安全区域实验拓扑
开始之前先通过一台主机和防火墙相连,设置主机的IP地址和网关,开启防火墙设置防火墙接口g1/0/1的IP地址为192.168.1.254,将防火墙设置为主机的网关,尝试能不能用主机ping通防火墙。
尝试之后,发现失败,不能正常通信。学习之后了解到防火墙的安全区域,才知道不能ping通。
防火墙通过设置不同的安全区域对来自不同的网络流量加以区分,用来表达所连接的网络的安全程度。防火墙会通过将接口划分到一个划定的安全区域,表示这个接口所连接的网络属于一个安全区域。而这个接口本身处于一个Local的安全区域,其所连接的网络又表示一个安全区域。
例如,防火墙将接口4划分到安全区域C之后,表示的是接口4所连接的网络属于安全区域C,而接口4并不属于安全区域C。
防火墙默认的安全区域:Trust(信任区)比如内网公司的内部网络、Untrust(非信任区)比如互联网Internet外网容易受到攻击流量、DMZ(Demilitarized Zone)介于安全与非安全的一种区域比如服务器,既服务内网又服务外网,当被外网攻击的时候服务器容易变成肉鸡攻击内网,介于安全与非安全的区域。
注意,防火墙自己的接口也有安全区域,叫做Local,意味着防火墙的接口是属于Local的安全区域。如果防火墙的接口需要使用,就必须将这个接口划分到安全区域,才能使用,可以理解为划分到安全区域就是对这个接口进行管控,对这个接口通过的流量进行管控,只用防火墙的接口进行管控之后才能被使用。
在刚刚的试验中,因为只是对接口进行IP地址的配置,没有将接口划分进安全区域,所以不能使用,主机也就无法ping通防火墙。
在防火墙中通过命令来查看防火墙的安全区域的配置
命令:<FW01>dis current-configuration,查看当前配置
有四个安全区域,分别是:Local安全程度是100、Trust安全程度85、Untrust安全程度5、DMZ安全程度50。可以看到在默认情况下g0/0/0口已经默认属于Trust区域,所以在防火墙上g0/0/0可以不用给g0/0/0划分安全区域,可以直接使用。
那将一个接口划分到安全区域,只要进入这个安全区域,然后添加接口就可以。
命令:[FW01]firewall zone trust,在系统视图下进入安全区域
命令:[FW01-zone-trust]add interface GigabitEthernet 1/0/1,在这个安全区域内添加接口
然后查看配置信息,g1/0/1接口已经添加进Trust安全区域。
现在接口已经划分了安全区域,试验测试一下主机能不能ping通防火墙
发现主机还是不能和防火墙连接通信。
发现这个主机所在的网络是Trust的区域,而这个接口g1/0/1是属于Local的区域,在主机通信的时候,相当于从Trust的区域去访问Local的区域。但是每个Local的接口自身是包含一个访问控制安全策略,包括http、https、ping、ssh、snmp、telnet等权限的限制,只有开启这些权限接口才能为这些服务
命令:[FW01-GigabitEthernet1/0/1]service-manage all permit,打开接口g1/0/1的服务权限
查看配置情况就已经打开了接口的服务权限。
开启接口下的服务权限之后,再用主机去ping防火墙,通信成功。
接口的服务权限是拦截两个安全区域之间流量来使用的。
注意系统的默认安全区域的优先级(安全程度)是不能更改的
命令:[FW01-zone-trust]set priority 80,设置优先级,后面加数字
提示错误,不能修改(modify)系统安全区域的优先级。
防火墙通过受信任级别来控制他的安全程度,收信任级别越高,其安全程度越高。
防火墙支持自定义安全区域。
命令:[FW01]firewall zone name test1,在系统视图下自定义安全区域后面跟上安全区域的名字test1
查看一下配置,在每个安全区域都有一个id,这个id(4-9)可以自己配置,
命令:[FW01]firewall zone name test2 id 5,创建防火墙区域名字是test2配置的id是5
查看配置。
然后对每一个创建的安全区域都要设置一个安全优先级
命令:[FW01-zone-test1]set priority 15,在之前创建的test1下设置优先级15
查看配置情况。
设置好优先级之后,给定义好的安全区域添加接口
注意,一个接口只能设置在一个安全区域内。
命令:[FW01-zone-test1]add interface GigabitEthernet 1/0/1,这里是给自定义的安全区域添加接口为g1/0/1,但是在默认的Trust安全区域内已经添加了g1/0/1,意味着一个接口只能划分在一个安全区域。
这个时候就要undo掉之前设置的接口
命令:[FW01-zone-trust]undo add interface GigabitEthernet 1/0/1,在Trust安全区域下undo掉添加的接口
然后查看配置信息,已经取消掉,g1/0/1在Trust区域上
然后在把G1/0/1接口添加到test1上。
命令:[FW01]firewall zone test1,进入到test1安全区域
命令:[FW01-zone-test1]add interface GigabitEthernet 1/0/1,将g1/0/1接口划分到test1
查看配置信息
用命令:[FW01]display current-configuration,可以查看当前防火墙配置的信息
接口g1/0/1的接口服务权限已经全部打开
自己添加的安全区域也能查看到test1和test2。
将test2安全区域删除
命令:[FW01]undo firewall zone name test2,在系统视图下undo掉安全区域 test2
查看配置信息,test2安全区域已经被删除。
