专业知识

1、安全域的知识

安全域(Security Zone),用于管理防火墙设备上安全需求相同的多个接口。
管理员将安全需求相同的接口进行分类,并划分到不同的安全域,能够实现安全策略的统一管理。
把防火墙的各个接口划入到不同的安全域中,然后对安全域之间进行安全策略的控制

2、防火墙出厂缺省的安全域

H3C防火墙出厂存在缺省安全域:Local、Trust、DMZ、Management 和 Untrust。缺省安全域不能被删除,且安全域中没有接口。

  1. [H3C]security-zone name ? 
  2. STRING<1-312>    Security zone name 
  3. Local
  4. Trust
  5. DMZ
  6. Untrust
  7. Management

3、缺省安全域说明及安全等级

  • UNTrust(不可信任)安全等级是5,一般都是连外网区域(internet)的接口。
  • DMZ(Demilitarized Zone,非军事区)安全等级是50,一般为连服务器区域的接口。
  • Trust (信任)安全等级是85,一般都是连内部网络的接口。
  • Local(本地〉安全等级是100,指防火墙本身的各接口,用户不能改变Local区域本身的任何配置,包括向其中添加接口。

  • Management(管理)的安全等级是100,指通过telnet、http、https等方式用于管理防火墙设备的连接接口。

    4、安全域配置主要步骤

    (1)创建安全域,并向安全域中添加成员。
    (2)创建安全域间实例。
    安全域间实例,用于定义两个安全域之间相互访问时,所进行的安全策略检查(如包过滤策略、ASPF策略、对象策略等)。
    注明:

  • 包过滤策略,即ACL

  • 对象策略,即object-policy
  • ASPF策略,即Advanced Stateful Packet Filter,高级状态包过滤

必须在安全域间实例上配置安全策略,而且只有匹配放行策略的报文,才允许通过,否则系统默认丢弃这些接口之间发送的报文。

5.安全域接口之间报文转发规则

创建安全域后,设备上各接口的报文转发遵循以下规则:u令一个安全域中的接口与一个不属于任何安全域的接口之间的报文,会被丢弃。
属于同一个安全域的各接口之间的报文缺省会被丢弃。
安全域之间的报文由安全控制策略进行安全检查,并根据检查结果放行或丢弃。若
安全控制策略不存在或不生效,则报文会被丢弃。
非安全域的接口之间的报文被丢弃。

实验拓扑

image.png

实验解法

1、按拓扑结构连接防火墙G1/0/1接口,启动F1060防火墙。
2、配置G1/0/1接口为management 安全域接口。创建访问控制列表2000作为安全策略检查,
配置从management安全域到local安全域之间的安全域间实例,执行访问控制列表2000的安全策略检查。

  1. // 在安全域management中添加接口G1/0/1
  2. [H3C]security-zone name management
  3. [H3C-security-zone-Trust]import interface GigabitEthernet 1/0/1
  4. [H3C-security-zone-Trust]quit
  5. // 创建访问控制列表2000作为安全策略检测。
  6. [H3C]acl basic 2000
  7. [H3C-acl-ipv4-basic-2000]rule permit source 192.168.0.0 0.0.0.255
  8. [H3C-acl-ipv4-basic-2000]quit
  9. // 配置从management安全域到local 安全域之间的安全域间实例
  10. [H3C]zone-pair security source management destination local
  11. [H3C-zone-pair-security-Trust-Anyl]packet-filter 2000
  12. [H3C-zone-pair-security-Trust-Anyl]quit
  13. [H3C]quit
  14. <H3C>save

3.在主机上通过Telnet方式登录防火墙,账号密码使用默认的admin.
4.在主机上通过http方式登录防火墙,账号密码使用默认的 admin。