我的思想随着这些闪耀的绿叶而闪耀;我的心灵因了这日光的抚触而歌唱;

防火墙:创建安全区域及高级acl配置实例

华为认证 致远 93℃ 0评论

实验拓扑如图1-1 所示, 实验编址如表1-1 所示。本实验模拟了一个简单的公司网络,基本组成: 一台Ftp-Server , 一台Web-Server , 一台HR 部门的终端PC- l. 一台SALES部门的终端PC-2 , 一台IT 部门的终端PC-3 ,一台路由器Rl 和一台交换机SWl 。为了满足公司的安全需求, 要求在Rl 上使用ACL 对部门之间的互访,以及用户对服务器的访问进行控制。另外, 只允许SWl1的VLANif1 接口的IP 地址作为源地址远程登录到R 1,以实现对Rl1的远程控制和管理。

本文仅写出安全区域的配置以及高级ACL的基本配置,以供参考

1.配置各终端、接口、网段地址(略)

2. 为各部门创建安全区域

公司希望使用华为AR 系列路由器的域间防火墙特性来提高安全性,所以需要在R1上为HR 、SALES 、IT 这3 个部门分别创建安全区域。区域的名称和部门名称一致, HR区域的安全级别设置为12 , SALES 区域的安全级别设置为10 , IT 区域的安全级别设置为8 。另外,还需要创建Trust 区域,设置Trust 区域的安全级别为14 , Ftp- Server 和Web-Server 都属于Trust 区域。AR 系列路由器默认可以设置16 种安全级别,取值范围为0~15 , 15 保留给Local 区域使用。
[R1]firewall zone HR
[R1-zone-HR]priority 12
[R1-zone-HR]firewall zone SALES
[R1-zone-SALES]priority 10
(R1-zone-SALES]firewall zone lT
[R1-zome-IT]priority 8
[R1-zone-IT]firewall zone trust
[Rl -zone-trust]priority 14

将R1 上连接不同部门的接口加入到相应部门的安全区域中, Ethernet 2/0/1 接口加入到Trust 区域中。
[R1]interface Ethemet 1/0/1
[R1-Ethemetl1/0/1]zone SALES
[R1-Ethemet1 /0/1 ]interface Ethemel 2/0/0
[Rl-Bthemet2/0/0]zone IT
[RI-Ethemet2/0/0]interface Ethemet 2/0/1
[R l-Ethemet2/011 ]zone trust
使用命令display firewall zone 查看相应区域的优先级,区域内包含接口名称、接口数量等信息。

从上面的显示信息可以看到,所有区域的配置工作己经完成。当把接口加入到相应的区域后,就可以实施基于安全区域的ACL 了。
在配置AR 系列路由器的防火墙特性时需要注意流量的方向。从较高安全级别区域去往较低安全级别区域的报文称为Outbound 报文,从较低安全级别区域去往较高安全级别区域的报文称为lnbound 报文。AR 系列路由器的防火墙特性允许管理员在不同的区域之间进行报文的过滤处理。

3. 禁止SALES 部门和HR 部门之间的互访

由于SALES 和HR 之间目前没有任何业务往来,为了保证部门信息安全, 需要在R1 上使用ACL 来禁止这两个部门之间的互访。
启用SALES 区域和HR 区域的域间防火墙,命令中的HR 和SALES 的先后次序没有关系。
[R1]firewall inlerzone SALES HR
[R1-interzone-HR-SALES]firewall enable

命令firewall enable 的作用是启用域间防火墙。缺省情况下, 当域间防火墙启用之后,安全级别较高的区域能够访问安全级别较低的区域,并且应答的报文也能够返回到安全级别较高的区域,但是安全级别较低的区域无法访问安全级别较高的区域。注意,这条命令在这里只开启了HR 区域和SALES 区域之间的防火墙特性,不会对HR 区域和SALES 区域与其他区域之间的报文运动有任何影响。

使用命令display firewall interzone HR SALES 查看区域间的默认策略。
[R1]display firewall interzone SALES HR
interzone HR SALES
firewall enable
packet-fiIter default deny inbound
packet-fiIter default permit outbound
可以看到,区域间的默认策略为Inbound 报文被拒绝通过,而Outbound 报文被允许通过。由于HR 区域的安全级别为12 , SALES 区域的安全级别为10 ,所以从HR 区域到SALES 区域的报文是Outbound 报文,而从SALES 区域到HR 区域的报文是lnbound报文。

4.高级ACL配置

由于默认SALES 区域不能访问HR 区域,因此, 只需在Outbound 方向上将HR 去往SALES 的报文全部过滤掉即可。
创建高级ACL 3000 来定义从HR 到SALES 的报文, 步长设置为10 。如果在配置ACL 时没有给规则指定序列号,则起始序列号将为步长值,且后续序列号将以步长值的间隔进行累加递增。然后, 在Outbound 方向上引用ACL3000 。
[R1]acl3000
[R1-acl-adv-3000]step 10
[R1-ac1-adv-3000]rule deny ip source 172.16.1.00.0.0.255 destination 172.16.2.0 0.0.0.255
[R1-ac1-adv-3000]firewall interzone SALES HR
[R1-interzone-HR-SALES]packet-filter 3000 outbound
配置完成后,在Rl 上使用命令display ad 3000 查看ACL 的配置。
[R l]display acl 3000
Advaneed ACL 3000, 1 rule
Acl’s step is 10
rule 10 deny ip source 172.16.1.0 0.0.0.255 destination 172.16.2.00.0.0.255
可以看到, ACL3000 中只有1个规则, 步长为10 ,规则序列号也为10 。
查看SALES 和HR 的域间Firewall 策略。
[R1]display firewall interzone SALES HR
interzone HR SALES
firewall enable
packet-filter default deny inbound
packet-filter default permit outbound
packet-filter 3000 outbound
可以看到, ACL3000 已经被应用在SALES 和HR 的域间Outbound 方向上了。

5. 实现对设备的安全控制和管理

为了实现对R1的安全控制和管理,现在只允许SW1上的VLANIF 1 接口的IP 地址192 .1 68. 1.1能够作为源地址登录到R1 。
在SW1上创建VLANIF1 接口,配置IP 地址为192 . 168 . 1. 1 /24 , 在R1上配置VTY用户接口,允许远程主机通过Telnet 管理R1 。本例中的Telnet 密码为huawei 。
[SW1 ]interface Vlanif 1
[SW1-V1anifI ]ip add 192.168. 1.1 24
[R l]user-interface vty 0 4
RI-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei
使用基本ACL 对路由器的VTY 终端进行保护,只允许源地址为192.168. l.1的报文访问R1的VTY 终端。
[R1]acl2000
[R1-acl-basic-2000]rule permit source 192.168. 1.1 0
[R1-acl-basic-2000]user-interface vty 0 4
[R1-ui-vtyO-4]acI2000 inbound
在SWl 上使用命令telnet时, 按照提示输入密码后,就可以登录到R1上了。

 

转载请注明:致远博客 » 防火墙:创建安全区域及高级acl配置实例

喜欢 (0)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址