华为防火墙实现web、ftp的安全发布综合实验

实验拓扑：

配置要求：

 

1.client2与clien3都属于trust区，可是没法互通；

2.trust区能访问dmz区可是dmz访问不了trust区；

3.将dmz区nat到公网地址，以便访问该web ftp服务；

4.开启防火墙，实现telnet外部远程管理 ；

配置思路与步骤：

思路：

1. 配置各区域接口的ip地址，规划公司设备布局，划分区域，：

2. 添加防火墙策略，

3. 开启telnet服务，达到远程管理华为的防火墙。

4. 配置nat区域的地址池，以便安全发布web 服务器；
   

步骤：

    1.配置公司防火墙FW1各区域接口的ip地址，

规划公司防火墙FW1的trust区域：

规划公司防火墙FW1的untrust区域：

规划公司防火墙FW1的dmz区：

2.当前同属于trust区域的，是互相能够访问的，为实现它们之间的不互通，则须要建立防火墙策略实现；

策略以下：

建立策略1 ，并应用策略：

注意：上面的命令策略仅能实现财务访问不了技术部【即source 10.1.1.1到destnation 10.1.2.1 的访问】，

          可是技术部依然能够访问财务部，不能达到互访的目的；

因此，为实现二者都不能互访的目的，应该再建立技术部到财务的策略：

3.建立trust区到dmz区的防火墙策略，容许trust区的用户能够访问dmz区域的web服务器，但dmz区不能访问trust区

注：firewall packet-filter default permit interzone trust dmz【trust dmz ， 二者的顺序能够随便，如写成dmz trust 也能够】

       direction outbound            // 容许trust区的用户访问dmz区           从级别高的到低的访问，用outbound，反之用inbound

 为dmz区的安全考虑，不容许dmz区访问trust区和untrust ，因此FW1默认是拒绝dmz区访问别的区域的。以下图：

注：display firewall packet-filter default all   //查看防火墙全部数据流量默认策略

4.配置防火墙，实现外网访问dmz区域【为安全考虑，只容许icmp www  ftp 服务】

默认状况下：untrust区用户是禁止访问dmz区！

开启untrust区到dmz区的访问，

命令：firewall packet-filter  default permit interzone untrust dmz      direction  inbound 

 添加防火墙和R1路由间的路由：

R1：ip route- static  0.0.0.0 0.0.0.0 202.1.1.254

【FW1]ip route-static 0.0.0.0 0.0.0.0 202.1.1.1

 如今外网就能够访问dmz区的web ftp 服务器

注：该配置在现实中是不可取的，

1）.由于intenet是不可能配置路由的，属于非法操做----外网用BGP [能够用NAT或***技术解决】

2）.防火墙上也不能有路由，不能容许untrust区到dmz区流量所有放行，否则病毒也是放行的，对内网安全构成威胁

• 只放行untrust到dmz中的icmp www ftp服务

关闭刚才的配置服务：firewall packet-filter  default deny interzone untrust dmz      direction  inbound 

如今，外网是访问不了dmz区的!

配置icmp www ftp 放行服务：【只放行icmp www ftp】

第一步：

 建立服务集：

[FW1]ip service-set toserver type object                                    //建立服务集 toserver 类型为object 【toserver这个单词不是命令，能够随便命名】

[FW1-object-service-set-toserver]service 0  protocol icmp     //服务顺序 0 协议为 icmp

[FW1-object-service-set-toserver]service 1  protocol tcp destination-port  80   //服务顺序1 协议为 tcp 目标端口80

[FW1-object-service-set-toserver]service 2 protocol tcp destination-port  21  //服务顺序1 协议为 tcp 目标端口21

第二步：

开启策略：

[FW1]policy interzone untrust dmz inbound                            //开启untrust区到dmz区方向的流量，并进入该策略

[FW1-policy-interzone-dmz-untrust-inbound]policy 10         //建立策略10，并进入策略10

[FW1-policy-interzone-dmz-untrust-inbound-10]policy service service-set  toserver 【标红的为上面服务集的名字】

                                                                                                     //应用上面建立的服务集策略

[FW1-policy-interzone-dmz-untrust-inbound-10]policy  destination  10.1.3.2 0.0.0.0   【0.0.0.0  表明精确匹配】

                                                                                                     策略目标地址10.1.3.2  

[FW1-policy-interzone-dmz-untrust-inbound-10]action  permit    // 容许以上策略集

如今，便可实现外网icmp www ftp到dmz，别的服务到不了dmz，可是验证时你会发现icmp www没问题，而ftp访问不了；

由于FTP是有一个双通道的概念，而防火墙默认是不支持双通道的；

如今外网才能够访问ftp服务：

而防火墙策略中的untrust到dmz依然是关闭的，说明只放行icmp www ftp服务

以下图：

• 配置NAT地址转换，实现内网的安全：

  
  

  先清除以前R1配置的路由：

  [R1]undo ip route-static 10.1.3.0 255.255.255.0 202.1.1.254

  当前内网是通不到外网的;

  配置trust区到untrust区的nat

  [FW1]nat address-group 1 202.1.1.2 202.1.1.2             //建立nat转换地址池为202.1.1.2

  
  

  [FW1]nat-policy interzone trust untrust outbound     //进入trust区到untrust区的nat策略配置

  
  

  [FW1-nat-policy-interzone-trust-untrust-outbound]policy 10

• 
  

      [FW1-nat-policy-interzone-trust-untrust-outbound-10]action source-nat

                                                                                            //开启源nat

      

      [FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.1.0 mask 24

                                                                                           //添加源地址范围为 10.1.1.0 24

     

     [FW1-nat-policy-interzone-trust-untrust-outbound-10]address-group 1

                                                                                          //调用刚才建立的nat地址池 1

• 配置trust区到untrust区的nat【也能够用easy-ip 配置，直接nat到接口g0/0/3,节省公网ip】

  
  

  
  

  [FW1]nat-policy interzone trust untrust outbound     //进入trust区到untrust区的nat策略配置

  
  

  [FW1-nat-policy-interzone-trust-untrust-outbound]policy 11

• 
  

      [FW1-nat-policy-interzone-trust-untrust-outbound-11]action source-nat

                                                                                            //开启源nat

      

      [FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.2.0 mask 24

                                                                                           //添加源地址范围为 10.1.1.0 24

     

     [FW1-nat-policy-interzone-trust-untrust-outbound-10]easy-ip interface g0/0/3

                                                                                          //直接将内网的10.1.2.0网段转换到g0/0/3接口上

以上两种nat技术方法均可以实现内网ip地址转换的公网地址，保证内网的安全，可是easy技术相对来讲能够

节省ip ，不用再买另外一个公网ip地址

• dmz区web/ftp的发布

  直接用静态nat实现地址转换

[FW1]nat server global 202.1.1.3 inside10.1.3.2   //将内部10.1.3.2 转换到公网地址202.1.1.3上

 结合上面的配置，直接实现dmz区的web /ftp 区不能访问到别的区域，可是trust和untrust均可以访问，特别

是untrust只有，ping /http/ftp服务能够访问内部的服务器，而别的服务没法访问进到内网！