網絡系統建設與運維在現代計算機網絡的運維過程中，網絡安全問題正在變得日益緊要和關鍵，在各種各樣的網絡安全事故中，輕則網絡癱瘓，重則關鍵數據丟失，對業務的開展影響巨大（當下企業的業務流正在不斷向互聯網上轉移），然而，絕大多數人并不了解網絡安全，也不懂得如何防范，怎么才能保證網絡的安全呢？防火墻就是這樣的一種設備，他內置了很多安全策略，并且允許用戶自行定制各種安全策略，通常他工作在園區網絡的出口處，是內部網絡和外部網絡的連接點，本項目介紹防火墻的入門知識和常用配置。深入篇項目12防火墻配置基礎一、學習目標1、掌握防火墻的工作原理；2、掌握防火墻的配置方法。二、網絡拓撲圖深入篇項目12防火墻配置基礎三、環境與設備要求1、按下列清單準備好網絡設備，并依圖示搭建網絡拓撲圖；深入篇項目12防火墻配置基礎設備型號數量交換機S37002路由器Router1防火墻USG55001計算機PC1服務器WebServer2瀏覽器Client22、為計算機和相關接口配置IP地址；3、Trust區域和Untrust區域之間能夠自由互通；4、Trust區域能夠訪問DMZ區域的所有Web服務，不能進行其他通信；5、Untrust區域只能訪問DMZ區域的特定Web服務，不能進行其他通信。深入篇項目12防火墻配置基礎設備連接端口IP地址備注FW1G0/0/0SW1E0/0/1/24連接Trust區域FW1G0/0/1SW2E0/0/1/24連接DMZ區域FW1G0/0/2R1E0/0/0/24連接Untrust區域R1E0/0/0FW1G0/0/2/24--R1E0/0/1Client1/24--R1Loopback0--/32--四、認知與配置過程1、配置所有設備的接口IP地址略2、配置R1和FW1上的默認路由深入篇項目12防火墻配置基礎[R1]iproute-static[SRG]iproute-static3、配置FW1的接口所屬區域注：為方便用戶使用，防火墻的G0/0/0口在出廠時已經配置了IP地址，并且被分配至了Trust區域，用戶可按需自行修改。不同區域之間是不能通信的，此時PC1和其他區域的計算機之間不能ping通。深入篇項目12防火墻配置基礎[SRG]firewallzonetrust[SRG-zone-dmz]addinterfaceg0/0/0[SRG-zone-dmz]q[SRG]firewallzonedmz[SRG-zone-dmz]addinterfaceg0/0/1[SRG-zone-dmz]q[SRG]firewallzoneuntrust[SRG-zone-dmz]addinterfaceg0/0/2[SRG-zone-dmz]q4、配置Trust和Untrust區域之間的自由互通深入篇項目12防火墻配置基礎[SRG]policyinterzonetrustuntrustinbound[SRG-policy-interzone-trust-untrust-inbound]policy0[SRG-policy-interzone-trust-untrust-inbound-0]policysourceany[SRG-policy-interzone-trust-untrust-inbound-0]policydestinationany[SRG-policy-interzone-trust-untrust-inbound-0]actionpermit[SRG-policy-interzone-trust-untrust-inbound]q[SRG]policyinterzonetrustuntrustoutbound[SRG-policy-interzone-trust-untrust-outbound]policy0[SRG-policy-interzone-trust-untrust-outbound-0]policysourceany[SRG-policy-interzone-trust-untrust-outbound-0]policydestinationany[SRG-policy-interzone-trust-untrust-outbound-0]actionpermit接下來測試Trust區域和Untrust、DMZ區域之間的連通性：可以看到Trust區域和Untrust區域之間可以正常通信，但和DMZ區域之間不能通信。5、配置Trust和DMZ區域之間的Web訪問深入篇項目12防火墻配置基礎PC>pingPC>ping[SRG]policyinterzonetrustdmzoutbound[SRG-policy-interzone-trust-dmz-outbound]policy0[SRG-policy-interzone-trust-dmz-outbound-0]policysourceany[SRG-policy-interzone-trust-dmz-outbound-0]policydestinationany[SRG-policy-interzone-trust-dmz-outbound-0]policyserviceservice-sethttp[SRG-policy-interzone-trust-dmz-outbound-0]actionpermit接下來測試在Trust區域的Web訪問：可以看到在Client2上可以正常地瀏覽DMZ區域的所有Web服務器。深入篇項目12防火墻配置基礎接下來測試P1和DMZ區域的ping連通性：可以看到PC1仍然不能ping通DMZ區域的Web服務器，因為我們的安全策略是僅僅放行http流量。6、配置Untrust和DMZ區域之間的特定Web訪問深入篇項目12防火墻配置基礎PC>ping[SRG]policyinterzoneuntrustdmzinbound[SRG-policy-interzone-dmz-untrust-inbound]policy0[SRG-policy-interzone-dmz-untrust-inbound-0]policysourceany[SRG-policy-interzone-dmz-untrust-inbound-0]policydestination0[SRG-policy-interzone-dmz-untrust-inbound-0]policyserviceservice-sethttp[SRG-policy-interzone-dmz-untrust-inbound-0]actionpermit接下來測試在Untrust區域的Web訪問：可以看到在Client1上可以瀏覽DMZ區域的Server1服務器，但不能瀏覽Server2服務器，因為我們的安全策略是放行的http流量。深入篇項目12防火墻配置基礎五、測試并驗證結果1、Trust區域和Untrust區域之間的訪問控制與預期結果相符。2、Trust區域和DMZ區域之間的訪問控制與預期結果相符。3、Untrust區域和DMZ區域之間的訪問控制與預期結果相符。深入篇項目12防火墻配置基礎六、項目小結與知識拓展1、防火墻上默認有四個區域，分別是local、trust、untrust、dmz（DemilitarizedZone，隔離區），默認的區域優先級分別為100、85、5、50，本實訓用到了trust、untrust、dmz三個區域。默認情況下不同區域間是不可互通的，需要配置區域間的安全策略放行允許通過的流量。2、任何兩個安全區域都構成一個安全域間（Interzone），并具有單獨的安全域間視圖，大部分的防火墻配置都在安全域間視圖下配置。配置了防火墻的功能后，設備對這兩個安全區域之間發生流動的數據進行檢查。安全域間的數據流動具有方向性，包括入方向（inbound）和出方向（outbound）。入方向：數據由低優先級的安全區域向高優先級的安全區域傳輸。出方向：數據由高優先級的安全區域向低優先級的安全區域傳輸。深入篇項目12防火墻配置基礎3、防火墻也可充當出口路由設備使用，執行NAT等出口路由相關的操作，下面的配置完成了從trust到untrust區域的NAT配置：深入篇項目12防火墻配置基礎[SRG]nataddress-group09