第1章防火墙配置1.1 防火墙简介防火墙一方面阻止来自因特网的对受保护网络的未授权的访问,另一方面允许内部网络的用户对因特网进行Web访问或收发E-mail等。
应用:1)作为一个访问网络的权限控制关口,如允许组织内的特定的主机可以访问外网。
2)在组织网络内部保护大型机和重要的资源(如数据)。
对受保护数据的访问都必须经过防火墙的过滤,即使网络内部用户要访问受保护的数据,也要经过防火墙。
类型:目前设备中的防火墙主要是指基于访问控制列表(ACL)的包过滤(以下简称ACL/包过滤)、基于应用层状态的包过滤(以下简称状态防火墙ASPF,Application Specific Packet Filter)和地址转换。
1.1.1 ACL/包过滤防火墙简介ACL/包过滤应用在设备中,为设备增加了对数据包的过滤功能。
工作过程:对设备需要转发的数据包,先获取数据包的包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等,然后和设定的ACL(访问控制列表)规则进行比较,根据比较的结果决定对数据包进行相应的处理。
1.2 包过滤防火墙配置1.启用防火墙功能进入系统视图system-view启用防火墙功能firewall enable2.配置防火墙的缺省过滤方式防火墙的缺省过滤方式,即在没有一个合适的规则去判定用户数据包是否可以通过的时候,防火墙采取的策略是允许还是禁止该数据包通过。
在防火墙开启时,缺省过滤方式为“允许”进入系统视图system-view设置缺省过滤方式为“允许”或“禁止”firewall default { permit | deny }3.配置访问控制列表4.在接口上应用访问控制列表进入对应接口视图interface interface-type interface-number 配置接口的出/入方向报文过滤,并设置所使用的访问控制列表号firewall packet-filter acl-number{ inbound | outbound }1.3 ACL1.3.1 ACL分类根据应用目的,可将IPv4 ACL分为四种类型:●基本ACL(ACL序号为2000~2999):只根据报文的源IP地址信息制定规则。
●高级ACL(ACL序号为3000~3999):根据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三、四层信息制定规则。
●二层ACL(ACL序号为4000~4999):根据报文的源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。
●用户自定义ACL(ACL序号为5000~5999):可以以报文的报文头、IP头等为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。
1.3.2 配置基本ACL基本ACL只根据源IP地址信息制定规则,对报文进行相应的分析处理。
基本ACL的序号取值范围为2000~2999。
1)进入系统视图system-view2)创建并进入基本ACL视图acl number acl-number [ match-order { config | auto } ] (缺省情况下,匹配顺序为config)3)定义规则rule [ rule-id ] { permit | deny } [ rule-string ]*显示配置的ACL信息d isplay acl基本ACL配置举例# 配置ACL 2000,禁止源IP地址为1.1.1.1的报文通过。
<Sysname> system-view[Sysname] acl number 2000[Sysname-acl-basic-2000] rule deny source 1.1.1.1 0[Sysname-acl-basic-2000] display acl 2000Basic ACL 2000, 1 rule,Acl's step is 5rule 0 deny source 1.1.1.1 0 (0 times matched)1.3.3 ACL匹配顺序访问控制列表可能会包含多个规则,而每个规则都指定不同的报文匹配选项。
这样,在匹配报文时就会出现匹配顺序的问题。
IPv4 ACL支持两种匹配顺序:●配置顺序:按照用户配置的顺序进行规则匹配。
●自动排序:按照“深度优先”的顺序进行规则匹配。
“深度优先”的具体原则如下:●IP ACL(基本和高级ACL)的深度优先以源IP地址反掩码中“0”位的数量和目的IP地址反掩码中“0”位的数量排序,反掩码中“0”位越多的规则匹配位置越靠前。
排序时,先比较源IP地址反掩码中“0”位的数量,若源IP地址反掩码中“0”位的数量相等,则比较目的IP地址反掩码中“0”位的数量,若目的IP地址反掩码中“0”位的数量也相等,则先配置的规则匹配位置靠前。
例如,源IP地址反掩码为0.0.0.255的规则比源IP地址反掩码为0.0.255.255的规则匹配位置靠前。
display acl命令会按照匹配顺序显示ACL的规则。
在匹配报文时,一旦有一条规则被匹配,报文就不再继续匹配其它规则了,设备将对该报文执行第一次匹配的规则指定的动作。
1.3.4 配置高级ACL高级ACL可以使用报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性(例如TCP或UDP的源端口、目的端口,TCP标记,ICMP协议的消息类型、消息码等)等信息来制定规则。
用户可以利用高级ACL定义比基本ACL更准确、更丰富、更灵活的规则。
高级ACL的序号取值范围为3000~3999。
1.3.1 高级ACL配置举例# 配置ACL 3000,允许129.9.0.0网段的主机向202.38.160.0网段的主机发送端口号为80的TCP报文。
<Sysname> system-view[Sysname] acl number 3000[Sysname-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255destination 202.38.160.0 0.0.0.255 destination-port eq 80[Sysname-acl-adv-3000] display acl 3000Advanced ACL 3000, 1 rule,Acl's step is 5rule 0 permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.2 55 destination-port eq www (0 times matched)1.4 IPv4 ACL 典型配置举例1.4.1 组网需求●公司企业网通过设备Switch 实现各部门之间的互连。
● 要求正确配置ACL ,禁止其它部门在上班时间(8:00至18:00)访问工资查询服务器(IP 地址为129.110.1.2),而总裁办公室(IP 地址为129.111.1.2)不受限制,可以随时访问。
1.4.2 组网图财务部门总裁办公室管理部门图1-1 配置ACL 组网图1.4.3 配置步骤(1) 定义到工资服务器的ACL# 进入高级访问控制列表视图,编号为3000。
[Sysname] acl number 3000# 定义总裁办公室到工资服务器的访问规则。
[Sysname-acl-adv-3000] rule 1 permit ip source 129.111.1.2 0.0.0.0 destination 129.110.1.2 0.0.0.0# 定义其它部门到工资服务器的访问规则。
[Sysname-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range trname[Sysname-acl-adv-3000] quit(2) 应用ACL# 将ACL 3000用于Ethernet1/0出方向的包过滤。
[Sysname] firewall enable[Sysname] interface ethernet 1/0[Sysname-Ethernet1/0] firewall packet-filter 3000 outbound1.4.4 包过滤防火墙典型配置举例1. 组网需求某公司通过一台路由器的接口Serial1/0访问Internet,路由器与内部网通过以太网接口Ethernet1/0连接。
公司内部对外提供WWW、FTP和Telnet服务,公司内部子网为129.38.1.0,其中,内部FTP服务器地址为129.38.1.1,内部Telnet服务器地址为129.38.1.2,内部WWW服务器地址为129.38.1.3,公司对外地址为202.38.160.1。
在路由器上配置了地址转换,这样内部PC机可以访问Internet,外部PC可以访问内部服务器。
通过配置防火墙,希望实现以下要求:●外部网络只有特定用户可以访问内部服务器。
●内部网络只有特定主机可以访问外部网络。
假定外部特定用户的IP地址为202.39.2.3。
2. 组网图129.38.1.1129.38.1.2129.38.1.33. 配置步骤# 在路由器上启用防火墙功能。
<Router> system-view[Router] firewall enable# 设置防火墙缺省过滤方式为允许包通过。
[Router] firewall default permit# 创建访问控制列表3001。
[Router] acl number 3001# 配置规则允许特定主机访问外部网,允许内部服务器访问外部网。
[Router-acl-adv-3001] rule permit ip source 129.38.1.1 0[Router-acl-adv-3001] rule permit ip source 129.38.1.2 0[Router-acl-adv-3001] rule permit ip source 129.38.1.3 0[Router-acl-adv-3001] rule permit ip source 129.38.1.4 0# 配置规则禁止所有IP包通过。
[Router-acl-adv-3001] rule deny ip# 创建访问控制列表3002[Router] acl number 3002# 配置规则允许特定用户从外部网访问内部服务器。