eNSP防火墙配置实验(trust、DMZ、untrust)

禾悦 2024-06-18 13:35:02 阅读 69

【拓扑】

设备

接口

IP地址/子网掩码/网关

AR1

G0/0/0

10.1.3.2/24

G0/0/1

100.1.1.2/24

FW1

G0/0/0

192.168.166.254/24

G1/0/0

10.1.1.1/24,trust域

G1/0/1

10.1.2.1/24,DMZ域

G1/0/2

100.1.3.1/24,untrust域

LSW1

G0/0/1

vlan 3:172.16.1.1/24

G0/0/2

vlan 2:10.1.1.2/24

LSW2

G0/0/1

vlan 2:10.1.2.2/24

G0/0/2

vlan 3:192.168.1.1/24

PC1

e0/0/1

172.16.1.2/24/1

PC2

e0/0/1

100.1.1.2/24/1

Server1

e0/0/0

192.168.1.100/24/1

Cloud1

e0/0/1

192.168.166.1/24

【任务】

一、划分trust、untrust、dmz区域;

二、配置安全策略、静态路由或OSPF等实现两两区域之间的安全互访。

内网可以ping通服务器、外网;

服务器ping内网主机、外网不通;

外网可以ping通服务器,不可以ping通内网。

【步骤】

(1)Web页面登录配置:

Cloud1相关配置:先增加一个端口,邦定信息为UDP;再加一个端口,邦定信息为配置好的虚拟网卡,端口映射设置双向通道。连接Cloud和防火墙的0/0/0端口,在防火墙上配置IP,此时IP和Cloud上绑定的网卡为同一网段。注意不要绑到公网网卡上,可以做个虚拟环回或者绑到vm1vm8上都可以。

启动防火墙的CLI界面,默认账号为admin,密码为Admin@123,登录后需要修改密码。

<USG6000V1>sys  #进入系统视图

[USG6000V1]sys FW1   #配置设备名称

[FW1]dis ip int brief   #显示虚拟接口对应的IP地址与使用状态

[FW1]int g0/0/0    #进入端口GE0/0/0

[FW1-GigabitEthernet0/0/0]ip add 192.168.166.254 24   #端口配置IP地址

[FW1-GigabitEthernet0/0/0]service-manage  all permit  #开启服务器管理员权限

(2)在物理机上执行ping命令测试连通性,然后通过浏览器输入:https://192.168.166.254:8443/,访问防火墙的Web页面。

(3)配置untrust区域:在路由器上为两个接口配置IP地址—>为untrust区域的PC配置IP、掩码和网关—>在防火墙上配置1/0/2为untrust区域。

untrust区域的PC没有至防火墙的路由,所以需要手动添加一条静态路由

[FW1]firewall zone untrust #进入非信任域。

[FW1-zone-untrust]add interface g1/0/2 #添加外网接口。

[USG6000V1-GigabitEthernet1/0/2]service-manage ping permit#允许untrust区域能ping通防火墙本地

(4)配置trust区域:在防火墙上将1/0/0接口加入trust区域,并配置IP地址。—>在trust区域的交换机上创建vlan,配置IP地址—>在trust区域的PC上配置IP,掩码,网关—>PC到防火墙之间缺少路由,所以需要手动添加一条静态路由。

[FW1]firewall zone trust #进入信任域。

[FW1-zone-trust]add in g1/0/0 #添加内网接口。

[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit#允许trust区域能ping通防火墙本地

(5)配置DMZ区域:在防火墙上将1/0/1接口加入dmz区域,并配置IP地址。—>在DMZ区域的交换机上创建vlan,配置IP—>在trust区域的服务器上配置IP地址,掩码,网关。

[FW1]firewall zone dmz #进入服务器区域。

[FW1-zone-dmz]add in g1/0/1 #添加接口。

[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit#允许dmz区域能ping通防火墙本地

(6)编写安全策略。此时整个拓扑中的三个区域内互通、区域间不通,所以需要按照实际需求编写安全策略来实现区域间的通信。可选网页或命令行配置!!!

trust-untrust区域的安全策略:

[FW1]security-policy #进入安全策略的配置。

[FW1-policy-security]rule name trust-untrust#定义策略名称为trust-untrust。

[FW1-policy-security-rule-shangwang]source-zone trust #源区域为内网区域。

[FW1-policy-security-rule-shangwang]destination-zone untrust #目的区域为外网区域。

[FW1-policy-security-rule-shangwang]action permit #动作放行。

trust-DMZ区域的安全策略:

[FW1]security-policy #进入安全策略的配置。

[FW1-policy-security]rule name trust-dmz#定义策略名称为trust-dmz。

[FW1-policy-security-rule-fwq]source-zone trust #源区域为内网区域。

[FW1-policy-security-rule-fwq]destination-zone dmz #目的区域为服务器区域。

[FW1-policy-security-rule-fwq]action permit #动作放行。

untrust-DMZ区域的安全策略:

[FW1]security-policy #进入安全策略的配置。

[FW1-policy-security]rule name untrust-dmz#定义策略名称为untrust-dmz。

[FW1-policy-security-rule-fwq]source-zone untrust #源区域为内网区域。

[FW1-policy-security-rule-fwq]destination-zone dmz #目的区域为服务器区域。

service ftp  #FTP请求被放行

service icmp #ICMP请求被放行

[FW1-policy-security-rule-fwq]action permit #动作放行。

防火墙是个安全设备,没有放行的包一律禁止通过。所以无需配置外网访问内网、dmz访问外网的策略。

7)在防火墙、交换机和路由器上配置静态路由实现互通:

[FW1]ip route-static 100.1.1.0 255.255.255.0 10.1.3.2

[FW1]ip route-static 172.16.1.0 255.255.255.0 10.1.1.2

[FW1]ip route-static 192.168.1.0 255.255.255.0 10.1.2.2

[LSW1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1

[LSW2] ip route-static 0.0.0.0 0.0.0.0 10.1.2.1

[AR1]ip route-static 0.0.0.0 0.0.0.0 10.1.3.1

(8)验证。



声明

本文内容仅代表作者观点,或转载于其他网站,本站不以此文作为商业用途
如有涉及侵权,请联系本站进行删除
转载本站原创文章,请注明来源及作者。