網(wǎng)絡(luò)系統(tǒng)建設(shè)與運(yùn)維在現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)維過(guò)程中，網(wǎng)絡(luò)安全問(wèn)題正在變得日益緊要和關(guān)鍵，在各種各樣的網(wǎng)絡(luò)安全事故中，輕則網(wǎng)絡(luò)癱瘓，重則關(guān)鍵數(shù)據(jù)丟失，對(duì)業(yè)務(wù)的開(kāi)展影響巨大（當(dāng)下企業(yè)的業(yè)務(wù)流正在不斷向互聯(lián)網(wǎng)上轉(zhuǎn)移），然而，絕大多數(shù)人并不了解網(wǎng)絡(luò)安全，也不懂得如何防范，怎么才能保證網(wǎng)絡(luò)的安全呢？防火墻就是這樣的一種設(shè)備，他內(nèi)置了很多安全策略，并且允許用戶自行定制各種安全策略，通常他工作在園區(qū)網(wǎng)絡(luò)的出口處，是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接點(diǎn)，本項(xiàng)目介紹防火墻的入門(mén)知識(shí)和常用配置。深入篇項(xiàng)目12防火墻配置基礎(chǔ)一、學(xué)習(xí)目標(biāo)1、掌握防火墻的工作原理；2、掌握防火墻的配置方法。二、網(wǎng)絡(luò)拓?fù)鋱D深入篇項(xiàng)目12防火墻配置基礎(chǔ)三、環(huán)境與設(shè)備要求1、按下列清單準(zhǔn)備好網(wǎng)絡(luò)設(shè)備，并依圖示搭建網(wǎng)絡(luò)拓?fù)鋱D；深入篇項(xiàng)目12防火墻配置基礎(chǔ)設(shè)備型號(hào)數(shù)量交換機(jī)S37002路由器Router1防火墻USG55001計(jì)算機(jī)PC1服務(wù)器WebServer2瀏覽器Client22、為計(jì)算機(jī)和相關(guān)接口配置IP地址；3、Trust區(qū)域和Untrust區(qū)域之間能夠自由互通；4、Trust區(qū)域能夠訪問(wèn)DMZ區(qū)域的所有Web服務(wù)，不能進(jìn)行其他通信；5、Untrust區(qū)域只能訪問(wèn)DMZ區(qū)域的特定Web服務(wù)，不能進(jìn)行其他通信。深入篇項(xiàng)目12防火墻配置基礎(chǔ)設(shè)備連接端口IP地址備注FW1G0/0/0SW1E0/0/1/24連接Trust區(qū)域FW1G0/0/1SW2E0/0/1/24連接DMZ區(qū)域FW1G0/0/2R1E0/0/0/24連接Untrust區(qū)域R1E0/0/0FW1G0/0/2/24--R1E0/0/1Client1/24--R1Loopback0--/32--四、認(rèn)知與配置過(guò)程1、配置所有設(shè)備的接口IP地址略2、配置R1和FW1上的默認(rèn)路由深入篇項(xiàng)目12防火墻配置基礎(chǔ)[R1]iproute-static[SRG]iproute-static3、配置FW1的接口所屬區(qū)域注：為方便用戶使用，防火墻的G0/0/0口在出廠時(shí)已經(jīng)配置了IP地址，并且被分配至了Trust區(qū)域，用戶可按需自行修改。不同區(qū)域之間是不能通信的，此時(shí)PC1和其他區(qū)域的計(jì)算機(jī)之間不能ping通。深入篇項(xiàng)目12防火墻配置基礎(chǔ)[SRG]firewallzonetrust[SRG-zone-dmz]addinterfaceg0/0/0[SRG-zone-dmz]q[SRG]firewallzonedmz[SRG-zone-dmz]addinterfaceg0/0/1[SRG-zone-dmz]q[SRG]firewallzoneuntrust[SRG-zone-dmz]addinterfaceg0/0/2[SRG-zone-dmz]q4、配置Trust和Untrust區(qū)域之間的自由互通深入篇項(xiàng)目12防火墻配置基礎(chǔ)[SRG]policyinterzonetrustuntrustinbound[SRG-policy-interzone-trust-untrust-inbound]policy0[SRG-policy-interzone-trust-untrust-inbound-0]policysourceany[SRG-policy-interzone-trust-untrust-inbound-0]policydestinationany[SRG-policy-interzone-trust-untrust-inbound-0]actionpermit[SRG-policy-interzone-trust-untrust-inbound]q[SRG]policyinterzonetrustuntrustoutbound[SRG-policy-interzone-trust-untrust-outbound]policy0[SRG-policy-interzone-trust-untrust-outbound-0]policysourceany[SRG-policy-interzone-trust-untrust-outbound-0]policydestinationany[SRG-policy-interzone-trust-untrust-outbound-0]actionpermit接下來(lái)測(cè)試Trust區(qū)域和Untrust、DMZ區(qū)域之間的連通性：可以看到Trust區(qū)域和Untrust區(qū)域之間可以正常通信，但和DMZ區(qū)域之間不能通信。5、配置Trust和DMZ區(qū)域之間的Web訪問(wèn)深入篇項(xiàng)目12防火墻配置基礎(chǔ)PC>pingPC>ping[SRG]policyinterzonetrustdmzoutbound[SRG-policy-interzone-trust-dmz-outbound]policy0[SRG-policy-interzone-trust-dmz-outbound-0]policysourceany[SRG-policy-interzone-trust-dmz-outbound-0]policydestinationany[SRG-policy-interzone-trust-dmz-outbound-0]policyserviceservice-sethttp[SRG-policy-interzone-trust-dmz-outbound-0]actionpermit接下來(lái)測(cè)試在Trust區(qū)域的Web訪問(wèn)：可以看到在Client2上可以正常地瀏覽DMZ區(qū)域的所有Web服務(wù)器。深入篇項(xiàng)目12防火墻配置基礎(chǔ)接下來(lái)測(cè)試P1和DMZ區(qū)域的ping連通性：可以看到PC1仍然不能ping通DMZ區(qū)域的Web服務(wù)器，因?yàn)槲覀兊陌踩呗允莾H僅放行http流量。6、配置Untrust和DMZ區(qū)域之間的特定Web訪問(wèn)深入篇項(xiàng)目12防火墻配置基礎(chǔ)PC>ping[SRG]policyinterzoneuntrustdmzinbound[SRG-policy-interzone-dmz-untrust-inbound]policy0[SRG-policy-interzone-dmz-untrust-inbound-0]policysourceany[SRG-policy-interzone-dmz-untrust-inbound-0]policydestination0[SRG-policy-interzone-dmz-untrust-inbound-0]policyserviceservice-sethttp[SRG-policy-interzone-dmz-untrust-inbound-0]actionpermit接下來(lái)測(cè)試在Untrust區(qū)域的Web訪問(wèn)：可以看到在Client1上可以瀏覽DMZ區(qū)域的Server1服務(wù)器，但不能瀏覽Server2服務(wù)器，因?yàn)槲覀兊陌踩呗允欠判械膆ttp流量。深入篇項(xiàng)目12防火墻配置基礎(chǔ)五、測(cè)試并驗(yàn)證結(jié)果1、Trust區(qū)域和Untrust區(qū)域之間的訪問(wèn)控制與預(yù)期結(jié)果相符。2、Trust區(qū)域和DMZ區(qū)域之間的訪問(wèn)控制與預(yù)期結(jié)果相符。3、Untrust區(qū)域和DMZ區(qū)域之間的訪問(wèn)控制與預(yù)期結(jié)果相符。深入篇項(xiàng)目12防火墻配置基礎(chǔ)六、項(xiàng)目小結(jié)與知識(shí)拓展1、防火墻上默認(rèn)有四個(gè)區(qū)域，分別是local、trust、untrust、dmz（DemilitarizedZone，隔離區(qū)），默認(rèn)的區(qū)域優(yōu)先級(jí)分別為100、85、5、50，本實(shí)訓(xùn)用到了trust、untrust、dmz三個(gè)區(qū)域。默認(rèn)情況下不同區(qū)域間是不可互通的，需要配置區(qū)域間的安全策略放行允許通過(guò)的流量。2、任何兩個(gè)安全區(qū)域都構(gòu)成一個(gè)安全域間（Interzone），并具有單獨(dú)的安全域間視圖，大部分的防火墻配置都在安全域間視圖下配置。配置了防火墻的功能后，設(shè)備對(duì)這兩個(gè)安全區(qū)域之間發(fā)生流動(dòng)的數(shù)據(jù)進(jìn)行檢查。安全域間的數(shù)據(jù)流動(dòng)具有方向性，包括入方向（inbound）和出方向（outbound）。入方向：數(shù)據(jù)由低優(yōu)先級(jí)的安全區(qū)域向高優(yōu)先級(jí)的安全區(qū)域傳輸。出方向：數(shù)據(jù)由高優(yōu)先級(jí)的安全區(qū)域向低優(yōu)先級(jí)的安全區(qū)域傳輸。深入篇項(xiàng)目12防火墻配置基礎(chǔ)3、防火墻也可充當(dāng)出口路由設(shè)備使用，執(zhí)行NAT等出口路由相關(guān)的操作，下面的配置完成了從trust到untrust區(qū)域的NAT配置：深入篇項(xiàng)目12防火墻配置基礎(chǔ)[SRG]nataddress-group09