06-FIREWALL之包过滤防火墙配置举例
本章节下载 (95.87 KB)
Firewall之包过滤防火墙配置举例
包过滤应用在SecBlade中,为SecBlade增加了对数据包的过滤功能。对SecBlade需要转发的数据包,先获取数据包的包头信息,包括IP层所承载的上层协议的协议号,数据包的源地址、目的地址、源端口和目的端口等,然后和设定的ACL规则进行比较,根据比较的结果决定对数据包进行转发或者丢弃。
软件版本:S9500-CMW310-R1628版本及以后升级版本(R2126及以上版本不支持)
硬件版本:LSB1FW8DB0、LSB2FW8DB0
Firewall在缺省默认情况下不转发任何报文,需要执行命令firewall packet-filter default permit使其默认转发;
用户通过9500交换机上的SecBlade连接到Internet。公司内部对外提供WWW和FTP服务。其中,内部WWW服务器地址为20.0.0.1,内部FTP服务器地址为20.0.0.2。只允许外部特定PC可以访问内部服务器,但是不能访问内部网络的其他资源。假定外部特定用户的IP地址为203.1.1.1。
图4-1 包过滤防火墙组网图
# 添加内网VLAN 20和VLAN 3,外网VLAN 200,SecBlade互连VLAN 50。
[S9500] vlan 20
[S9500-vlan20] port E2/1/1
[S9500] vlan 3
[S9500-vlan3] port E2/1/2
[S9500] vlan 200
[S9500-vlan200] port E3/1/1
[S9500] vlan 50
# 配置内网VLAN接口IP地址。
[S9500] interface vlan-interface 20
[S9500-Vlan-interface20] ip address 20.0.0.254 24
[S9500] interface vlan-interface 3
[S9500-Vlan-interface3] ip address 15.0.0.2 24
[S9500] interface vlan-interface 50
[S9500-Vlan-interface50] ip address 50.1.1.1 24
# 配置路由,发往外网的报文下一跳为SecBlade防火墙。
[S9500] ip route-static 0.0.0.0 0 50.1.1.2
# 配置SecBlade模块,设置VLAN 200为security-vlan。
[S9500] secblade module test
[S9500-secblade-test] secblade-interface vlan-interface 50
[S9500-secblade-test] security-vlan 200
[S9500-secblade-test] map to slot 4
# 进入SecBlade视图(缺省用户名和密码为SecBlade,区分大小写)。
<S9500> secblade slot 4
user:SecBlade
password:SecBlade
# 配置子接口,SecBlade互连子接口VLAN 50,外网子接口 VLAN 200。把互连子接口加入trust区域,外网子接口加入untrunst区域。
[SecBlade_FW] interface GigabitEthernet 0/0.50
[SecBlade_FW -GigabitEthernet0/0.50] vlan-type dot1q vid 50
[SecBlade_FW -GigabitEthernet0/0.50] ip address 50.1.1.2 24
[SecBlade_FW] interface g0/0.200
[SecBlade_FW -GigabitEthernet0/0.200] vlan-type dot1q vid 200
[SecBlade_FW -GigabitEthernet0/0.200] ip address 202.115.1.1 24
[SecBlade_FW -zone-trust] add interface GigabitEthernet 0/0.50
[SecBlade_FW] firewall zone untrust
[SecBlade_FW -zone-untrust] add interface GigabitEthernet 0/0.200
# 配置路由,外网下一跳为路由器,内网下一跳为S9500。
[SecBlade_FW] ip route-static 0.0.0.0 0 202.115.1.2
[SecBlade_FW] ip route-static 20.0.0.0 24 50.1.1.1
[SecBlade_FW] ip route-static 15.0.0.0 24 50.1.1.1
# SecBlade视图下配置ACL规则,指定特定用户访问内网用户。
[SecBlade_FW] firewall packet-filter enable
[SecBlade_FW] acl number 3002
[SecBlade_FW-acl-adv-3002] rule permit tcp source 203.1.1.1 0 destination 20.0.0.1 0 destination-port eq 80
[SecBlade_FW-acl-adv-3002] rule permit tcp source 203.1.1.1 0 destination 20.0.0.2 0 destination-port eq 25
[SecBlade_FW-acl-adv-3002] rule deny ip
[SecBlade_FW-GigabitEthernet0/0.200] firewall packet-filter 3002 inbound
#
vlan 3
#
vlan 20
#
vlan 50
#
vlan 200
#
interface vlan-interface 3
ip address 15.0.0.2 24
#
interface vlan-interface 20
ip address 20.0.0.254 24
#
interface vlan-interface 50
ip address 50.1.1.1 24
#
interface Ethernet2/1/1
port access vlan 20
interface Ethernet2/1/2
port access vlan 3
interface Ethernet3/1/1
port access vlan 200
#
ip route-static 0.0.0.0 0 50.1.1.2 preference 60
#
secblade module test
secblade-interface vlan-interface 50
security-vlan 200
map to slot 4
# 进入SecBlade视图,进行SecBlade配置(缺省用户名和密码为SecBlade,区分大小写)。
secblade slot 4
user:SecBlade
password:SecBlade
system
# 配置子接口以及区域。
interface GigabitEthernet 0/0.50
vlan-type dot1q vid 50
ip address 50.1.1.2 24
quit
interface g0/0.200
vlan-type dot1q vid 200
ip address 202.115.1.1 24
quit
firewall zone trust
add interface GigabitEthernet 0/0.50
quit
firewall zone untrust
add interface GigabitEthernet 0/0.200
quit
# 配置路由。
ip route-static 0.0.0.0 0 202.115.1.2
ip route-static 20.0.0.0 24 50.1.1.1
ip route-static 15.0.0.0 24 50.1.1.1
# 配置访问控制列表。
firewall packet-filter enable
acl number 3002
# 配置规则只允许特定外部用户从外部网访问内部服务器,但禁止访问内部网络的其他资源。
rule permit tcp source 203.1.1.1 0 destination 20.0.0.1 0 destination-port eq 80
rule permit tcp source 203.1.1.1 0 destination 20.0.0.2 0 destination-port eq 25
rule deny ip
# 将规则访问控制列表3002应用于外部子接口的入方向数据流。
interface GigabitEthernet 0/0.200
firewall packet-filter 3002 inbound
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!