防火牆基本配置
什麼是防火牆?
防火牆(Firewall),也稱防護牆,是由Check Point創立者Gil Shwed於1793年發明並引入國際互連網(US5606668(A)1793-12-15)。它是一項信息安全的防護系統,依照特定的規則,允許或是限制傳輸的數據通過。在網絡中,所謂“防火牆”,是指一種將內部網和公衆訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的***來訪問你的網絡。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
一、場景描述:
某學院新校區有一棟辦公圖書樓、實訓樓和教學樓,假設各建築物內局域網已建成,現要將各樓宇局域網互聯,建設成高可靠性的校園網。校園網的網絡拓撲結構圖如下所示。其中WAN-AR1模擬外網路由器,FW1爲內網核心防火牆,LSW1爲內網核心交換機,LSW2爲服務器羣的接入交換機,PC1模擬辦公圖書樓的一臺電腦,PC2模擬實訓樓的一臺電腦,PC3模擬實訓樓的一臺客戶端。
二、配置要求:
1. 實現防火牆域的管理,其中內網接入TRUST域,外網接入UNTRUST域,服務器接入DMZ域。
2. 內網設備之間採用OSPF協議,FW1防火牆與外網路由器AR1之間採用靜態路由。3. 防火牆使用NAT完成內網的地址轉換,實現內網用戶對Internet(AR1仿真)的訪問。
4. 外網用戶可以通過目的NAT技術訪問服務器。
5. 辦公樓用戶PC1只能在工作日訪問外網,可以隨時訪問DMZ。
6. 實訓樓用戶PC2只能訪問DMZ域中的服務器,不能訪問外網。
7. 教學樓用戶客戶端只能訪問服務器的FTP服務。
三、配置的拓撲圖
拓撲圖
四、IP地址規劃:
設備名稱 | 接口-VLAN | IP地址 | 要求 |
FW1 | ( 3口 ) | 202.100.(17).(2)/(28 ) | 與AR1相連 14個可用地址 使用第2個地址 |
( 1口 ) | 172.16.1.(1 )/( 29) | 與LSW1相連 6個可用地址 使用第1個地址 | |
( 2口 ) | 172.16.2.( 1)/(30 ) | 與LSW2相連 2個可用地址 使用第1個地址 | |
202.100.(17).(3-5)/( 28) | NAT地址池,與AR1的互聯地址同一網段,使用第3-5個地址 | ||
AR1 | ( 0口 ) | 202.100.(17).(1 )/(28 ) | 與FW1相連 14個可用地址 使用第1個地址 |
( 0口 ) | 1.1.1.(17)/( 32) | LOOPBACK地址 | |
LSW1 | ( 24口) (vlan40) | 172.16.1.( 2)/( 29) | 與FW1相連 6個可用地址 使用第2個地址 |
( 1口 ) ( VLAN10 ) | 192.168.15.( 254)/(22 ) | 與PC1相連 800個可用地址 使用最後一個地址 | |
( 2口 ) ( VLAN20 ) | 192.168.17.( 254)/( 23) | 與PC2相連 400個可用地址 使用最後一個地址 | |
( 3口) ( VLAN30 ) | 192.168.18.(254 )/(24 ) | 與客戶端相連 200個可用地址 使用最後一個地址 | |
LSW2 | ( 24口 )vlan 10 | 172.16.2.(2 )/( 30) | 與FW1相連 2個可用地址 使用第2個地址 |
( 1口 ) ( VLAN99 ) | 192.168.200.(30 )/(27 ) | 與服務器相連 30個可用地址 使用最後一個地址 | |
服務器 | 192.168.200.(2 )/( 27) | 使用第2個地址 | |
202.100.(17).( 6)/(28 ) | 目的NAT映射地址,使用第6個地址 | ||
PC1 | 192.168.12.(17)/(22 ) | ||
PC2 | 192.168.16.(17)/( 23) | ||
客戶端 | 192.168.18.(17)/(24 ) |
五、主要配置命令:
一、S1(交換機1)的配置:
sysnameS1
#
vlanbatch 10 20 30 40
#
interfaceVlanif1
#
interfaceVlanif10
ip address 172.168.12.255 255.255.252.0
#
interfaceVlanif20
ip address 172.168.16.255 255.255.254.0
#
interfaceVlanif30
ip address 172.168.18.254 255.255.255.0
#
interfaceVlanif40
ip address 172.16.1.2 255.255.255.248
#
interfaceMEth0/0/1
#
interfaceGigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interfaceGigabitEthernet0/0/2
port link-type access
port default vlan 20
#
interfaceGigabitEthernet0/0/3
port link-type access
port default vlan 30
#
interfaceGigabitEthernet0/0/4
#
interfaceGigabitEthernet0/0/24
port link-type access
port default vlan 40
#
interfaceNULL0
#
ospf1
area 0.0.0.0
network 172.16.1.2 0.0.0.0
network 172.168.16.255 0.0.0.0
network 172.168.12.255 0.0.0.0
network 172.168.18.254 0.0.0.0
#
iproute-static 0.0.0.0 0.0.0.0 172.16.1.1
二、S2(交換機2)的配置:
sysnames2
#
vlanbatch 10 20
#
interfaceVlanif10
ip address 172.16.2.2 255.255.255.252
#
interfaceVlanif20
ip address 172.168.200.30 255.255.255.224
#
interfaceMEth0/0/1
#
interfaceGigabitEthernet0/0/1
port link-type access
port default vlan 20
#
interfaceGigabitEthernet0/0/2
#
interfaceGigabitEthernet0/0/24
port link-type access
port default vlan 10
#
interfaceNULL0
#
ospf10
area 0.0.0.0
network 172.168.200.30 0.0.0.0
network 172.16.2.2 0.0.0.0
#
iproute-static 0.0.0.0 0.0.0.0 172.16.2.1
三、R1(路由器)配置:
interfaceEthernet0/0/0
ip address 202.100.17.1 255.255.255.240
#
interfaceLoopBack0
ip address 1.1.1.17 255.255.255.255
#
iproute-static 172.168.200.0 255.255.255.0 202.100.17.2
四、FW(防火牆)的配置:
1.接口配置。
interfaceGigabitEthernet0/0/1
ip address 172.16.1.1 255.255.255.248
#
interfaceGigabitEthernet0/0/2
ip address 172.16.2.1 255.255.255.252
#
interfaceGigabitEthernet0/0/3
ip address 202.100.17.2 255.255.255.240
2.將接口加入相應的域
firewallzone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet0/0/1
#
firewallzone untrust
set priority 5
add interface GigabitEthernet0/0/3
#
firewallzone dmz
set priority 50
add interface GigabitEthernet0/0/2
#
3.配置路由
ospf10
area 0.0.0.0
network 172.16.1.1 0.0.0.0
network 172.16.2.1 0.0.0.0
#
iproute-static 0.0.0.0 0.0.0.0 202.100.17.1
#
4.開啓域間策略
firewall packet-filter default permit all
#
5.配置nat地址池及nat server
nat address-group 1 202.100.17.3 202.100.17.3
nat server 0 global 202.100.17.4 inside 172.168.200.2
#
time-range 1 08:00 to 17:00 working-day (時間策略)
6.配置自定義策略,實現不同的功能。
policyinterzone trust untrust outbound
policy 2
action deny
policy source 172.168.16.8 0
#
policyinterzone trust dmz outbound
action permit
policy service service-set ftp
policy source 172.168.18.9 0
policy destination 172.168.200.2 0
policy2
actiondeny
policysource 172.168.18.9 0
#
nat-policyinterzone trust untrust outbound
policy 1
action source-nat
policy time-range 1
address-group 1
六、連通性測試截圖
1、PC1在工作日訪問外網
|
2、PC1在工作日之外訪問外網
|
3、PC1訪問服務器
|
4、PC2訪問外網
|
5、PC2訪問服務器
|
6、客戶端通過FTP方式訪問
|
7、客戶端使用PING測
|
8、外網用戶訪問服務器
|
