域内流量过滤:
要求:client1无法访问 client2; 但是client2可以访问client1
配置命令:
[FW1]policy zone trust //信任区策略配置
[FW1]policy source 10.1.1.1 0.0.0.0 //源地址策略精确匹配
[FW1]policy destination 10.1.2.1 0.0.0.0 //目标地址策略精确匹配
[FW1]action deny //调用策略动作为禁用
[FW1]action permit //调用策略动作为启用
permit [pə'mɪt] 允许 deny [dɪ'naɪ] 否定,禁用
下载离线词库以备不时之需
区域间流量的放行:
配置命令:
配置防火墙的外网访问dmz区策略
1.【FW1】firewall packet-filter default permit interzone untrust dmz direction inbound
// 防火墙放行untrust区到dmz区的访问 方向为入站
2.写入外放到防火墙的路由:
R1:ip route- static 0.0.0.0 0.0.0.0 200.1.1.254
【FW1]ip route-static 0.0.0.0 0.0.0.0 200.1.1.1
注:该配置在现实中是不可取的,
1.因为intenet是不可能配置路由的,属于非法操作----外网用BGP [可以用NAT或vpn技术解决】
2.防火墙上也不能有路由,不能允许untrust区到dmz区流量全部放行,不然所有的流量都是放行的【包含病毒】,
对内网安全构成威胁 ;所以只放行untrust到dmz中的icmp www ftp服务
放行untrust到dmz中的icmp www ftp服务
第一步:
创建服务集:
[FW1]ip service-set toserver type object //创建服务集 toserver 类型为object 【toserver这个单词不是命令,可以随便命名】
[FW1-object-service-set-toserver]service 0 protocol icmp //服务顺序 0 协议为 icmp
[FW1-object-service-set-toserver]service 1 protocol tcp destination-port 80 //服务顺序1 协议为 tcp 目标端口80
[FW1-object-service-set-toserver]service 2 protocol tcp destination-port 21 //服务顺序1 协议为 tcp 目标端口21
第二步:
开启策略:
[FW1]policy interzone untrust dmz inbound //开启untrust区到dmz区方向的流量,并进入该策略
[FW1-policy-interzone-dmz-untrust-inbound]policy 10 //创建策略10,并进入策略10
[FW1-policy-interzone-dmz-untrust-inbound-10]policy service service-set toserver 【标红的为上面服务集的名字】
//应用上面创建的服务集策略
[FW1-policy-interzone-dmz-untrust-inbound-10]policy destination 10.1.3.2 0.0.0.0 【0.0.0.0 代表精确匹配】
策略目标地址10.1.3.2
[FW1-policy-interzone-dmz-untrust-inbound-10]action permit // 允许以上策略集
nat地址转换,实现内外网的隔离;达到内网web/ft服务器的安全发布:
配置NAT地址转换,实现内网的安全:
先清除之前R1配置的路由:
[R1]undo ip route-static 10.1.3.0 255.255.255.0 202.1.1.254
当前内网是通不到外网的;
配置trust区到untrust区的nat
[FW1]nat address-group 1 202.1.1.2 202.1.1.2 //创建nat转换地址池为202.1.1.2
[FW1]nat-policy interzone trust untrust outbound //进入trust区到untrust区的nat策略配置
[FW1-nat-policy-interzone-trust-untrust-outbound]policy 10
[FW1-nat-policy-interzone-trust-untrust-outbound-10]action source-nat
//开启源nat
[FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.1.0 mask 24
//添加源地址范围为 10.1.1.0 24
[FW1-nat-policy-interzone-trust-untrust-outbound-10]address-group 1
//调用刚才创建的nat地址池 1
配置trust区到untrust区的nat【也可以用easy-ip 配置,直接nat到接口g0/0/3,节省公网ip】
[FW1]nat-policy interzone trust untrust outbound //进入trust区到untrust区的nat策略配置
[FW1-nat-policy-interzone-trust-untrust-outbound]policy 11
[FW1-nat-policy-interzone-trust-untrust-outbound-11]action source-nat
//开启源nat
[FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.2.0 mask 24
//添加源地址范围为 10.1.1.0 24
[FW1-nat-policy-interzone-trust-untrust-outbound-10]easy-ip interface g0/0/3
//直接将内网的10.1.2.0网段转换到g0/0/3接口上
以上两种nat技术方法都可以实现内网ip地址转换的公网地址,保证内网的安全,但是easy技术相对来说可以
节省ip ,不用再买另一个公网ip地址
dmz区web/ftp的发布
直接用静态nat实现地址转换
[FW1]nat server global 202.1.1.3 inside10.1.3.2 //将内部10.1.3.2 转换到公网地址202.1.1.3上
结合上面的配置,直接实现dmz区的web /ftp 区不能访问到别的区域,但是trust和untrust都可以访问,特别
是untrust只有,ping /http/ftp服务可以访问内部的服务器,而别的服务无法访问进到内网!
