
如果在eNSP中进行这个实验,由于涉及到WEB客户端及服务器,因此可以PC2可以使用“终端” 设备中的Client来模拟,而Web Server可以使用“终端”设备中的Server来模拟。具体的HTTP客 户端及服务器配置请见本文档2.6小节。
防火墙FW的配置如下:
[FW] interface GigabitEthernet0/0/1
[FW-GigabitEthernet0/0/1] ip address 192.168.1.254 24
[FW] interface GigabitEthernet0/0/2
[FW-GigabitEthernet0/0/2] ip address 172.16.1.254 24
[FW] interface GigabitEthernet0/0/3
[FW-GigabitEthernet0/0/3] ip address 10.1.1.254 24
#将接口添加到相应的安全区域:
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet0/0/1
[FW] firewall zone dmz
[FW-zone-dmz] add interface GigabitEthernet0/0/2
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet0/0/3
#配置域间策略,使得trust域的192.168.1.0/24网段用户能够访问untrust区域的10.1.1.0/24网段:
[FW] policy interzone trust untrust outbound
第151
[FW-policy-interzone-trust-untrust-outbound] policy 10
[FW-policy-interzone-trust-untrust-outbound-10] policy destination 10.1.1.0
0.0.0.255
[FW-policy-interzone-trust-untrust-outbound-10] policy source 192.168.1.0
0.0.0.255
[FW-policy-interzone-trust-untrust-outbound-10] action permit
#配置域间策略,使得untrust区域的10.1.1.0/24网段用户能够访问Server的WEB服务:
[FW] policy interzone dmz untrust inbound
[FW-policy-interzone-dmz-untrust-inbound] policy 10
完成上述配置后,PC1即可主动发起访问PC2,而PC2无法主动访问PC1;另外,PC2能够访问 WebServer的HTTP服务。下面做一些简单的验证及查看:
通过命令display zone,可以查看防火墙的安全区域、安全等级,以及每个安全区域下的接口
使用display firewall packet-filter default 命令,能查看防火墙的缺省安全策略。当数据包经过 防火墙且从一个安全域试图访问另一个安全域时,防火墙会根据数据包的流向首先检查用户定义 的policy interzone,如果没有自定义的policy interone,则会看根据防火墙的缺省安全策略进行处 理。例如从上面的显示中,我们可以看到local-trust的inbound及outbound都是permit,因此即使我 们没有显式的配置local及trust安全区域的区域间策略,但是由于默认的策略就是放行,所以 trust 区域的用户可以直接ping通防火墙的接口。
如果要让防火墙默认放行所有域间的流量,可以使用:firewall packet-filter default permit all命令, 值得注意的是,在网络正式投入现网使用之前,此命令必须关闭(firewall packet-filter default deny all),针对需要放行的流量,需通过policy interzone的配置来放行,而不能鲁莽地将所有流量统统 放行。 使用display policy命令,能查看我们定义的区域间安全策略,例如:
上面都是我们通过命令定义的区域间安全策略。
当PC1 ping PC2时,我们可以在FW上查看到如下会话:
当PC2 访问 Server的WEB服务时,在FW上能看到如下会话:
在display firewall session table命令中增加verbose关键字,可以查看会话的详细信息:
从防火墙的会话详细内容中,我们可以读出许多东西。例如上面的输出,可以看出会话是由哪个区 域发起,去往哪个区域的,以及入站、出站报文的个数、字节数等信息。
注意:读懂防火墙的会话条目,是一项非常有用的基本技能。一个会话的流量,到达防火墙并且被防火墙顺利转发, 我们便能够在会话表中查看到该会话的表项。而如果一个会话的流量因某种原因没有到达防火墙,或者到达了防火 墙,而由于域间包过滤策略未放通相应的流量导致报文被丢弃,又或者防火墙没有匹配的路由信息用于转发流量等 等,这些情况发生时,在防火墙上都将无法看到相应的会话表项
[FW] display zone
local
priority is 100
#
trust
priority is 85
interface of the zone is (2):
GigabitEthernet0/0/0
GigabitEthernet0/0/1
#
untrust
priority is 5
interface of the zone is (1):
GigabitEthernet0/0/3
#
dmz
priority is 50
interface of the zone is (1):
GigabitEthernet0/0/2 [FW] display firewall packet-filter default all
Firewall default packet-filter action is: ----------------------------------------------------------------------
packet-filter in public:
local -> trust :
inbound : default: permit; || IPv6-acl: null
outbound : default: permit; || IPv6-acl: null
数通实验手册(基础篇)
第153页, 共229页
local -> untrust :
inbound : default: deny; || IPv6-acl: null
outbound : default: permit; || IPv6-acl: null
local -> dmz :
inbound : default: deny; || IPv6-acl: null
outbound : default: permit; || IPv6-acl: null
trust -> untrust :
inbound : default: deny; || IPv6-acl: null
outbound : default: deny; || IPv6-acl: null
trust -> dmz :
inbound : default: deny; || IPv6-acl: null
outbound : default: deny; || IPv6-acl: null
dmz -> untrust :
inbound : default: deny; || IPv6-acl: null
outbound : default: deny; || IPv6-acl: null
packet-filter between VFW:[FW] display policy interzone trust untrust outbound
policy interzone trust untrust outbound
firewall default packet-filter is deny
policy 10 (15 times matched)
action permit
policy service service-set ip
policy source 192.168.1.0 0.0.0.255
policy destination 10.1.1.0 0.0.0.255[FW] display policy interzone dmz untrust inbound
policy interzone dmz untrust inbound
firewall default packet-filter is deny
policy 10 (1 times matched)
action permit
policy service service-set http (predefined)
policy source 10.1.1.0 0.0.0.255
policy destination 172.16.1.1 0.0.0.0[FW]display firewall session table
16:28:09 2016/05/04
Current Total Sessions : 5
icmp VPN:public --> public 192.168.1.1:41906-->10.1.1.1:2048
icmp VPN:public --> public 192.168.1.1:42162-->10.1.1.1:2048
icmp VPN:public --> public 192.168.1.1:42418-->10.1.1.1:2048
icmp VPN:public --> public 192.168.1.1:42674-->10.1.1.1:2048
icmp VPN:public --> public 192.168.1.1:42930-->10.1.1.1:2048[FW]display firewall session table
16:28:49 2016/05/04
Current Total Sessions : 1
http VPN:public --> public 10.1.1.1:2050-->172.16.1.1:80 [FW]display firewall session table verbose
Current Total Sessions : 1
http VPN:public --> public
Zone: untrust--> dmz TTL: 00:00:10 Left: 00:00:03
Interface: GigabitEthernet0/0/2 NextHop: 172.16.1.1 MAC: 54-89-98-94-29-85
<--packets:4 bytes:471 -->packets:6 bytes:400
10.1.1.1:2050-->172.16.1.1:80