一、 防火墙的基本知识---安全域和端口
1、安全区域
安全域(Security Zone),是一个逻辑概念,用于管理防火墙设备上安全需求相同的多个接口。管理员将安全需求相同的接口进行分类,并划分到不同的安全域,能够实现安全策略的统一管理。传统防火墙的安全策略配置通常是基于报文入接口、出接口的,进入和离开接口的流量基于接口上指定方向的策略规则进行过滤。这种基于接口的策略配置方式需要为每一个接口配置安全策略,给网络管理员带来配置和维护上的负担。随着防火墙技术的发展,防火墙已经逐渐摆脱了只连接外网和内网的角,出现了内网/外网/DMZ(Demilitarized Zone,非军事区)的模式,并且向着提供高端口密度服务的方向发展。基于安全域来配置安全策略的方式可以解决上述问题。 设备存在两种类型的安全域,分别是:
缺省安全域:不需要通过命令security-zone name配置就已经存在的安全域,名称为:Local
中国校外教育网、Trust、DMZ、Management和Untrust;
磷酸锂
非缺省安全域:通过命令security-zone name创建的安全域。
无论是缺省安全域,还是非缺省安全域,都没有优先级的概念。下述接口之间的报文要实现互访,必须在安全域间实例上配置安全策略,而且只有匹配放行策略的报文,才允许通过,否则系统默认丢弃这些接口之间发送的报文:
同一个安全域的接口之间;
处于不同安全域的接口之间;
处于安全域的接口和处于非安全域的接口之间;
目的地址或源地址为本机的报文,缺省会被丢弃,若该报文与域间策略匹配,则由域间策略进行安全检查,并根据检查结果放行或丢弃。
1.1 非信任区域(UNTrust)
UNTrust的安全等级是5,一般都是连外网的端口,比如你外网接入是电信或移动等,那么这个端口的定义就是Trust口,这就说明外网是不可以访问内网的了。这就加强了内网的安全性。
1.2 非军事化区域(DMZ)
DMZ的安全等级是50,DMZ是非军事化区域的意思,在防火墙的概念中,停火区相当于一个既不属于内部网络,也不属于外部网络的一个相对独立的网段。一般而言,停火区处于内部网络与外部网络之间。是不安全的区域。
1.3 信任区域(Trust)
Trust的安全等级是85,一般都是内网口,比如公司内部的局域网,如果有很多个口,那就每个都设置于为Trust,这样局域网内不但相互之间可以互相访问,同时也可以访问比这个信任等级低的其它端口,如Untrust和DMZ城区。
Local的安全等级是100。
Management的安全等级是100。
2、端口
1、防火墙的端口有两种工作模式,二层模式和三层模式。
2、二层模式端口有三种工作模式 Access Trunk hybrid 不懂这三个模式的区别的话,H3C的参考手册上面有详细的。
3、三层模式端口的IP地址可以手工指定也可以DHCP获取。
结题报告
4、如果端口工作于二层模式,在加入安全域时需要指定VLAN ID。
5、公司H3C设备举例:
1)本公司H3C SECPATH F100-M-G2防火墙面板上一共12个千兆电口;
两个光口跟GE0 GE1形成Combo。
缺省情况下,电口被激活。
Combo接口是一个逻辑接口,一个Combo接口对应设备面板上一个电口和一个光口。电口与其对应的光口是光电复用关系,两者不能同时工作(当激活其中的一个接口时,另一个接口就自动处于禁用状态),用户可根据组网需求选择使用电口或光口。p63战斗机
combo enable命令用来激活Combo接口。
combo enable { copper | fiber }以太网接口视图(该接口必须是Combo接口)
copper:表示该Combo接口的电口被激活,使用双绞线连接。
fiber:表示该Combo接口的光口被激活,使用光纤连接。
简单例子:
# 指定GigabitEthernet0/3端口的电口被激活,使用双绞线连接。
system-view
[Sysname] interface GigabitEthernet 0/3
[Sysname-GigabitEthernet0/3] combo enable copper
# 指定GigabitEthernet0/3端口的光口被激活,使用光纤连接。
system-view
[Sysname] interface GigabitEthernet 0/3
[Sysname-GigabitEthernet0/3] combo enable fiber
2)一个HDD扩展口,用于插扩展硬盘。
3)两个USB,暂时不知道有啥用。
4)一个Console口,熟悉的套路这玩意是接串口的。
3、简单配置示例
3.1 安全域典型配置举例
3.1.1 组网需求
某公司以 Device 作为网络边界防火墙,连接公司内部网络和 Internet。公司需要对外提供 Web 服务和 FTP 服务。现需要在防火墙上部署安全域,并基于以下安全需求进行域间安全策略的配置。
• • 与接口 GigabitEthernet1/0/1 相连的公司内部网络属于可信任网络,部署在 Trust 域,可以自由访问服务器和外部网络。
• • 与接口 GigabitEthernet1/0/3 相连的外部网络属于不可信任网络,部署在 Untrust 域,访问公司内部网络和服务器时,需要受到严格的域间安全策略的限制。
• • 与接口 GigabitEthernet1/0/2 相连的Web server、FTP server部署在 DMZ 域,可以自由访问处于 Untrust 域的外部网络,但在访问处于 Trust 域的公司内部网络时,需要受到严格的域间安全策略的限制。
戊戌变法论文3.1.2安全域组网图
3.1.3配置步骤
# 向安全域 Trust 中添加接口 GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域 DMZ 中添加接口 GigabitEthernet1/0/2。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/2
[Device-security-zone-DMZ] quit
# 向安全域 Untrust 中添加接口 GigabitEthernet1/0/3。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/3
[Device-security-zone-Untrust] quit
# 配置 ACL 3500,定义规则:允许 IP 流量。
海门市海南中学
[Device] acl advanced 3500
[Device-acl-ipv4-adv-3500] rule permit ip
[Device-acl-ipv4-adv-3500] quit
# 创建 ASPF 策略 1,配置检测应用层协议 FTP(FTP 仅为示例,若要检测其它应用协议,可根据需要配置)。
[Device] aspf policy 1
[Device-aspf-policy-1] detect ftp
[Device-aspf-policy-1] quit
# 创建源安全域 Trust 到目的安全域 Untrust 的安全域间实例,并在该域间实例上应用 ASPF 策略和包过滤策略,可以拒绝 Untrust 域用户对 Trust 的访问,但 Trust 域用户访问 Untrust 域以及返回的
报文可以通过。
[Device] zone-pair security source trust destination untrust
[Device-zone-pair-security-Trust-Untrust] aspf apply policy 1
[Device-zone-pair-security-Trust-Untrust] packet-filter 3500
[Device-zone-pair-security-Trust-Untrust]quit
# 创建源安全域Trust到目的安全域DMZ的安全域间实例,并在该域间实例上开启ASPF检测功能,可以拒绝 DMZ 域用户对 Trust 的访问,但 Trust 域用户访问 DMZ 域以及返回的报文可以通过。
[Device] zone-pair security source trust destination dmz
[Device-zone-pair-security-Trust-DMZ] aspf apply policy 1
[Device-zone-pair-security-Trust-DMZ] packet-filter 3500
[Device-zone-pair-security-Trust-DMZ] quit
4. 验证配置
以上配置完成后,内网主机可访问外部网络以及 DMZ 域内的 FTP 服务器资源。外部网络向内部网络以及 DMZ 域主动发起的连接请求将被拒绝。
3.2配置远程Telnet管理配置
#配置管理口地址:192.168.0.1 24
< Device >system-view
[Device]interface gigabitethernet 1/0/0
[sysnname-gigabitethernet1/0/0]ip address 192.168.0.1 24
#将管理口加入到安全域,这里进入management域。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议