H3C防火墻的基礎(chǔ)知識(shí)

H3C防火墻的基礎(chǔ)知識(shí)學(xué)習(xí)一、防火墻的基本知識(shí)---安全域和端口1、安全區(qū)域安全域(SecurityZone),是一個(gè)邏輯概念，用于管理防火墻設(shè)備上安全需求相同的多個(gè)接口。管理員將安全需求相同的接口進(jìn)行分類，并劃分到不同的安全域，能夠?qū)崿F(xiàn)安全策略的統(tǒng)一管理。傳統(tǒng)防火墻的安全策略配置通常是基于報(bào)文入接口、出接口的，進(jìn)入和離開接口的流量基于接口上指定方向的策略規(guī)則進(jìn)行過濾。這種基于接口的策略配置方式需要為每一個(gè)接口配置安全策略，給網(wǎng)絡(luò)管理員帶來配置和維護(hù)上的負(fù)擔(dān)。隨著防火墻技術(shù)的發(fā)展，防火墻已經(jīng)逐漸擺脫了只連接外網(wǎng)和內(nèi)網(wǎng)的角色，出現(xiàn)了內(nèi)網(wǎng)/外網(wǎng)/DMZ(DemilitarizedZone，非軍事區(qū))的模式，并且向著提供高端口密度服務(wù)的方向發(fā)展?；诎踩騺砼渲冒踩呗缘姆绞娇梢越鉀Q上述問題。設(shè)備存在兩種類型的安全域，分別是：缺省安全域：不需要通過命令security-zonename配置就已經(jīng)存在的安全域，名稱為：Local、Trust、DMZ>Management和Untrust；非缺省安全域：通過命令security-zonename創(chuàng)建的安全域。無論是缺省安全域，還是非缺省安全域，都沒有優(yōu)先級(jí)的概念。下述接口之間的報(bào)文要實(shí)現(xiàn)互訪，必須在安全域間實(shí)例上配置安全策略，而且只有匹配放行策略的報(bào)文，才允許通過，否則系統(tǒng)默認(rèn)丟棄這些接口之間發(fā)送的報(bào)文：同一個(gè)安全域的接口之間;處于不同安全域的接口之間；處于安全域的接口和處于非安全域的接口之間；目的地址或源地址為本機(jī)的報(bào)文，缺省會(huì)被丟棄，若該報(bào)文與域間策略匹配，則由域間策略進(jìn)行安全檢查，并根據(jù)檢查結(jié)果放行或丟棄。1.1非信任區(qū)域（UNTrust）UNTrust的安全等級(jí)是5,一般都是連外網(wǎng)的端口，比如你外網(wǎng)接入是電信或移動(dòng)等，那么這個(gè)端口的定義就是Trust口，這就說明外網(wǎng)是不可以訪問內(nèi)網(wǎng)的了。這就加強(qiáng)了內(nèi)網(wǎng)的安全性。1.2非軍事化區(qū)域（DMZ）DMZ的安全等級(jí)是50，DMZ是非軍事化區(qū)域的意思，在防火墻的概念中，?；饏^(qū)相當(dāng)于一個(gè)既不屬于內(nèi)部網(wǎng)絡(luò)，也不屬于外部網(wǎng)絡(luò)的一個(gè)相對(duì)獨(dú)立的網(wǎng)段。一般而言，停火區(qū)處于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間。是不安全的區(qū)域。1.3信任區(qū)域（Trust）Trust的安全等級(jí)是85,一般都是內(nèi)網(wǎng)口，比如公司內(nèi)部的局域網(wǎng)，如果有很多個(gè)口，那就每個(gè)都設(shè)置于為Trust，這樣局域網(wǎng)內(nèi)不但相互之間可以互相訪問，同時(shí)也可以訪問比這個(gè)信任等級(jí)低的其它端口，如Untrust和DMZ城區(qū)。Local的安全等級(jí)是100。Management的安全等級(jí)是100。2、端口1、防火墻的端口有兩種工作模式，二層模式和三層模式。2、二層模式端口有三種工作模式AccessTrunkhybrid不懂這三個(gè)模式的區(qū)別的話，H3C的參考手冊(cè)上面有詳細(xì)的。3、三層模式端口的IP地址可以手工指定也可以DHCP獲取。4、如果端口工作于二層模式，在加入安全域時(shí)需要指定VLANID。5、公司H3C設(shè)備舉例：1）本公司H3CSECPATHF100-M-G2防火墻面板上一共12個(gè)千兆電口；兩個(gè)光口跟GE0GE1形成Combo。缺省情況下，電口被激活。Combo接口是一個(gè)邏輯接口，一個(gè)Combo接口對(duì)應(yīng)設(shè)備面板上一個(gè)電口和一個(gè)光口。電口與其對(duì)應(yīng)的光口是光電復(fù)用關(guān)系，兩者不能同時(shí)工作（當(dāng)激活其中的一個(gè)接口時(shí)，另一個(gè)接口就自動(dòng)處于禁用狀態(tài)），用戶可根據(jù)組網(wǎng)需求選擇使用電口或光口。comboenable命令用來激活Combo接口。comboenable（copper|fiber｝以太網(wǎng)接口視圖（該接口必須是Combo接口）copper：表示該Combo接口的電口被激活，使用雙絞線連接。fiber:表示該Combo接口的光口被激活，使用光纖連接。簡(jiǎn)單例子：#指定GigabitEthernet0/3端口的電口被激活，使用雙絞線連接。system-view[Sysname]interfaceGigabitEthernet0/3[Sysname-GigabitEthernet0/3]comboenablecopper#指定GigabitEthernet0/3端口的光口被激活，使用光纖連接。system-view[Sysname]interfaceGigabitEthernet0/3[Sysname-GigabitEthernet0/3]comboenablefiber2）一個(gè)HDD擴(kuò)展口，用于插擴(kuò)展硬盤。3）兩個(gè)USB，暫時(shí)不知道有啥用。4）一個(gè)Console口，熟悉的套路這玩意是接串口的。3、簡(jiǎn)單配置示例3.1安全域典型配置舉例3.1.1組網(wǎng)需求某公司以Device作為網(wǎng)絡(luò)邊界防火墻，連接公司內(nèi)部網(wǎng)絡(luò)和Internet。公司需要對(duì)外提供Web服務(wù)和FTP服務(wù)?，F(xiàn)需要在防火墻上部署安全域，并基于以下安全需求進(jìn)行域間安全策略的配置。?與接口GigabitEthernet1/0/1相連的公司內(nèi)部網(wǎng)絡(luò)屬于可信任網(wǎng)絡(luò)，部署在Trust域，可以自由訪問服務(wù)器和外部網(wǎng)絡(luò)。?與接口GigabitEthernet1/0/3相連的外部網(wǎng)絡(luò)屬于不可信任網(wǎng)絡(luò)，部署在Untrust域，訪問公司內(nèi)部網(wǎng)絡(luò)和服務(wù)器時(shí)，需要受到嚴(yán)格的域間安全策略的限制。?與接口GigabitEthernet1/0/2相連的Webserver、FTPserver部署在DMZ域，可以自由訪問處于Untrust域的外部網(wǎng)絡(luò)，但在訪問處于Trust域的公司內(nèi)部網(wǎng)絡(luò)時(shí)，需要受到嚴(yán)格的域間安全策略的限制。3.1.2安全域組網(wǎng)圖3.1.3配置步驟#向安全域Trust中添加接口GigabitEthernet1/0/1。<Device>system-view[Device]security-zonenametrust[Device-security-zone-Trust]importinterfacegigabitethernet1/0/1[Device-security-zone-Trust]quit向安全域DMZ中添加接口GigabitEthernet1/0/2。[Device]security-zonenamedmz[Device-security-zone-DMZ]importinterfacegigabitethernet1/0/2[Device-security-zone-DMZ]quit向安全域Untrust中添加接口GigabitEthernet1/0/3。[Device]security-zonenameuntrust[Device-security-zone-Untrust]importinterfacegigabitethernet1/0/3[Device-security-zone-Untrust]quit#配置ACL3500，定義規(guī)則：允許IP流量。[Device]acladvanced3500[Device-acl-ipv4-adv-3500]rulepermitip[Device-acl-ipv4-adv-3500]quit#創(chuàng)建ASPF策略1，配置檢測(cè)應(yīng)用層協(xié)議FTP（FTP僅為示例，若要檢測(cè)其它應(yīng)用協(xié)議，可根據(jù)需要配置）。[Device]aspfpolicy1[Device-aspf-policy-1]detectftp[Device-aspf-policy-1]quit#創(chuàng)建源安全域Trust到目的安全域Untrust的安全域間實(shí)例，并在該域間實(shí)例上應(yīng)用ASPF策略和包過濾策略，可以拒絕Untrust域用戶對(duì)Trust的訪問，但Trust域用戶訪問Untrust域以及返回的報(bào)文可以通過。[Device]zone-pairsecuritysourcetrustdestinationuntrust[Device-zone-pair-security-Trust-Untrust]aspfapplypolicy1[Device-zone-pair-security-Trust-Untrust]packet-filter3500[Device-zone-pair-security-Trust-Untrust]quit#創(chuàng)建源安全域Trust到目的安全域DMZ的安全域間實(shí)例，并在該域間實(shí)例上開啟ASPF檢測(cè)功能，可以拒絕DMZ域用戶對(duì)Trust的訪問，但Trust域用戶訪問DMZ域以及返回的報(bào)文可以通過。[Device]zone-pairsecuritysourcetrustdestinationdmz[Device-zone-pair-security-Trust-DMZ]aspfapplypolicy1[Device-zone-pair-security-Trust-DMZ]packet-filter3500[Device-zone-pair-security-Trust-DMZ]quit4.驗(yàn)證配置以上配置完成后，內(nèi)網(wǎng)主機(jī)可訪問外部網(wǎng)絡(luò)以及DMZ域內(nèi)的FTP服務(wù)器資源。外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)以及DMZ域主動(dòng)發(fā)起的連接請(qǐng)求將被拒絕。3.2配置遠(yuǎn)程Telnet管理配置#配置管理口地址：24<Device>system-view[Device]interfacegigabitethernet1/0/0[sysnname-gigabitethernet1/0/0]ipaddress24#將管理口加入到安全域，這里進(jìn)入management域。[Device]security-zonenamemanagement[Device-security-zone-management]importinterfacegagibitethernet1/0/0#創(chuàng)建ACL2000,運(yùn)行源IP地址為的報(bào)文通過。[Device]aclnumber2000Device-acl-basic-2000]rulepermitsource0#配置management域到local域的域間策略。[Device]zone-pairsourcemanagementdestinationlocal[Device-zone-pair-security-management-local]packet-filter2000#配置VTY的認(rèn)證模式為scheme[Device]user-interfacevty04[Device-line-vty0-4]authentication-modescheme[Device-line-vty0-4]user-rolenetwork-admin[Device-line-vty0-4]user-rolenetwork-operator3.3二、防火墻的應(yīng)用NAT和ACL2.1ACL簡(jiǎn)介訪問控制列表(AccessControlList，ACL)是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。ACL規(guī)則定義了安全域之間的報(bào)文過濾規(guī)則。一個(gè)ACL中可以包括多個(gè)RULE，RULE規(guī)定了過濾規(guī)則，我們這里只使用基本ACL。基本ACL編號(hào)由2000開始到2999結(jié)束。Rule編號(hào)由0開始，默認(rèn)規(guī)則步長(zhǎng)為5，這個(gè)不用太關(guān)心，一般每個(gè)規(guī)則的代號(hào)我們都會(huì)手動(dòng)指定。目前有三種主要的ACL:標(biāo)準(zhǔn)ACL、擴(kuò)展ACL及命名ACL。其他的還有標(biāo)準(zhǔn)MACACL、時(shí)間控制ACL、以太協(xié)議ACL、IPv6ACL等。標(biāo)準(zhǔn)的ACL使用1~99以及1300~1999之間的數(shù)字作為表號(hào)，擴(kuò)展的ACL使用100~199以及2000~2699之間的數(shù)字作為表號(hào)。2.2NAT簡(jiǎn)介NAT(NetworkAddressTranslation)，網(wǎng)絡(luò)地址轉(zhuǎn)換。H3C防火墻也提供了這個(gè)功能。h3c手冊(cè)上的第九第五節(jié)詳細(xì)介紹以網(wǎng)絡(luò)結(jié)構(gòu)舉例：防火墻trust接口為GE1/0/9。此端口ip地址為/8。防火墻untrust接口為GE1/0/10O此端口ip地址為0/24。untrust接口下面掛接一臺(tái)可以上網(wǎng)的交換機(jī)。此交換機(jī)上有很多pc,其中某一臺(tái)pc2的ip地址為/24otrust接口連接一臺(tái)pc1上，IP地址為00/8o目的是trust接口的pc1能ping通公司內(nèi)網(wǎng)的pc2。1）配置端口的IP地址配置GE1/0/9,接PC1interfacegigabitethernet1/0/9ipaddress配置GE1/0/10,接交換機(jī)interfacegigabitethernet1/0/9ipaddress2）將GE1/0/9添加到trust安全域中security-zonenametrustimportinterfacegigabitethernet1/0/9將GE1/0/10添加到untrust安全域中security-zonenameuntrustimportinterfacegigabitethernet1/0/103）配置一個(gè)基本ACLaclbasic2050rule0permitsource55添加一條基礎(chǔ)規(guī)則，允許這個(gè)網(wǎng)段的IP地址通過4）在安全域trust到安全域untrust這個(gè)路徑上應(yīng)用acl2050zone-pairsecuritysourcetrustdestinationuntrustpacket-filter20505）生成一個(gè)nat地址池nataddress-group06）添