码迷,mamicode.com
首页 > 其他好文 > 详细

AR系列路由器域间防火墙实施ACL

时间:2018-01-08 17:29:49      阅读:213      评论:0      收藏:0      [点我收藏+]

标签:火墙   ack   images   2.0   华为路由器   安全策略   定义   分享图片   desc   

先简单说下华为路由器域间防火墙的一些基本特性:

  • 状态化防火墙(简单说就是高级别访问低级别会记录状态)
  • AR系列可以设置16种区域安全级别0-15,15保留给Loca区域使用
  • 位于两个不同级别的安全区域,低级别的默认不能主动访问高级别区域
  • 如果高级别区域主动访问低级别的区域,防火墙会记录一个状态,通常由五元组(协议、源目端口和IP)构成
  • 收到的数据先匹配域间防火墙安全策略,安全策略没有匹配的,再匹配状态
  • 由于这种状态化的机制实现A能随时访问B,B却需要A主动访问时才能访问
  • 高级别流向低级别区域的数据方向为Outbound
  • 低级别流向高级别区域的数据方向为Inbound
  • 域间防火墙默认策略
    packet-filter default deny inbound
    packet-filter default permit outbound
    接下来看一个实例加深理解
    实验拓扑:
    技术分享图片
    需求:
    1. HR(人力资源)与YF(研发)不能互访
    2. HR随时可以但只能访问WEB和FTP
    3. YF只能在上班时间能访问FTP
    4. WB(外部)只能访问WEB
      配置:
      各接口IP配置此处省略
      1.创建安全区域并指定安全级别
      firewall zone HR
      priority 12
      firewall zone YF
      priority 10
      firewall zone trust #trust为web与ftp服务器所在区域
      priority 14
      firewall zone WB
      priority 8
      2.将接口加入相应安全区域
      interface Vlanif1
      ip address 10.0.0.254 255.255.255.0
      zone WB
      interface GigabitEthernet0/0/0
      ip address 192.168.1.254 255.255.255.0
      zone HR
      interface GigabitEthernet0/0/1
      ip address 192.168.2.254 255.255.255.0
      zone YF
      interface GigabitEthernet0/0/2
      ip address 192.168.3.254 255.255.255.0
      zone trust
      3.创建ACL
      先定义YF研发部工作时间
      time-range YF-working 08:00 to 17:00 working-day
      acl number 2000
      description deny-HR-to-YF #禁止HR访问YF
      rule 10 deny source 192.168.1.0 0.0.0.255
      acl name HR-trust 3000 #只允许HR访问web和ftp服务
      rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq www
      rule 20 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq ftp
      acl name YF-trust 3001
      rule 30 permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www
      rule 40 permit tcp source 192.168.2.0 0.0.0.255 destination-port eq ftp time-range YF-working #定义基于时间的ACL
      acl name WB-trust 3002
      rule 5 permit tcp source 10.0.0.0 0.0.0.255 destination-port eq www
      4.启用路由器域间防火墙并实施ACL
      firewall interzone HR YF
      firewall enable
      packet-filter 2000 outbound
      firewall interzone trust HR
      firewall enable
      firewall interzone trust WB
      firewall enable
      packet-filter 3002 inbound
      firewall interzone trust YF
      firewall enable
      packet-filter 3001 inbound

到这里,所有需求都已经实现
总结如下:
由于域间防火墙的特性,它自动拒绝了所有从低级别区域主动访问高级别区域的流量,因此,我们只需要明确指出哪些流量该放行就ok

AR系列路由器域间防火墙实施ACL

标签:火墙   ack   images   2.0   华为路由器   安全策略   定义   分享图片   desc   

原文地址:http://blog.51cto.com/13566489/2058659
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!