。
DMZ(DeMilitarized Zone,非军用区):
功能:DMZ通常用于放置对外提供服务的设备(如Web服务器、FTP服务器、邮件服务器等)。
作用:通过将这些服务器放置在DMZ中,既可以让外部用户访问这些服务,又可以保护内部网络。防火墙在DMZ和内部网络之间以及DMZ和外部网络之间通常实施不同的安全策略,以增强整体安全性。
Local Zone(本地区域)
防火墙管理的核心区域,通过提供管理接口、策略配置、监控功能以及安全隔离等特点,确保了防火墙的安全、可管理性和高效性。
二、实验拓扑图
在上面实验中192.168.1.0/24网段属于内部网络,192.168.2.0/24网段属于服务区网络,10.0.100.0/24属于外部网络。
实验要求:
内部网络(192.168.1.0/24)必须能够正常访问服务区网络(192.168.2.0/24)并支持FTP文件传输功能。
外部网络(10.0.100.0/24)需要通过NAT(网络地址转换)对内部网络进行IP地址转换,并使用地址池中的IP地址。
安全性保障:服务区网络与外部网络不应能够访问内部网络,以确保内部网络的安全性。
基础配置
配置底层的IP地址与网关
内部网络
指定服务器文件和地址
外部网络
防火墙配置
Username:admin
Password:Admin@1234
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@1234
Please enter new password: Text123456
Please confirm new password: Text123456
配置各接口IP
[FW1]display ip in b
2024-08-15 10:17:40.760 +08:00
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
(d): Dampening Suppressed
(E): E-Trunk down
The number of interface that is UP in Physical is 6
The number of interface that is DOWN in Physical is 4
The number of interface that is UP in Protocol is 6
The number of interface that is DOWN in Protocol is 4Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/0 192.168.1.254/24 up up
GigabitEthernet1/0/0 192.168.2.254/24 up up
GigabitEthernet1/0/1 10.0.100.254/24 up up
GigabitEthernet1/0/2 192.168.10.252/24 up up
GigabitEthernet1/0/3 unassigned down down
GigabitEthernet1/0/4 unassigned down down
GigabitEthernet1/0/5 unassigned down down
GigabitEthernet1/0/6 unassigned down down
NULL0 unassigned up up(s)
Virtual-if0 unassigned up up(s)
划分区域
#
firewall zone trust ##信任区域set priority 85add interface GigabitEthernet0/0/0
#
firewall zone untrust ##非信任区域set priority 5add interface GigabitEthernet1/0/1
#
firewall zone dmz ##军事化区域set priority 50add interface GigabitEthernet1/0/0
#
创建相关策略、NAT策略与NAT地址池
#
security-policyrule name trust-dmzsource-zone trustdestination-zone dmzsource-address 192.168.1.0 mask 255.255.255.0destination-address 192.168.2.0 mask 255.255.255.0service ftp ##指定了 FTP(文件传输协议)服务。action permit ##这部分表示允许(permit)对指定服务的访问。rule name trust-untrustsource-zone trustdestination-zone untrustsource-address 192.168.1.0 mask 255.255.255.0destination-address 10.0.100.0 mask 255.255.255.0action permit
#
nat-policyrule name NATdescription 内网地址访问公网指定地址source-zone trustdestination-zone untrustsource-address 192.168.1.0 mask 255.255.255.0action source-nat address-group NAT_POOL ##表示使用一个名为 NAT_POOL 的地址组来进行地址转换。
#
nat address-group NAT_POOL 0mode patsection 0 10.0.100.252 10.0.100.253
#
测试结果
在客户端尝试登录FTP服务器
通过PC1访问外网
发现源地址变成了地址池内的IP地址访问的外网。
