文章目录
-
- 概要
- 整体架构流程
- 技术名词解释
- 技术细节
概要
基于华为AR系列路由器的防火墙特性并结合ACL技术实现流量灵活放行。
整体架构流程
以路由器和交换机各一台为核心构建简单企业网络,实现各部门与FTP-Server/WEB-Server的信息访问控制
技术名词解释
- ACL:即access control list,功能时对经过网络设备的报文进行过滤处理。由permit和deny语句组成的有序规则集合,首先通过报文匹配过程来实现对报文的识别分类,而后根据报文分类信息和相关执行动作来判断是否放行报文。
- 基本ACL:根据源IP地址、报文分片标记以及时间段信息来定义规则。范围:ACL2000-2999.
- 高级ACL:根据源/目IP地址、TCP源/目端口号、UDP源/目端口号、协议号、报文优先级、报文大小以及时间段等信息来定义规则。范围:3000-3999.
- 域间防火墙功能:AR系列路由器可通过配置域间防火墙功能对区域间流量进行安全隔离和控制。
技术细节
在上图中,存在HR、SALES、IT三个部门终端,FTP-Server 和 WEB-Server为服务器,现需要AR路由器对部门间的互访以及用户及服务器的访问进行控制。
设备 | 接口 | IP地址 | 掩码 | 网关 |
AR1 | GE 0/0/0 | 172.16.1.254 | 255.255.255.0 | |
GE 0/0/1 |
172.16.2.254 | 255.255.255.0 | ||
GE 0/0/2 | 172.16.3.254 | 255.255.255.0 | ||
Ethernet 4/0/0 | 192.168.1.254 | 255.255.255.0 | ||
LSW1 | Vlanif 1 | 192.168.1.1 | 255.255.255.0 | |
PC1 | Ethernet 0/0/1 | 172.16.1.1 | 255.255.255.0 | 172.16.1.254 |
Client1 | Ethernet 0/0/0 | 172.16.2.1 | 255.255.255.0 | 172.16.2.254 |
client2 | Ethernet 0/0/0 | 172.16.3.1 | 255.255.255.0 | 172.16.3.254 |
FTP-Server | Ethernet 0/0/0 | 192.168.1.10 | 255.255.255.0 | 192.168.1.254 |
WEB-Server | Ethernet 0/0/0 | 192.168.1.30 | 255.255.255.0 | 192.168.1.254 |
1、基础网络配置完成后,为各部门创建安全区域,AR系列路由器默认可以设置16种安全级别(0——15,其中15保留给local区域使用),并将各接口加入相应安全域。
[R1]firewall zone HR
[R1-zone-HR]priority 10
[R1-zone-HR]firewall zone SALES
[R1-zone-SALES]priority 12
[R1-zone-SALES]firewall zone IT
[R1-zone-IT]priority 8
[R1-zone-IT]firewall zone trust
[R1-zone-trust]priority 14
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]zone HR
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]zone SALES
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]zone IT
[R1-GigabitEthernet0/0/2]int e4/0/0
[R1-Ethernet4/0/0]zone trust
2、要求:HR与SALES无业务往来,禁止二者互访,启用域间防火墙
[R1]firewall interzone HR SALES
[R1-interzone-SALES-HR]firewall enable
测试二者连通性:
注:应用AR系列路由器的防火墙特性时,需要注意流量方向;即高级安全域访问低级安全域的报文称为outbound报文,反之为inbound报文(缺省时启用域间防火墙,放行
outbound报文,禁止inbound报文)。
根据缺省情况下的防火墙特性,发现二者单向outbound互通,需配置ACL并应用在包过滤技术中阻止通信:
[R1-acl-basic-2001]dis this
[V200R003C00]
#
acl number 2001
step 10
rule 10 deny source 172.16.2.0 0.0.0.255
#
return
[R1-interzone-SALES-HR]packet-filter 2001 outbound
[R1-acl-basic-2001]q
[R1]dis firewall interzone HR SALES
interzone SALES HR
firewall enable
packet-filter default deny inbound
packet-filter default permit outbound
packet-filter 2001 outbound
再次测试
至此,HR与SALES隔离完成
3、要求:SALES可以访问WEB服务器,但禁止访问FTP服务器
配置完成前访问测试:
SALES部门可以访问WEB和FTP服务器,在开启域间防火墙后,SALES将无法访问FTP和WEB
现在需配置并引用ACL,使SALES可以访问WEB服务器
[R1-acl-adv-3001]rule permit ip source 172.16.2.0 0.0.0.255 destination 192.168.
1.30 0
[R1-acl-adv-3001]q
[R1]firewall interzone SALES trust
[R1-interzone-trust-SALES]packet-filter 3001 inbound
[R1-interzone-trust-SALES]dis firewall interzone SALES trust
interzone trust SALES
firewall enable
packet-filter default deny inbound
packet-filter default permit outbound
packet-filter 3001 inbound
4、要求:IT部门可以随时访问FTP服务器,访问WEB服务器是仅能在16:00 至17:00,且IT可
随时ping通FTP与WEB服务器
[R1]time-range access-web 16:00 to 17:00 daily
[R1-acl-adv-3002]dis this
[V200R003C00]
#
acl number 3002
step 3
rule 3 permit tcp source 172.16.3.0 0.0.0.255 destination 192.168.1.10 0 destin
ation-port eq ftp
rule 6 permit tcp source 172.16.3.0 0.0.0.255 destination 192.168.1.30 0 destin
ation-port eq www time-range access-web
rule 9 permit icmp source 172.16.3.0 0.0.0.255 destination 192.168.1.10 0
rule 12 permit icmp source 172.16.3.0 0.0.0.255 destination 192.168.1.30 0
文章来源:https://www.toymoban.com/news/detail-841879.html
文章来源地址https://www.toymoban.com/news/detail-841879.html
到了这里,关于ACL访问控制与AR系列路由器防火墙特性的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!