按照以下要求模仿进行防火墙配置,使用工具,eNSP
一、操持拓扑图
并按要求进行设备IP所在,网关,子网掩码等底子配置。
二、开始将进行配置
第1步:配置防火墙的接口
如下图:但是配置前记得先输入sys,目的是从用户视图切换到系统视图 。
第2步:配置防火墙的安全域
这里先进行防火墙区域的简单解释(拓扑图中我只标出了trust,untrust,dmz三个区域):
- Trust(信任区域):
- 通常用于内部网络,如公司内部网络。被认为是最安全的区域,由于该区域内的用户和设备被认为可以信任。
- 内部用户所在的网络区域,通常将内网终端用户所在区域划分为trust区域。
- Untrust(不信任区域):
- 通常用于外部网络,如互联网。被认为是最不安全的区域,由于该区域内的流量可能包罗恶意活动。
- 通常将Internet等不安全的网络划分为untrust区域。
- DMZ(非军事化区域):
- 用于放置那些需要对外提供服务但又需要掩护的服务器,如Web服务器、邮件服务器等。
- 通常将内网服务器所在区域划分为DMZ区域,这些服务器答应外部访问,但与内部网络隔离,以增强安全性。
- DMZ可以理解为一个差别于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,好比Web、Mail、FTP等。如许来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私家信息等,纵然DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。
- Local(当地区域):
- 代表防火墙设备自己,包括设备的各接口自己。
- 由设备自动发出的报文均可认为是从Local区域中发出的;如果需要设备响应并处置惩罚的报文均可认为是由local区域吸收。
第3步:配置防火墙的安全计谋
配置安全计谋是基于安全域来进行的
local(优先级100),trust(优先级85),dmz(优先级50),untrust(优先级5)。
高优先级向低优先级视为出:outbound;
低优先级向高优先级视为入:inbound。
1.先配置trust到dmz outbound 的出站规则
- policy interzone trust dmz outbound
- policy 2 #给规则编号为policy 2
- policy source 192.168.2.0 0.0.0.255 #后面的0.0.0.255是反掩码,匹配IP地址的前24位
- policy destination 172.16.1.1 0.0.0.0 #这里是0.0.0.0,匹配的IP地址更具体,具体到是172.16.1.1这台指定设备
- policy service service-set http #指定http服务
- action permit #执行“permit”操作,即允许
policy 3对应要求172.16.1.2服务器可以给企业内部网(192.168.2.0)提供dns服务
policy 4对应要求内部网管部门(192.168.1.0)完全控制web服务器和dns服务器
- policy 4
- policy source 192.168.1.0 0.0.0.255
- policy destination 172.16.1.0 0.0.0.255
- action permit #因为是对两台服务器完全控制,直接action permit,默认所有服务都允许即可,不用再进行更细粒度的服务配置
2.再配置untrust到dmz inbound 的出站规则(配置下令跟上面给出的都大差不差,只是IP所在和安全域差别)
policy 1对应172.16.1.1服务器可以给外网(10.1.1.0)提供web服务
policy 2对应172.16.1.2服务器可以给外网(10.1.1.0)提供dns服务
3.防火墙规则都配置好之后,在对应的服务器上部署相应服务
--------------------------------------------
在企业内部网客户端进行测试能否成功获取相干服务
测试结果成功,可以直接用IP获取服务也可以用域名来获取服务。
同理在untrust区域的客户端也一样可以,感兴趣的小伙伴可以自行测试测试,还挺有意思的。
三、总结
在配置防火墙规则时要把细粒度的规则配置在粗粒度规则之上,由于防火墙匹配规则是是按照规则序号先后来进行匹配,如果把粗粒度规则配置在细粒度规则之前,可能会使排在背面的细粒度规则无法生效。
本篇文章到结束,感谢看到末了的各位,如有错误,请尽情指点!
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 | 
