模塊3安全區(qū)域與安全策略防火墻技術(shù)與應(yīng)用微課版01模塊概述03知識準(zhǔn)備04項目實施02教學(xué)目標(biāo)C教學(xué)過程壹模塊概述模塊概述華為防火墻是一種基于區(qū)域的防火墻，在防火墻中引入“安全區(qū)域”的概念是為了對網(wǎng)絡(luò)流量進(jìn)行安全等級劃分，以確定何時需要對流量進(jìn)行檢測。安全策略是指按一定的規(guī)則，控制防火墻對流量轉(zhuǎn)發(fā)以及對流量進(jìn)行內(nèi)容安全一體化檢測的策略。規(guī)則的本質(zhì)是包過濾。安全策略的主要應(yīng)用是對跨防火墻的網(wǎng)絡(luò)互訪進(jìn)行控制。通過防火墻安全策略可以控制內(nèi)網(wǎng)訪問外網(wǎng)的權(quán)限、控制內(nèi)網(wǎng)不同安全級別的子網(wǎng)間的訪問權(quán)限等；同時，能夠?qū)υO(shè)備本身的訪問進(jìn)行控制，如限制哪些IP地址可以通過Telnet和Web等方式登錄設(shè)備，控制網(wǎng)管服務(wù)器、網(wǎng)絡(luò)時間協(xié)議（NetworkTimeProtocol，NTP）服務(wù)器等與設(shè)備的互訪等。貳教學(xué)目標(biāo)教學(xué)目標(biāo)知識目標(biāo)技能目標(biāo)素養(yǎng)目標(biāo)1．了解安全區(qū)域的概念。2．熟悉防火墻默認(rèn)的安全區(qū)域。3．了解安全策略的作用。4．掌握防火墻的安全策略的匹配規(guī)則。1．培養(yǎng)邊界防護思維，劃分安全區(qū)域時主動識別不同網(wǎng)絡(luò)的信任級別。2．強化策略影響預(yù)判能力，部署ASPF前先系統(tǒng)剖析業(yè)務(wù)流量特征。3．樹立縱深防御理念，實現(xiàn)安全區(qū)域與策略的聯(lián)動配置。1．能夠合理地規(guī)劃安全區(qū)域。2．能夠熟練地配置安全區(qū)域。3．能夠使用CLI及Web界面配置安全策略。4．能夠根據(jù)實際情況配置ASPF功能。叁知識準(zhǔn)備知識準(zhǔn)備3.2.1安全區(qū)域

3.2.2安全策略3.2.3ASPF3.3.1安全區(qū)域1.安全區(qū)域的作用安全區(qū)域用來劃分網(wǎng)絡(luò)。華為防火墻默認(rèn)在同一安全區(qū)域內(nèi)的數(shù)據(jù)流動不存在安全風(fēng)險，不需要部署安全策略，只有不同安全區(qū)域之間的數(shù)據(jù)流動，才會觸發(fā)安全檢查，實施相應(yīng)的安全策略。但是華為防火墻也支持同一個安全域內(nèi)報文控制。右圖中，把防火墻的4個接口劃分到3個安全區(qū)域中，對應(yīng)三個網(wǎng)絡(luò)。這三個網(wǎng)絡(luò)相互之間默認(rèn)不允許互相訪問。安全區(qū)域A安全區(qū)域B安全區(qū)域C12343.3.1安全區(qū)域

華為防火墻默認(rèn)定義了四個安全區(qū)域：Trust區(qū)域01DMZ區(qū)域03Untrust區(qū)域02Local區(qū)域04四個安全區(qū)域2、默認(rèn)的安全區(qū)域受信任的區(qū)域，通常用來定義內(nèi)部用戶所在的網(wǎng)絡(luò)。不受信任的區(qū)域，通常用來定義Internet等不安全的網(wǎng)絡(luò)。中等受信任程序的區(qū)域，通常用來定義內(nèi)部服務(wù)器所在的網(wǎng)絡(luò)。代表防火墻本身。比如防火墻主動發(fā)起的報文以及抵達(dá)防火墻自身的報文，比如在防火墻上執(zhí)行ping所產(chǎn)生的報文。3.3.1安全區(qū)域2、默認(rèn)的安全區(qū)域在網(wǎng)絡(luò)數(shù)量較少，環(huán)境簡單的場合，默認(rèn)的安全域可以滿足網(wǎng)絡(luò)劃分需求。如右圖中，接口1、2連接內(nèi)部用戶，可以劃分到Trust安全區(qū)域。接口3連接內(nèi)部服務(wù)器，劃分到DMZ區(qū)域。接口4連接到Internet，劃分到Untrust區(qū)域。TrustDMZUntrust12343.3.1安全區(qū)域用來表示安全區(qū)域的受信任程度，用數(shù)字1—100表示，數(shù)字越大，區(qū)域內(nèi)的網(wǎng)絡(luò)越可信。默認(rèn)安全區(qū)域的安全級別是固定的。Local：安全級別為100，表示完全可信。Trust：安全級別為85，可信任度較高。DMZ：安全級別為50，中等可信。Untrust：安全級別為5，可信任度較低。3.安全級別3.3.1安全區(qū)域（1）天線數(shù)4.區(qū)域間報文方向入方向（Inbound）：報文從低級別的安全區(qū)域向高級別的安全區(qū)域流動時為入方向。出方向（Outbound）：報文從由高級別的安全區(qū)域向低級別的安全區(qū)域流動時為出方向。源安全區(qū)域ToLocal（100）ToTrust（85）ToDMZ（50）ToUntrust（5）Local（100）—出方向出方向出方向Trust（85）入方向—出方向出方向DMZ（50）入方向入方向—出方向Untrust（5）入方向入方向入方向—3.3.2安全策略一、安全策略的原理當(dāng)入數(shù)據(jù)流經(jīng)過防火墻時，防火墻查找安全策略，若找到，則根據(jù)安全策略定義規(guī)則對數(shù)據(jù)包進(jìn)行處理，若未找到，則采用默認(rèn)的策略操作。防火墻安全策略作用：根據(jù)定義的規(guī)則對經(jīng)過防火墻的流量進(jìn)行篩選，并根據(jù)關(guān)鍵字確定篩選出的流量如何進(jìn)行下一步操作。入數(shù)據(jù)流出數(shù)據(jù)流BBAABBBAAAA

AAAAAAPolicy0：允許A后續(xù)操作Policy1：拒絕B后續(xù)操作防火墻安全策略默認(rèn)策略操作3.3.2安全策略會話表項源IP地址源端口目的IP地址目的端口協(xié)議用戶應(yīng)用2000023TCPabcTelnet源IP地址源端口目的IP地址目的端口協(xié)議用戶應(yīng)用2320000TCPabcTelnetServerClientSession:TCP:20000

:23ClientServer創(chuàng)建會話表命中會話表該報文通過Server:23Host:200003.3.2安全策略二、安全策略的創(chuàng)建3.3.2安全策略三、安全策略的匹配規(guī)則3.3.2安全策略四、安全策略的過濾機制3.3.3ASPFASPF是基于狀態(tài)檢測的報文過濾，可以自動檢測某些報文的應(yīng)用層信息并根據(jù)應(yīng)用層信息放開相應(yīng)的訪問規(guī)則（生成Server-map表）。以多通道協(xié)議（如FTP、H.323、SIP等）為例，這些多通道協(xié)議的應(yīng)用需要先在控制通道中協(xié)商后續(xù)數(shù)據(jù)通道的地址和端口，然后根據(jù)協(xié)商結(jié)果建立數(shù)據(jù)通道連接。由于數(shù)據(jù)通道的地址和端口是動態(tài)協(xié)商的，管理員無法預(yù)知，因此無法制定完善精確的安全策略。為了保證數(shù)據(jù)通道的順利建立，只能放開所有端口，這樣顯然會給服務(wù)器或客戶端帶來被攻擊的風(fēng)險。開啟ASPF功能后，防火墻通過檢測協(xié)商報文的應(yīng)用層攜帶的地址和端口信息，自動生成相應(yīng)的Server-map表，用于放行后續(xù)建立數(shù)據(jù)通道的報文，相當(dāng)于自動創(chuàng)建了一條精細(xì)的“安全策略”。肆項目實施3.3.1配置安全區(qū)域?qū)嵱?xùn)：配置安全區(qū)域在防火墻網(wǎng)絡(luò)中，將不同的接口劃分到不同的安全區(qū)域，就對網(wǎng)絡(luò)流量進(jìn)行了安全等級的劃分，從而確定對哪些網(wǎng)絡(luò)流量進(jìn)行檢測與控制。任務(wù)描述3.3.1配置安全區(qū)域任務(wù)實施1．拓?fù)鋱D2．需求說明為保障網(wǎng)絡(luò)安全，將防火墻網(wǎng)絡(luò)劃分為四個安全區(qū)域。其中三個區(qū)域為默認(rèn)安全區(qū)域，第四個區(qū)域為標(biāo)定其他流量，自定義other安全區(qū)域。TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3G1/0/5PC11PC22PC33PC44PC55FW1other3.3.1配置安全區(qū)域3．配置說明任務(wù)實施設(shè)置防火墻各接口及PC的IP地址創(chuàng)建安全區(qū)域other，設(shè)置安全級別為60將各接口加入到安全域測試各區(qū)域間網(wǎng)絡(luò)的連通性3.3.1配置安全區(qū)域操作步驟

設(shè)置IP地址

創(chuàng)建安全區(qū)域接口加入到安全區(qū)域[FW1]interfaceGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress24//為方便測試，開啟ping服務(wù)[FW1-GigabitEthernet1/0/1]service-managepingpermit[FW1-GigabitEthernet1/0/1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress24[FW1-GigabitEthernet1/0/2]interfaceGigabitEthernet1/0/3[FW1-GigabitEthernet1/0/3]ipaddress24[FW1-GigabitEthernet1/0/3]interfaceGigabitEthernet1/0/4[FW1-GigabitEthernet1/0/4]ipaddress24[FW1-GigabitEthernet1/0/4]interfaceGigabitEthernet1/0/5[FW1-GigabitEthernet1/0/5]ipaddress24[FW1-GigabitEthernet1/0/5]quit設(shè)置FW1各接口IP地址：TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3otherG1/0/5PC11PC22PC33PC44PC55FW13.3.1配置安全區(qū)域操作步驟

設(shè)置IP地址

創(chuàng)建安全區(qū)域接口加入到安全區(qū)域在FW1上創(chuàng)建安全區(qū)域：[FW1]firewallzonenameother//設(shè)置安全級別[FW1-zone-other]setpriority60[FW1-zone-other]quit[FW1]displayzone//顯示所有安全區(qū)域

TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3otherG1/0/5PC11PC22PC33PC44PC55FW13.3.1配置安全區(qū)域操作步驟

設(shè)置IP地址

創(chuàng)建安全區(qū)域接口加入到安全區(qū)域TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3otherG1/0/5PC11PC22PC33PC44PC55FW1[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceg1/0/1[FW1-zone-trust]addinterfaceg1/0/2[FW1-zone-trust]firewallzoneuntrust[FW1-zone-untrust]addinterfaceg1/0/3[FW1-zone-untrust]firewallzonedmz[FW1-zone-dmz]addinterfaceg1/0/4[FW1-zone-dmz]firewallzoneother[FW1-zone-other]addinterfaceg1/0/5[FW1-zone-other]quit在FW1上將接口加入到安全區(qū)域3.3.1配置安全區(qū)域（四）操作步驟連通性測試測試同一安全區(qū)域下的PC1和PC2是否可以互通其余不同安全區(qū)域的PC是否可以互通TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3otherG1/0/5PC11PC22PC33PC44PC55FW13.3.1配置安全區(qū)域Local安全區(qū)域不可以修改，也不能手動加入接口。各安全區(qū)域之間不通，是因為其間的默認(rèn)安全策略禁止所有報文通過。華為防火墻各接口必須加入某個安全域，才能正常工作。注意事項3.3.2配置簡單的安全策略實訓(xùn)：配置簡單的安全策略某公司有一臺托管于運營商的服務(wù)器，內(nèi)網(wǎng)用戶均可訪問，但有一臺計算機由于特殊原因，不允許訪問這臺專用服務(wù)器。通過配置安全策略，實現(xiàn)上述要求。任務(wù)描述3.3.2配置簡單安全策略(三)任務(wù)實施1．拓?fù)鋱D2．需求說明要求除PC1以外的/24網(wǎng)段可以訪問服務(wù)器。1/24服務(wù)器G1/0/1/24TrustFW1PC1PC2/24G1/0/6Untrust0/242/243．配置說明(三)任務(wù)實施配置各計算機、服務(wù)器的IP地址；配置防火墻各接口的IP地址、安全域、服務(wù)；配置安全策略，滿足訪問需求。3.3.2配置簡單安全策略（四）關(guān)鍵操作步驟

配置安全策略

測試結(jié)果[FW1]security-policy

//進(jìn)入安全策略視圖[[FW1-policy-security]rulenamePC1toS//創(chuàng)建名為PC1toS的安全規(guī)則[FW1-policy-security-rule-PC1toS]sourcre-zonetrust//源安全區(qū)域為trust[FW1-policy-security-rule-PC1toS]destination-zoneuntrust//目的安全區(qū)域為untrust[FW1-policy-security-rule-PC1toS]source-address132//源地址為主機地址1[FW1-policy-security-rule-PC1toS]destination-address032//目的地址為主機地址0[FW1-policy-security-rule-PC1toS]actiondeny//設(shè)置匹配動作為禁止[FW1-policy-security-rule-PC1toS]displaythis//顯示當(dāng)前項目的配置情況配置PC1的安全策略：[FW1]security-policy

[[FW1-policy-security]rulenameOtoS[FW1-policy-security-rule-OtoS]sourcre-zonetrust[FW1-policy-security-rule-OtoS]destination-zoneuntrust[FW1-policy-security-rule-OtoS]source-address24//源地址為/24網(wǎng)段[FW1-policy-security-rule-OtoS]destination-address032[FW1-policy-security-rule-OtoS]actionpermit//設(shè)置匹配動作為允許[FW1-policy-security-rule-OtoS]displaythis配置網(wǎng)段的安全策略：3.3.2配置簡單安全策略（四）關(guān)鍵操作步驟

配置安全策略

測試結(jié)果顯示安全策略：PC1ping服務(wù)器：PC2ping服務(wù)器：3.3.2配置簡單安全策略注意事項配置安全策略時，如果源安全區(qū)域、目的安全區(qū)域、源地址、目的地址、用戶、服務(wù)等項目未配置，則默認(rèn)該項的值為any。若安全策略動作action未配置，則默認(rèn)動作為“禁止”。3.3.2配置簡單安全策略3.3.3使用WEB界面配置安全策略實訓(xùn)：使用WEB界面配置安全策略某公司有一臺托管于運營商的服務(wù)器，內(nèi)網(wǎng)用戶均可訪問，但由于安全方面的特殊原因，財務(wù)部的計算機僅允許通過WEB服務(wù)訪問這臺專用服務(wù)器。通過配置安全策略，實現(xiàn)上述要求。任務(wù)描述3.3.3使用WEB界面配置安全策略1/24服務(wù)器G1/0/1/24TrustFW1PC1PC2/24G1/0/6Untrust0/242/240/24本地計算機(三)任務(wù)實施1．拓?fù)鋱D2．需求說明財務(wù)部的計算機（1到0）允許訪問服務(wù)器的WEB服務(wù)(http服務(wù)和https服務(wù))；財務(wù)部的計算機不允許訪問服務(wù)器的其他服務(wù)；/24網(wǎng)段允許訪問服務(wù)器。3.3.3使用WEB界面配置安全策略3．配置說明(三)任務(wù)實施配置設(shè)備云使本地計算機連接到防火墻的WEB界面；配置防火墻各接口的IP地址、安全區(qū)域、訪問管理服務(wù)；配置安全策略，滿足訪問需求；測試配置結(jié)果是否滿足需求。3.3.3使用WEB界面配置安全策略（四）關(guān)鍵操作步驟

設(shè)置IP地址和服務(wù)

創(chuàng)建對象

設(shè)置安全策略配置G1/0/6接口配置G1/0/1接口3.3.3使用WEB界面配置安全策略（四）關(guān)鍵操作步驟

設(shè)置IP地址和服務(wù)

創(chuàng)建對象

設(shè)置安全策略創(chuàng)建“WEB”服務(wù)組對象創(chuàng)建“財務(wù)部”、“服務(wù)器”、“172.16.10網(wǎng)段”地址對象3.3.3使用WEB界面配置安全策略（四）關(guān)鍵操作步驟

設(shè)置IP地址和服務(wù)

創(chuàng)建對象

設(shè)置安全策略允許財務(wù)部訪問服務(wù)器的WEB服務(wù)不允許財務(wù)部訪問服務(wù)器的其他服務(wù)允許/24網(wǎng)段訪問服務(wù)器3.3.3使用WEB界面配置安全策略設(shè)置安全策略結(jié)果如下：（四）關(guān)鍵操作步驟

設(shè)置IP地址和服務(wù)

創(chuàng)建對象

設(shè)置安全策略3.3.3使用WEB界面配置安全策略PC1ping服務(wù)器：PC1訪問服務(wù)器的http服務(wù)：（四）關(guān)鍵操作步驟測試結(jié)果3.3.3使用WEB界面配置安全策略PC2ping服務(wù)器：PC2訪問服務(wù)器的http服務(wù)：（四）關(guān)鍵操作步驟測試結(jié)果3.3.3使用WEB界面配置安全策略注意事項WEB界面配置安全策略時，最好先配置好所需要的地址、服務(wù)、時間等對象。地址對象不僅支持IPv4地址，還支持IPv6地址，MAC地址，可以實際設(shè)置中靈活使用。3.3.4配置Local區(qū)域的安全策略實訓(xùn)：配置Local區(qū)域安全策略在網(wǎng)絡(luò)中，有一些業(yè)務(wù)是需要防火墻自身參與的，這些業(yè)務(wù)想要正常運行，就需要在防火墻的Local安全區(qū)域與業(yè)務(wù)安全區(qū)域之間配置安全策略，如禁止或允許防火墻主動ping其他設(shè)備，禁止或允許某些用戶登錄防火墻等。任務(wù)描述3.3.4配置Local區(qū)域的安全策略(三)任務(wù)實施1．拓?fù)鋱D2．需求說明使防火墻可以主動ping其它設(shè)備；允許路由器R1ping防火墻，但不能通過telnet登錄到防火墻；路由器R2能夠通過telnet登錄到防火墻，但不允許ping防火墻。G1/0/1/24TrustFW1G0/0/02/24G0/0/01/24R1R23.3.4配置Local區(qū)域的安全策略3．配置說明(三)任務(wù)實施設(shè)置Local到trust的安全策略實現(xiàn)第一個需求設(shè)置trust到Local的安全策略實現(xiàn)第二個需求3.3.4配置Local區(qū)域的安全策略（四）關(guān)鍵操作步驟Local到trust的安全策略Trust到Local的安全策略防火墻默認(rèn)無法ping通R1、R2：[FW1]security-policy

[[FW1-policy-security]rulenameLocaltoTrust[FW1-policy-security-rule-LocaltoTrust]source-zonelocal[FW1-policy-security-rule-LocaltoTrust]destination-zonetrust[FW1-policy-security-rule-LocaltoTrust]serviceicmp[FW1-policy-security-rule-LocaltoTrust]actionpermit//配置默認(rèn)動作為允許[FW1-policy-security-rule-LocaltoTrust]displaythis配置Local到trust的安全策略：設(shè)置策略后可通。3.3.4配置Local區(qū)域的安全策略（四）關(guān)鍵操作步驟Local到trust的安全策略Trust到Local的安全策略關(guān)閉接口下的訪問管理功能：[FW1]interfaceg1/0/1[FW1-GigabitEthernet1/0/1]undoservice-manageenable

[FW1]security-policy

[FW1-policy-security]rulenameR1toFW[FW1-policy-security-rule-R1toFW]source-zonetrust[FW1-policy-security-rule-R1toFW]destination-zonelocal[FW1-policy-security-rule-R1toFW]source-address132[FW1-policy-security-rule-R1toFW]serviceicmp[FW1-policy-security-rule-R1toFW]actionpermit[FW1-policy-security-rule-R1toFW]quit[[FW1-policy-security]rulenameR2toFW[FW1-policy-security-rule-R2toFW]source-zonetrust[FW1-policy-security-rule-R2toFW]destination-zonelocal[FW1-policy-security-rule-R2toFW]source-address232[FW1-policy-security-rule-R2toFW]servicetelnet[FW1-policy-security-rule-R2toFW]actionpermit[FW1-policy-security-rule-R2toFW]quit設(shè)置trust到Local的安全策略，使得R1可以ping防火墻，R2可以telnet防火墻：3.3.4配置Local區(qū)域的安全策略（四）關(guān)鍵操作步驟Local到trust的安全策略Trust到Local的安全策略R1可ping防火墻，但不能telnet登錄R2

ping不允許ping防火墻