前言
以usg6000v为例,防火墙分为四个常见区域:trust区域(优先级85),dmz区域(优先级50),untrust区域(优先级5)和local区域(优先级100)。需要注意的是,如果需要区域间通信,则需要通过安全策略放行通信来实现,下面,我们将通过简单的拓扑使用防火墙做nat和dns……
1.实验拓扑内网通过dhcp接口下放192.168.1.0网段,FW1的g1/0/1接口ip为10.1.1.1/24,AR1的looback口ip为1.1.1.1/32,以此类推,外网做ospf实现通信。
实验目的,通过防火墙做nat地址转换实现内网访问AR2的环回接口2.2.2.2/32(可以上网),同时映射其域名为www.12345.com,使内网访问域名也可以上网。
2.防火墙区域配置
display zone查看区域信息;
#firewall zone trust
add interface GigabitEthernet1/0/0将1/0/0接口加入trust区域
#firewall zone untrust
add interface GigabitEthernet1/0/1
#interface GigabitEthernet1/0/0
ip address 192.168.1.1 255.255.255.0
dhcp select interface
dhcp server dns-list 192.168.1.1
#interface GigabitEthernet1/0/1
ip address 10.1.1.1 255.255.255.0
gateway 10.1.1.10 发布一条去往10.1.1.10的默认路由#Return
3.外网做ospf宣告直连网段和环回接口
4.防火墙_nat
Source- nat:
匹配条件:原地址,目的地址,原区域,目的区域,出接口,协议,时间
Display nat-policy rule all//查看规则的匹配次数reset nat-policy counter all//清除规则的匹配记录①easy-ip
既翻译源IP,又翻译源端口,一对多,将源IP翻译为出接口地址,作用于网络层,传输层;
nat- policy rule name internet //创建一个名字为internet的nat规则
destination-zone untrust//nat规则的目的区域untrust
action source-nat easy-ip
Return .
②Pat
既翻译源IP,又翻译源端口,一对多,将源IP翻译为地址池地址;作用于网络层,传输层:
nat address-group internet//建立名字为internet的地址池
mode pat//模式
route enable//生成黑洞路由
section 66.1.1.1 66.1.1.254//建立地址池地址1-254
nat- policy rule name internet
destination-zone untrust
action source-nat address-group internet
return .注意:因为我们建立了一个路由表里没有的地址池,所以流量经过时产生了路由黑洞。
③no-pat
只翻译源ip,作用于网络层,一对一;
nat address- group internet
mode no-pat global
route enable//生成黑洞路由
section 66.1.1.1 66.1.1.1//地址池地址只有一个
nat-policy rule name internet
destination-zone untrust
action source-nat address-group internet
return
#如果使用Dialer接口获取IP,配置方法如下:
nat- policy rule name internet
egress-interface Dialer 0
egress- interface Dialer 1
action source -nat easy-ip
return
5.防火墙_dns
DNS: 53/UDP .当DNS意识到有别人在进行攻击时,就会改用53/TCP提供服务,TCP可以对源地址做源探测
#dis dns dynamic- -host查看dns动态解析缓存
#reset dns dynamic-host清除缓存解析.
#dis dns server 查看dns server.
#display dns configuration查看dns解析信息.
配置如下:
#dns resolve//启用dns解析.
#dns proxy enable //启用dns代理
#dns relay enable //启用dns中继
代理和中继二选一
#dns server 218. 30. 19. 50//指定dns server master
#dns server 61. 134. 1.5//dns备份
#dns安全策略:
security-policyrule name dns//创建一个名字为dns的安全策略
source-zone trust
destination-zone local
destination-address 192. 168. 1. 1 mask 255. 255.255. 255
service dns
action permit
#dns中继和dns代理区别:dns中继和代理都是依靠防火墙代理解析;dns 中继不会生成本地缓存;dns代理会生成本地缓存。
6.服务器dns配置
7.总结区域间数据流分为 :
入方向 低级别–高级别
出方向 高级别–低级别
当数据流为入方向时,安全规则需要更加限制,以此来保证区域的安全性。
附上防火墙安全策略流程图
