防火墙对安全区域的划分:防火墙基础安全区域
防火墙对安全区域的划分:防火墙基础安全区域3、GE0/0/2未配置网络地址转换NAT;2、对外到ISP1、ISP2的路由均为缺省路由。2、路由条目则是配置了两条缺省。由此,配置不完整,存在三个问题:1、GE0/0/2没有加入任何安全区域,因此也就更未配置安全策略。
前段时间一位朋友的单位网络新增加了一条的外网线路(在本文中称为ISP2),在防火墙上摸索着配置了地址和路由,但无法访问对应的的业务(在本文中称为Srv2),于是找我帮忙看看该如何配置。其单位网络拓扑大致模拟如图1:
图1
经远程登录防火墙FW1查看,该设备是华为USG2110,针对ISP2上的业务做了如下配置:
1、GE0/0/2正确配置了地址;
2、路由条目则是配置了两条缺省。
由此,配置不完整,存在三个问题:
1、GE0/0/2没有加入任何安全区域,因此也就更未配置安全策略。
2、对外到ISP1、ISP2的路由均为缺省路由。
3、GE0/0/2未配置网络地址转换NAT;
其中出现第1个问题估计只是把防火墙当成了普通路由器进行了配置。第2个问题则可能因为负载均衡问题,造成报文往返路径不一致进一步导致对外业务不通。第3个问题大概是没注意私有IP地址和公有IP地址。
首先让我们来看一下什么是防火墙的安全区域:
- 它是防火墙上一个或多个接口的集合,防火墙通过安全区域来划分网络、标识报文流动的方向和路线。一般说某个安全区域,可认为指的是该安全区域中接口所连接的网络。因此FW1上连接ISP2的GE0/0/2应加入某个安全区域。另外华为防火墙的一个接口(可以是物理接口、也可以是逻辑接口)只能加入到一个安全区域(Local区域除外)中。
- 每个安全区域都必须有一个唯一的安全级别,用1~100的数字表示,数字越大表示该区域内的网络越可信。
- 华为防火墙默认提供四个安全区域:
1. Local区域:代表防火墙本身,安全级别100。防火墙主动发出的报文——从Local 区域发出,防火墙响应并处理(而不是转发)的报文——由Local区域接收。防火墙上所有接口本身都隐含的属于Local 区域。
2. Trust 区域:安全级别85。一般用来连接单位内部用户所在的网络。在图1中连接了单位内部局域网。
3. DMZ 区域:安全级别50。一般用来连接单位内部服务器所在的网络。
4. Untrust区域:安全级别5。一般用来连接Internet 等不安全的网络。在图1中连接了到ISP1的网络。
- 华为防火墙在默认情况下,报文在不同的安全区域之间流动时受控于安全策略(或者说安全规则),在同一安全区域内流动时不受控制;但也支持对同一个安全区域内流动的报文进行控制。报文从低级别的安全区域向高级别的安全区域流动时是入方向(Inbound),报文从高级别的安全区域向低级别的安全区域流动时是出方向(Outbound)。
接下来让我们再来看一下防火墙的安全策略:
- 安全策略(规则)对防火墙接收、发送、转发的报文进行控制,由条件和动作两部分组成。
- 安全策略的条件,可包含多个过滤字段,如源地址、目的地址、源端口、目的端口、协议等,只有报文中的信息匹配上所有字段,才算命中该条件。如果同一个过滤字段中有多个匹配项,例如同时有2个源地址,则只要报文匹配了其中的1项,就算命中该条件。
- 如果报文命中了某一条安全策略,防火墙就会执行该安全策略中的动作,或允许通过或拒绝通过,不会再继续向下查找;如果报文没有命中某条安全策略,则会向下继续查找。
- 华为防火墙默认情况下,在最后有一条缺省包过滤规则,动作是拒绝通过。该规则可以更改。
- 和ACL相似,配置安全策略遵循“先细致,后粗略”的原则。
最后对防火墙的配置进行完善,以便内网局域网的PC1(192.168.0.1)能够访问到ISP2的Srv2(50.1.1.1)的HTTP业务。
1. 配置安全区域:
为了与ISP1区分开,在防火墙上添加一个名为ISP2的安全区域,安全级别设置为3,将接口G0/0/2加入到该区域。
[FW1]firewall zone name isp2
[FW1-zone-isp2]set priority 3
[FW1-zone-isp2]add interface GigabitEthernet 0/0/2
[FW1-zone-isp2]quit
2. 配置源NAT:
原理和路由器相同,但是命令形式可能和普通路由器不同。与上面介绍的安全策略配置方式有些相似。首先需要NAT转换的报文流动也是在区域间并且存在方向,然后在具体策略中指定哪些IP地址需要进行源NAT转换(本文中仅允许PC1的192.168.0.1),方式是IP地址和端口都进行转换,指定转换用的公网地址或地址池(本文使用的是接口G0/0/2的IP地址)。
[FW1]nat-policy interzone trust isp2 outbound
[FW1-nat-policy-interzone-trust-isp2-outbound]policy 1
[FW1-nat-policy-interzone-trust-isp2-outbound-1]policy source 192.168.0.1 0
[FW1-nat-policy-interzone-trust-isp2-outbound-1]action source-nat
[FW1-nat-policy-interzone-trust-isp2-outbound-1]easy-ip GigabitEthernet 0/0/2
[FW1-nat-policy-interzone-trust-isp2-outbound-1]quit
[FW1-nat-policy-interzone-trust-isp2-outbound]quit
3. 配置安全策略
首先是报文流动是在trust、isp2安全区域之间并且方向是outbound,然后在具体策略中指定哪些源IP地址(本文中仅允许PC1的192.168.0.1)、可以访问哪些目的IP地址(本文是Srv2的50.1.1.1)以及提供的服务(本文是Srv2提供的HTTP),动作是否允许通过(本文是允许)。
[FW1]policy interzone trust isp2 outbound
[FW1-policy-interzone-trust-isp2-outbound]policy 1
[FW1-policy-interzone-trust-isp2-outbound-1]policy source 192.168.0.1 0
[FW1-policy-interzone-trust-isp2-outbound-1]policy destination 50.1.1.1 0
[FW1-policy-interzone-trust-isp2-outbound-1]policy service service-set http
[FW1-policy-interzone-trust-isp2-outbound-1]action permit
[FW1-policy-interzone-trust-isp2-outbound-1]quit
[FW1-policy-interzone-trust-isp2-outbound]quit
4. 修改去往Srv2的50.1.1.1的路由配置
之前配置的两条缺省路由,会被认为是等价路由,也就是说当PC1访问Srv2时,有可能报文会从防火墙的G0/0/1口发出去,应答报文可能会从ISP2的R2返回,从而因为往返路径不一致导致网络不通。因此需要配置更详细的路由条目。
[FW1]undo ip route-static 0.0.0.0 0.0.0.0 2.2.2.1
[FW1]ip route-static 50.1.1.1 32 2.2.2.1
5. 利用PC1进行测试
分别利用PC1、PC2访问Srv2的HTTP,结果分别如图2、图3,PC1访问成功、PC2则访问失败,与预期相符。
图2
图3
以上输入和描述可能有疏漏、错误,欢迎大家在下方评论区留言指正!
另以上文字如有帮助,望不吝转发!