先简单说下华为路由器域间防火墙的一些基本特性:
- 状态化防火墙(简单说就是高级别访问低级别会记录状态)
- AR系列可以设置16种区域安全级别0-15,15保留给Loca区域使用
- 位于两个不同级别的安全区域,低级别的默认不能主动访问高级别区域
- 如果高级别区域主动访问低级别的区域,防火墙会记录一个状态,通常由五元组(协议、源目端口和IP)构成
- 收到的数据先匹配域间防火墙安全策略,安全策略没有匹配的,再匹配状态
- 由于这种状态化的机制实现A能随时访问B,B却需要A主动访问时才能访问
- 高级别流向低级别区域的数据方向为Outbound
- 低级别流向高级别区域的数据方向为Inbound
- 域间防火墙默认策略
packet-filter default deny inbound
packet-filter default permit outbound
接下来看一个实例加深理解
实验拓扑:
需求:- HR(人力资源)与YF(研发)不能互访
- HR随时可以但只能访问WEB和FTP
- YF只能在上班时间能访问FTP
- WB(外部)只能访问WEB
配置:
各接口IP配置此处省略
1.创建安全区域并指定安全级别
firewall zone HR
priority 12
firewall zone YF
priority 10
firewall zone trust #trust为web与ftp服务器所在区域
priority 14
firewall zone WB
priority 8
2.将接口加入相应安全区域
interface Vlanif1
ip address 10.0.0.254 255.255.255.0
zone WB
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
zone HR
interface GigabitEthernet0/0/1
ip address 192.168.2.254 255.255.255.0
zone YF
interface GigabitEthernet0/0/2
ip address 192.168.3.254 255.255.255.0
zone trust
3.创建ACL
先定义YF研发部工作时间
time-range YF-working 08:00 to 17:00 working-day
acl number 2000
description deny-HR-to-YF #禁止HR访问YF
rule 10 deny source 192.168.1.0 0.0.0.255
acl name HR-trust 3000 #只允许HR访问web和ftp服务
rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq www
rule 20 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq ftp
acl name YF-trust 3001
rule 30 permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www
rule 40 permit tcp source 192.168.2.0 0.0.0.255 destination-port eq ftp time-range YF-working #定义基于时间的ACL
acl name WB-trust 3002
rule 5 permit tcp source 10.0.0.0 0.0.0.255 destination-port eq www
4.启用路由器域间防火墙并实施ACL
firewall interzone HR YF
firewall enable
packet-filter 2000 outbound
firewall interzone trust HR
firewall enable
firewall interzone trust WB
firewall enable
packet-filter 3002 inbound
firewall interzone trust YF
firewall enable
packet-filter 3001 inbound
到这里,所有需求都已经实现
总结如下:
由于域间防火墙的特性,它自动拒绝了所有从低级别区域主动访问高级别区域的流量,因此,我们只需要明确指出哪些流量该放行就ok
原文地址:http://blog.51cto.com/13566489/2058659
时间: 2024-11-08 05:14:00