华为路由器firewall

概述

• 防火墙（Firewall）是一种隔离技术，使内网和外网分开，可以防止外部网络用户以非法手段通过外部网络进入内部网络，保护内网免受外部非法用户的侵入。
• 华为路由器提供防火墙功能，将设备的物理接口划分到不同的安全区域，每个区域可以设置优先级，不同优先级拥有不同安全特性，可以控制跨域规则实现流量控制;

安全区域:

• trust:受信任区，内网主机与设备存在于该区域，优先级较高;
• dmz:非军事化管理区(隔离区)，存在被攻击可能性的主机与设备存在于该区域，优先级介于trust与untrust之间;
• untrust:非信任区，外网主机与设备存在于该区域，优先级较低;
• local:当前设备，优先级默认最高;

入栈与出栈:

• 入栈:低优先级访问高优先级;
• 出栈:高优先级访问低优先级;

命令

查看区域信息

1. dis firewall zone

查看区域间信息

1. dis firewall interzone

创建防火墙区域

1. firewall zone 区域名称

设置区域优先级

• 值越大优先级越高，取值范围[0,14]

1. priority 值

将物理接口添加到安全区域

1. int g编号
2. zone 区域名称

启用各区域之间防火墙

1. firewall interzone 区域名称1 区域名称2
2. firewall enable

创建ACL规则，实现流量控制

1. packet-filter acl编号 inbound|outbound

配置ASPF，实现双向放行

1. detect aspf 协议名称

案例

1. AR1:
2. sys
3. int g0/0/0
4. ip add 192.168.20.254 24
5. int g0/0/1
6. ip add 192.168.10.254 24
7. int g0/0/2
8. ip add 22.33.44.55 24
9. q
10. firewall zone trust
11. priority 14
12. q
13. firewall zone dmz
14. priority 7
15. q
16. firewall zone untrust
17. priority 1
18. q
19. int g0/0/0
20. zone dmz
21. int g0/0/1
22. zone trust
23. int g0/0/2
24. zone untrust
25. q
26. firewall interzone trust dmz
27. firewall enable
28. q
29. firewall interzone trust untrust
30. firewall enable
31. q
32. firewall interzone untrust dmz
33. firewall enable
34. q
35. #实现Server1能访问trust区域
36. acl 2000
37. rule permit source 192.168.20.1 0
38. q
39. firewall interzone trust dmz
40. packet-filter 2000 inbound
41. q
42. #实现22.33.44.0网段主机能访问HTTP服务器
43. acl 3001
44. rule permit tcp source 22.33.44.0 0.0.0.255 destination 192.168.20.1 0.0.0.0 destination-port eq 80
45. q
46. firewall interzone dmz untrust
47. packet-filter 3001 inbound
48. q
49. #实现22.33.44.0网段主机能访问FTP服务器
50. acl 3001
51. rule permit tcp source 22.33.44.0 0.0.0.255 destination 192.168.20.2 0.0.0.0 destination-port eq 21
52. q
53. firewall interzone dmz untrust
54. packet-filter 3001 inbound
55. detect aspf ftp