先简单说下华为路由器域间防火墙的一些基本特性:
- 状态化防火墙(简单说就是高级别访问低级别会记录状态)
- AR系列可以设置16种区域安全级别0-15,15保留给Loca区域使用
- 位于两个不同级别的安全区域,低级别的默认不能主动访问高级别区域
- 如果高级别区域主动访问低级别的区域,防火墙会记录一个状态,通常由五元组(协议、源目端口和IP)构成
- 收到的数据先匹配域间防火墙安全策略,安全策略没有匹配的,再匹配状态
- 由于这种状态化的机制实现A能随时访问B,B却需要A主动访问时才能访问
- 高级别流向低级别区域的数据方向为Outbound
- 低级别流向高级别区域的数据方向为Inbound
- 域间防火墙默认策略
packet-filter default deny inbound
packet-filter default permit outbound
接下来看一个实例加深理解
实验拓扑:
需求:
- HR(人力资源)与YF(研发)不能互访
- HR随时可以但只能访问WEB和FTP
- YF只能在上班时间能访问FTP
- WB(外部)只能访问WEB 配置: 各接口IP配置此处省略 1.创建安全区域并指定安全级别 firewall zone HR priority 12 firewall zone YF priority 10 firewall zone trust #trust为web与ftp服务器所在区域 priority 14 firewall zone WB priority 8 2.将接口加入相应安全区域 interface Vlanif1 ip address 10.0.0.254 255.255.255.0 zone WB interface GigabitEthernet0/0/0 ip address 192.168.1.254 255.255.255.0 zone HR interface GigabitEthernet0/0/1 ip address 192.168.2.254 255.255.255.0 zone YF interface GigabitEthernet0/0/2 ip address 192.168.3.254 255.255.255.0 zone trust 3.创建ACL 先定义YF研发部工作时间 time-range YF-working 08:00 to 17:00 working-day acl number 2000 description deny-HR-to-YF #禁止HR访问YF rule 10 deny source 192.168.1.0 0.0.0.255 acl name HR-trust 3000 #只允许HR访问web和ftp服务 rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq www rule 20 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq ftp acl name YF-trust 3001 rule 30 permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www rule 40 permit tcp source 192.168.2.0 0.0.0.255 destination-port eq ftp time-range YF-working #定义基于时间的ACL acl name WB-trust 3002 rule 5 permit tcp source 10.0.0.0 0.0.0.255 destination-port eq www 4.启用路由器域间防火墙并实施ACL firewall interzone HR YF firewall enable packet-filter 2000 outbound firewall interzone trust HR firewall enable firewall interzone trust WB firewall enable packet-filter 3002 inbound firewall interzone trust YF firewall enable packet-filter 3001 inbound
到这里,所有需求都已经实现 总结如下: 由于域间防火墙的特性,它自动拒绝了所有从低级别区域主动访问高级别区域的流量,因此,我们只需要明确指出哪些流量该放行就ok
