防火墙安全策略基础配置

发布于:2025-05-13 ⋅ 阅读:(17) ⋅ 点赞:(0)

拓朴图

设备基础配置
# AR1 路由器配置
[Huawei]interface GigabitEthernet0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 1.1.1.2 255.255.255.0
[Huawei]ip route-static 192.168.1.0 255.255.255.0 1.1.1.1

# FW1 防火墙配置
[USG6000V1]sysname FW1
[FW1]interface GigabitEthernet1/0/1
[FW1-GigabitEthernet1/0/1]ip address 192.168.1.254 24
[FW1-GigabitEthernet1/0/1]service-manage ping permit 
[FW1]firewall zone trust 
[FW1-zone-trust]add interface GigabitEthernet1/0/1
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface GigabitEthernet1/0/0
[FW1]interface GigabitEthernet1/0/0
[FW1-GigabitEthernet1/0/0]ip address 1.1.1.1 24
[FW1-GigabitEthernet1/0/0]service-manage ping permit
安全策略配置
1. 策略创建与顺序调整
[FW1]security-policy
[FW1-policy-security]rule name policy1
[FW1-policy-security]rule name policy3
[FW1-policy-security]rule name policy2
# 移动策略顺序:policy2 调整至 policy1 后
[FW1-policy-security]rule move policy2 after policy1
2. 策略规则示例
# 策略 policy1 的详细配置
[FW1-policy-security-rule-policy1]source-address range 192.168.1.0 192.168.1.255
[FW1-policy-security-rule-policy1]destination-address 1.1.1.0 mask 255.255.255.0
[FW1-policy-security-rule-policy1]action permit
数据五元组
字段 说明
源IP 数据包来源地址
目的IP 数据包目标地址
源端口 数据包来源端口
目的端口 数据包目标端口
协议 服务类型(如TCP/UDP)
策略匹配现象观察
策略顺序调整前:
Total:4 
RULE ID  RULE NAME     STATE      ACTION       HITS        
--------------------------------------------------------- 
1        policy1       enable     -            0            
2        policy3       enable     -            0            
3        policy2       enable     -            0           
0        default       enable     deny         0
策略顺序调整后:
Total:4 
RULE ID  RULE NAME     STATE      ACTION       HITS        
--------------------------------------------------------- 
1        policy1       enable     -            0            
3        policy2       enable     -            0            
2        policy3       enable     -            0           
0        default       enable     deny         0

匹配顺序原则:先配置的策略优先匹配。

状态检测防火墙机制
  1. 处理流程
    • 首包检测:匹配安全策略后创建会话表。
    • 后续报文:直接匹配会话表放行,无需再次检查策略。
    • 会话表示例
dis firewall session table

icmp  VPN: public --> public  192.168.1.1:11642 --> 1.1.1.2:2048
  1. 优先级
    • 会话表 > 安全策略 > 默认拒绝(default deny)。
ASPF应用层包过滤(以FTP为例)

拓朴图

1. FTP双通道工作流程
  1. 控制通道(端口21):
    • 客户端发送请求(源端口随机 → 目的端口21)。
  2. 数据通道(动态端口如2052):
    • 服务器通过控制通道通知客户端数据端口(如2052)。
    • 客户端发起数据请求(源端口随机 → 目的端口2052)。
2. 安全策略限制
# 允许外部访问内部FTP服务器
[FW1-policy-security-rule-FTPpolicy1]source-zone untrust
[FW1-policy-security-rule-FTPpolicy1]destination-zone trust
[FW1-policy-security-rule-FTPpolicy1]destination-address 192.168.1.2 32
[FW1-policy-security-rule-FTPpolicy1]service ftp
[FW1-policy-security-rule-FTPpolicy1]action permit
3. ASPF的作用
  • 问题:传统策略无法放行动态端口(如2052)。
  • 解决方案(作用):ASPF自动解析应用层协议,动态生成会话表项放行数据通道流量。

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布