防火墻安全區域與策略實戰指南:讓你的網絡安全防護如虎添翼!
防火墻是一種網絡安全設備,它的主要作用是保護內部網絡不受外部網絡的侵犯。為了實現這一目標,防火墻將內部網絡劃分為不同的安全區域,并根據不同區域的安全需求制定相應的安全策略。這些安全區域和策略對于確保內部網絡的安全性至關重要,因為它們可以有效地防止未經授權的訪問、數據泄露和其他安全威脅。
今天接著上一節的實驗拓撲圖,繼續完成今天的任務:防火墻安全區域與安全策略,實驗拓撲如下圖:
實驗拓撲
實驗需求:
- 按照實驗拓撲,把對應的接口加入對應的安全區域中。
- 實現pc1能夠ping或通過HTTP訪問DMZ區服務器
- 驗證防火墻ASPF,DMZ服務器作為FTP服務器,PC1訪問FTP服務器,驗證ASPF功能
配置思路:
- 把各個接口配置IP地址,并加入到安全區域中。
- 規劃安全策略。
實驗步驟
(1) 把GE1/0/1和GE10/2接口配置IP地址,并分別加入到Trust和DMZ安全區域中,關鍵代碼如下:
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.1.12.254 255.255.255.0
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 10.0.0.254 255.255.255.0
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/2(2) 放通trust區域到DMZ區域的安全策略。
security-policy
rule name trust->dmz
source-zone trust
destination-zone dmz
source-address 10.1.12.0 mask 255.255.255.0
destination-address 10.0.0.10 mask 255.255.255.255
service SERVICE
action permit
ip service-set SERVICE type object 16
service 0 protocol icmp
service 1 protocol tcp destination-port 80上述配置中服務采用了對象組的方式進行配置。
完成上述的配置后,trust區域到DMZ區域的10.0.0.10就可以ping通和訪問web了。如下圖:
同時也可以才防火墻的會話表項,查到記錄。
通常我們在實驗時,會把防火墻發起的流量都放通的
security-policy
rule name local->any
source-zone local
action permit(3) 驗證ASPF功能,默認情況下,防火墻是使能了ASPF的功能。我們先把它undo掉
[FW1]undo firewall detect ftp(4) 在DMZ區域的服務器開啟http服務和ftp服務,如下圖:
啟動服務
(5) 在trust區域上測試web和ftp服務。
web服務測試
FTP服務測試
通過上圖看到web服務能正常訪問。而ftp訪問就不正常了。FTP不正常原因有兩個:
- 我們全局取消了ASPF的功能
- 安全策略沒有服務組沒有放通FTP服務
我們先在服務組添加FTP服務,如下:
ip service-set SERVICE type object 16
service 0 protocol icmp
service 1 protocol tcp destination-port 80
service 2 protocol tcp destination-port 21再測試FTP服務,如下圖,還是有問題
FTP服務測試
發現第二信道也被安全策略干掉了,如下圖:
策略截圖
(6) 我們在防火墻上的interzone作如下配置
firewall interzone trust dmz
detect ftp在測試FTP服務,如下圖,這次就能成功登錄上來了。
測試FTP服務
通過在防火墻上執行dis firewall server-map命令查看:
[FW1]display firewall server-map
2024-01-12 02:59:52.790
Current Total Server-map : 1
Type: ASPF, 10.1.12.20 -> 10.0.0.10:2052, Zone:---
Protocol: tcp(Appro: ftp-data), Left-Time:00:00:13
Vpn: public -> public還會生成會話表項,如下:
[FW1]display firewall session table
2024-01-12 03:01:03.380
Current Total Sessions : 7
ftp VPN: public --> public 10.1.12.20:2053 --> 10.0.0.10:21在網絡安全領域,ASPF 通常指的是 "Application Layer Stateful Packet Filtering",中文翻譯為 "應用層狀態包過濾"。ASPF 是防火墻中的一種技術,它在網絡通信的應用層(第七層)進行狀態維護和過濾,以增強網絡安全性。
ASPF 不僅關注傳統的數據包的源、目的 IP 地址和端口信息,還深入到應用層協議的內容,能夠檢測并過濾特定應用層協議的數據。這使得 ASFP 能夠更精確地識別和控制網絡流量,防止一些應用層攻擊,提高防火墻的安全性。
總體而言,ASPF 技術通過維護應用層協議的狀態信息,有效地監控和管理應用層通信,提供更加全面和智能的防火墻保護。
