一起养成写作习惯!这是我参与「掘金日新计划 · 4 月更文挑战」的第23天,点击查看活动详情。
配置基于区域的策略防火墙 (ZPF)
目录:
实验目的: 为了使资源隔离,让内部网络可以访问到外网,而外网无法访问到内网内容,为路由器配置区域策略防火墙
拓扑图
ip地址分配如下
| 设备 | 接口 | IP 地址 | 子网掩码 | 默认网关 | 交换机端口 |
|---|---|---|---|---|---|
| R1 | G0/1 | 192.168.1.1 | 255.255.255.0 | 不适用 | S1 F0/5 |
| S0/0/0 (DCE) | 10.1.1.1 | 255.255.255.252 | 不适用 | 不适用 | |
| R2 | S0/0/0 | 10.1.1.2 | 255.255.255.252 | 不适用 | 不适用 |
| S0/0/1 (DCE) | 10.2.2.2 | 255.255.255.252 | 不适用 | 不适用 | |
| R3 | G0/1 | 192.168.3.1 | 255.255.255.0 | 不适用 | S3 F0/5 |
| S0/0/1 | 10.2.2.1 | 255.255.255.252 | 不适用 | 不适用 | |
| PC-A | NIC | 192.168.1.3 | 255.255.255.0 | 192.168.1.1 | S1 F0/6 |
| PC-C | NIC | 192.168.3.3 | 255.255.255.0 | 192.168.3.1 | S3 F0/18 |
目标
-
在配置防火墙之前验证设备间的连接。
-
在 R3 上配置基于区域的策略(zone-based policy,ZPF)防火墙。使得外部网络无法访问
R3右端192.168.3.0网段,192.168.3.0可以访问外网 -
使用 ping、SSH 和 Web 浏览器验证 ZPF 防火墙功能。
第1部分:验证基本网络连接
根据拓扑图配置好设备和ip地址。路由器间使用路由协议使得PC-C可以连接到PC-A。这里使用的是rip协议。
R1为例子:
en
conf t
router rip
version 2
// 广播网段
network 10.0.0.0
network 192.168.1.0
**检测连接:**从PC-ApingPC-C
**检测连接:**在
PC-C上打开PC-A的web服务
第2部分:在R3上创建防火墙区域
第1步:启用安全技术包
在R3上,进入特权模式,输入show version命令查看技术包许可证信息。如果未安装安全技术包,使用以下命令安装:
R3(config)# license boot module c1900 technology-package securityk9
安装完成后需要保存配置write、重启路由器reload
第2步:R3上创建内部区域和外部区域
R3(config)#zone security IN-ZONE
R3(config-sec-zone)#exit
R3(config)#zone security OUT-ZONE
R3(config-sec-zone)#exit
第3部分:使用类映射识别流量
第1步:创建定义内部流量的ACL
R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 any
第2步:创建引用内部流量 ACL 的类映射
// 新建一个映射类
R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP
// 绑定 ACL
R3(config-cmap)# match access-group 101
R3(config-cmap)# exit
第4部分:指定防火墙策略
第1步:创建策略映射以确定如何处理匹配的流量。
使用policy-map type inspect 命令并创建名为 IN-2-OUT-PMAP 的策略映射。
R3(config)# policy-map type inspect IN-2-OUT-PMAP
第2步:指定检查的类类型和引用类映射 IN-NET-CLASS-MAP。
IN-NET-CLASS-MAP是上面第3部分第2步创建的类
R3(config-pmap)# class type inspect IN-NET-CLASS-MAP
第3步:指定此策略映射的检查操作。
使用 inspect 命令调用基于情景的访问控制(其他选项包括 “通过” 和 “丢弃”)。
R3(config-pmap-c)#inspect
接着退出到全局配置模式,准备下一步配置
R3(config-pmap-c)#exit
R3(config-pmap)#exit
第5部分:应用防火墙策略
第1步:创建区域对
使用 zone-pair security 命令,创建名为 IN-2-OUT-ZPAIR 的区域对。指定在第2部分第2步中创建的源和目的区域。
R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE
第2步:指定用于处理两个区域之间的流量的策略映射。
使用 service-policy type inspect 命令将策略映射及其关联的操作附加到区域对,并引用之前创建的策略映射 IN-2-OUT-PMAP。
R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP
R3(config-sec-zone-pair)#exit
第3步:将接口分配到适当的安全区域。
在接口配置模式下使用 zone-member security 命令,将 G0/1 分配至 IN-ZONE 并将 S0/0/1 分配至 OUT-ZONE。
R3(config)#int g0/1
R3(config-if)#zone-member security IN-ZONE
R3(config-if)#exit
R3(config)#int s0/0/1
R3(config-if)#zone-member security OUT-ZONE
R3(config-if)#exit
第6部分:测试IN-ZONE 至 OUT-ZONE 的防火墙功能
第1步:从内部到外部,对外部PC-A服务器执行ping和web服务访问
能ping通,也能访问到web服务
第2步:从外部到内部,在PC-A ping PC-C
ping不通,说明防火墙有效果
