家好，我是老楊。

在互聯(lián)網(wǎng)時(shí)代，網(wǎng)絡(luò)安全的問題不用多說了，配置防火墻是非常必要的。

在網(wǎng)絡(luò)的世界里，要由防火墻過濾的就是承載通信數(shù)據(jù)的通信包。

防火墻是位于內(nèi)部網(wǎng)和外部網(wǎng)之間的屏障，也是系統(tǒng)的第一道防線。

那到底怎么配置防火墻，這不是兩三千字就能說明白的。

今天就用這篇萬字詳解，給你說說防火墻配置，把各個(gè)技術(shù)點(diǎn)逐一攻破。

今日文章閱讀福利：《 思科防火墻白皮書 》

私信我，發(fā)送暗號(hào)“防火墻”，即可獲取該份高清優(yōu)質(zhì)電子書資源。

01 了解防火墻基本機(jī)制

配置防火墻之前，你最好先了解一下防火墻的基本工作機(jī)制。

01 什么是防火墻

防火墻是一種網(wǎng)絡(luò)安全設(shè)備，通常位于網(wǎng)絡(luò)邊界，用于隔離不同安全級(jí)別的網(wǎng)絡(luò)，保護(hù)一個(gè)網(wǎng)絡(luò)免受來自另一個(gè)網(wǎng)絡(luò)的攻擊和入侵。

這種“隔離”不是一刀切，是有控制的隔離，允許合法流量通過防火墻，禁止非法流量通過防火墻。

如圖 1-1 所示，防火墻位于企業(yè) Internet 出口保護(hù)內(nèi)網(wǎng)安全。

在防火墻上可以指定規(guī)則，允許內(nèi)網(wǎng) 10.1.1.0/24 網(wǎng)段的 PC 訪問 Internet ，禁止 Internet 用戶訪問 IP 地址為192.168.1.2 的內(nèi)網(wǎng)主機(jī)。

由上文可見，防火墻與路由器、交換機(jī)是有區(qū)別的。

路由器用來連接不同的網(wǎng)絡(luò)，通過路由協(xié)議保證互聯(lián)互通，確保將報(bào)文轉(zhuǎn)發(fā)到目的地；

交換機(jī)通常用來組建局域網(wǎng)，作為局域網(wǎng)通信的重要樞紐，通過二層/三層交換快速轉(zhuǎn)發(fā)報(bào)文；

而防火墻主要部署在網(wǎng)絡(luò)邊界，對(duì)進(jìn)出網(wǎng)絡(luò)的訪問行為進(jìn)行控制，安全防護(hù)是其核心特性。

路由器與交換機(jī)的本質(zhì)是轉(zhuǎn)發(fā)，防火墻的本質(zhì)是控制。

防火墻控制網(wǎng)絡(luò)流量的實(shí)現(xiàn)主要依托于安全區(qū)域和安全策略，下文詳細(xì)介紹。

02 接口與安全區(qū)域

前文提到防火墻用于隔離不同安全級(jí)別的網(wǎng)絡(luò)，那么防火墻如何識(shí)別不同網(wǎng)絡(luò)呢？

答案就是安全區(qū)域（Security Zone）。

通過將防火墻各接口劃分到不同的安全區(qū)域，從而將接口連接的網(wǎng)絡(luò)劃分為不同的安全級(jí)別。

防火墻上的接口必須加入安全區(qū)域（部分機(jī)型的獨(dú)立管理口除外）才能處理流量。

安全區(qū)域的設(shè)計(jì)理念可以減少網(wǎng)絡(luò)攻擊面，一旦劃分安全區(qū)域，流量就無法在安全區(qū)域之間流動(dòng)，除非管理員指定了合法的訪問規(guī)則。

如果網(wǎng)絡(luò)被入侵，攻擊者也只能訪問同一個(gè)安全區(qū)域內(nèi)的資源，這就把損失控制在一個(gè)比較小的范圍內(nèi)。因此建議通過安全區(qū)域?yàn)榫W(wǎng)絡(luò)精細(xì)化分區(qū)。

接口加入安全區(qū)域代表接口所連接的網(wǎng)絡(luò)加入安全區(qū)域，而不是指接口本身。

接口、網(wǎng)絡(luò)和安全區(qū)域的關(guān)系如圖 1-2 所示。

防火墻的安全區(qū)域按照安全級(jí)別的不同從 1 到 100 劃分安全級(jí)別，數(shù)字越大表示安全級(jí)別越高。

防火墻缺省存在 trust、dmz、untrust 和 local 四個(gè)安全區(qū)域，管理員還可以自定義安全區(qū)域?qū)崿F(xiàn)更細(xì)粒度的控制。

例如，一個(gè)企業(yè)按圖 1-3 劃分防火墻的安全區(qū)域，內(nèi)網(wǎng)接口加入 trust 安全區(qū)域，外網(wǎng)接口加入 untrust 安全區(qū)域，服務(wù)器區(qū)接口加入 dmz 安全區(qū)域，另外為訪客區(qū)自定義名稱為 guest 的安全區(qū)域。

一個(gè)接口只能加入到一個(gè)安全區(qū)域，一個(gè)安全區(qū)域下可以加入多個(gè)接口。

上圖中有一個(gè)特殊的安全區(qū)域 local，安全級(jí)別最高為 100。

local 代表防火墻本身，local區(qū)域中不能添加任何接口，但防火墻上所有接口本身都隱含屬于 local 區(qū)域。

凡是由防火墻主動(dòng)發(fā)出的報(bào)文均可認(rèn)為是從 local 安全區(qū)域發(fā)出，凡是接收方是防火墻的報(bào)文（非轉(zhuǎn)發(fā)報(bào)文）均可認(rèn)為是由 local 安全區(qū)域接收。

另外除了物理接口，防火墻還支持邏輯接口，如子接口、VLANIF、Tunnel 接口等，這些邏輯接口在使用時(shí)也需要加入安全區(qū)域。

03 安全策略

前文提到防火墻通過規(guī)則控制流量，這個(gè)規(guī)則在防火墻上被稱為“安全策略”。

安全策略是防火墻產(chǎn)品的一個(gè)基本概念和核心功能，防火墻通過安全策略來提供安全管控能力。

如圖 1-4 所示，安全策略由匹配條件、動(dòng)作和內(nèi)容安全配置文件組成，針對(duì)允許通過的流量可以進(jìn)一步做反病毒、入侵防御等內(nèi)容安全檢測。

所有匹配條件在一條安全策略中都是可選配置；但是一旦配置了，就必須全部符合才認(rèn)為匹配，即這些匹配條件之間是“與”的關(guān)系。

一個(gè)匹配條件中如果配置了多個(gè)值，多個(gè)值之間是“或”的關(guān)系，只要流量匹配了其中任意一個(gè)值，就認(rèn)為匹配了這個(gè)條件。

一條安全策略中的匹配條件越具體，其所描述的流量越精確。

你可以只使用五元組（源/目的 IP 地址、端口、協(xié)議）作為匹配條件，也可以利用防火墻的應(yīng)用識(shí)別、用戶識(shí)別能力，更精確、更方便地配置安全策略。

04 穿墻安全策略與本地安全策略

穿過防火墻的流量、防火墻發(fā)出的流量、防火墻接收的流量均受安全策略控制。

如圖 1-5所示，內(nèi)網(wǎng) PC 既需要 Telnet 登錄防火墻管理設(shè)備，又要通過防火墻訪問 Internet。

此時(shí)需要為這兩種流量分別配置安全策略。

尤其講下本地安全策略，也就是與 local 域相關(guān)相關(guān)的安全策略。

以上例子中，位于 trust域的 PC 登錄防火墻，配置 trust 訪問 local 的安全策略；

反之如果防火墻主動(dòng)訪問其他安全區(qū)域的對(duì)象，例如防火墻向日志服務(wù)器上報(bào)日志、防火墻連接安全中心升級(jí)特征庫等，需要配置 local 到其他安全區(qū)域的安全策略。

記住一點(diǎn)，防火墻本身是 local 安全區(qū)域，接口加入的安全區(qū)域代表接口連接的網(wǎng)絡(luò)屬于此安全區(qū)域，這樣就可以分清防火墻本身和外界網(wǎng)絡(luò)的域間關(guān)系了。

05 缺省安全策略與安全策略

防火墻存在一條缺省安全策略 default，默認(rèn)禁止所有的域間流量。

缺省策略永遠(yuǎn)位于策略列表的最底端，且不可刪除。

用戶創(chuàng)建的安全策略，按照創(chuàng)建順序從上往下排列，新創(chuàng)建的安全策略默認(rèn)位于策略列表底部，缺省策略之前。

防火墻接收到流量之后，按照安全策略列表從上向下依次匹配。

一旦某一條安全策略匹配成功，則停止匹配，并按照該安全策略指定的動(dòng)作處理流量。

如果所有手工創(chuàng)建的安全策略都未匹配，則按照缺省策略處理。

由此可見，安全策略列表的順序是影響策略是否按預(yù)期匹配的關(guān)鍵，新建安全策略后往往需要手動(dòng)調(diào)整順序。

企業(yè)的一臺(tái)服務(wù)器地址為 10.1.1.1，允許 IP 網(wǎng)段為 10.2.1.0/24 的辦公區(qū)訪問此服務(wù)器，配置了安全策略 policy1。

運(yùn)行一段時(shí)間后，又要求禁止兩臺(tái)臨時(shí)辦公 PC（10.2.1.1、10.2.1.2）訪問服務(wù)器。

此時(shí)新配置的安全區(qū)策略 policy2 位于 policy1 的下方。

因?yàn)?policy1 的地址范圍覆蓋了policy2 的地址范圍，policy2 永遠(yuǎn)無法被匹配。

需要手動(dòng)調(diào)整 policy2 到 policy1 的上方，調(diào)整后的安全策略如下：

因此，配置安全策略時(shí)，注意先精確后寬泛。如果新增安全策略，注意和已有安全策略的順序，如果不符合預(yù)期需要調(diào)整。

02 完成初始配置

首次使用設(shè)備，完成防火墻接入互聯(lián)網(wǎng)的基礎(chǔ)配置。

01 設(shè)備出廠配置

防火墻設(shè)備出廠配置如下表。

02 連線

按下圖連接管理網(wǎng)口、內(nèi)網(wǎng)口 GE0/0/2 和外網(wǎng)口 GE0/0/3。

圖中管理 PC 與設(shè)備管理網(wǎng)口連接，用于登錄 Web 界面。

如果使用命令行配置，首次登錄請使用 Console 配置線連接管理 PC 的串口與設(shè)備的 Console 口。

03 登錄 Web 界面

背景信息

推薦使用以下瀏覽器登錄設(shè)備 Web 界面：

Internet Explorer 瀏覽器：10-11

Firefox 瀏覽器：62 及以上版本

Chrome 瀏覽器：64 及以上版本

操作步驟

1. 將管理員 PC 網(wǎng)口與設(shè)備的管理口（MEth 0/0/0 或 GigabitEthernet 0/0/0）通過網(wǎng)線直連或者通過二層交換機(jī)相連。

2. 將管理員 PC 的 IP 地址設(shè)置為 192.168.0.2～192.168.0.254 范圍內(nèi)的 IP 地址。

3. 在管理員 PC 的瀏覽器中輸入地址：https://192.168.0.1:8443。

輸入地址登錄后，瀏覽器會(huì)給出證書不安全的告警提示，選擇繼續(xù)瀏覽。

4. 如果是首次登錄設(shè)備，彈出創(chuàng)建管理員賬號(hào)界面。輸入用戶名、密碼、確認(rèn)密碼，然后單擊“創(chuàng)建”。

首次登錄創(chuàng)建的管理員，擁有系統(tǒng)管理員權(quán)限和 Web 服務(wù)類型。

5. 賬號(hào)創(chuàng)建成功，在彈出的提示框中單擊“確定”。

6. 進(jìn)入登錄界面，輸入已經(jīng)創(chuàng)建的用戶名、密碼登錄設(shè)備，單擊“登錄”。

訪問 Web 界面登錄地址時(shí)，瀏覽器無法驗(yàn)證設(shè)備提供的默認(rèn)證書，會(huì)有安全告警提示。

可以在此界面上單擊“下載根證書”下載證書，然后雙擊證書文件進(jìn)安裝，下次登錄就沒有安全告警提示了。

7. 新賬號(hào)首次登錄，系統(tǒng)彈出修改初始化密碼界面。輸入當(dāng)前密碼、新密碼、確認(rèn)密碼，單擊“確定”。

8. 重新進(jìn)入登錄界面，輸入賬號(hào)和新密碼，單擊“登錄”。

04 防火墻 Web 界面

防火墻 Web 界面采用橫向板塊+豎向菜單的導(dǎo)航方式，界面布局如下圖所示。

圖 1-7 Web 界面布局

后續(xù)處理

選擇“網(wǎng)絡(luò) > 接口”，可以修改管理口的 IP 地址，修改后需要重新登錄。

選擇“系統(tǒng) > 管理員 > 管理員”，可以新建其他管理員。

防火墻支持管理員綁定不同的權(quán)限角色。

05 配置三層接入

防火墻缺省工作在三層，通常作為企業(yè) Internet 出口網(wǎng)關(guān)，實(shí)現(xiàn)內(nèi)外網(wǎng)通信的同時(shí)進(jìn)行安全防護(hù)。

此種模式設(shè)備通過路由協(xié)議轉(zhuǎn)發(fā)各個(gè)網(wǎng)段之間的報(bào)文。

因此，這種接入方式也被稱為“路由模式”。

防火墻三層接入部署在內(nèi)外網(wǎng)之間時(shí)，通常還需要負(fù)責(zé)內(nèi)網(wǎng)的私網(wǎng)地址與外網(wǎng)的公網(wǎng)地址之間的轉(zhuǎn)換，也就是 NAT 功能，因此這種接入方式又常被稱為“NAT 模式”。

初始接入時(shí)，請使用 Web 界面提供的快速向?qū)?，根?jù)企業(yè)的 Internet 接入方式將防火墻快速接入 Internet。

然后在此基礎(chǔ)上進(jìn)行高級(jí)配置。

• 靜態(tài) IP：如果從網(wǎng)絡(luò)服務(wù)商處獲得固定的 IP 地址，請選擇此接入方式。
• PPPoE：如果從網(wǎng)絡(luò)服務(wù)商處獲得用戶名和密碼進(jìn)行撥號(hào)，請選擇此接入方式。
• DHCP：如果從網(wǎng)絡(luò)服務(wù)商自動(dòng)獲取 IP 地址，請選擇此接入方式。

執(zhí)行快速向?qū)Ш?，防火墻具備的基本配置如下?/span>

• 上網(wǎng)接口：加入 untrust 區(qū)域，并通過管理員選擇的接入方式獲取到公網(wǎng) IP 地址。
• 局域網(wǎng)接口：加入 trust 區(qū)域，私網(wǎng) IP 地址配置完畢；如果管理員在向?qū)е袉⒂昧司钟蚓W(wǎng)DHCP 服務(wù)，則局域網(wǎng)接口開啟 DHCP 服務(wù)器功能為局域網(wǎng) PC 分配 IP 地址及 DNS 服務(wù)器地址。
• 源 NAT：存在一條 Easy IP 方式的源 NAT 策略，出接口是上網(wǎng)接口的所有流量的源 IP 地址
• 被轉(zhuǎn)換為上網(wǎng)接口 IP 地址。
• 路由：存在一條缺省路由，出接口是上網(wǎng)接口，將流量轉(zhuǎn)發(fā)至 Internet。
• 安全策略：未配置，需要自行手工配置安全策略，允許局域網(wǎng)用戶訪問 Internet。
• 使用三層 Internet 接入向?qū)В?/span>靜態(tài) IP

數(shù)據(jù)準(zhǔn)備：

操作步驟：

1. 選擇“系統(tǒng) > 快速向?qū)А薄?/span>

2. 單擊“下一步”。

3. 根據(jù)需要修改主機(jī)名、管理員密碼，然后單擊“下一步”。如果無需修改，單擊“跳過”。

4. 根據(jù)設(shè)備的所在地配置系統(tǒng)時(shí)間，然后單擊“下一步”。

5. 選擇接入互聯(lián)網(wǎng)方式為“靜態(tài) IP”，然后單擊“下一步”。

6. 配置接入互聯(lián)網(wǎng)參數(shù)，然后單擊“下一步”。

配置局域網(wǎng)接口，然后單擊“下一步”。

啟用局域網(wǎng)接口的 DHCP 服務(wù)，并使用默認(rèn)的 IP 地址范圍。然后單擊“下一步”。

當(dāng)防火墻作為局域網(wǎng) PC 的網(wǎng)關(guān)時(shí)，可以使用局域網(wǎng)接口為 PC 分配 IP 地址。

9. 核對(duì)配置信息無誤后，單擊“應(yīng)用”。

10. 系統(tǒng)提示配置成功，單擊“完成”。

11. 配置基礎(chǔ)安全策略，允許局域網(wǎng) PC 訪問 Internet。

12. 配置局域網(wǎng) PC 自動(dòng)獲取 IP 地址、DNS 服務(wù)器地址，步驟略。

05-1 使用三層 Internet 接入向?qū)В篜PPoE

背景信息

操作步驟

1. 選擇“系統(tǒng) > 快速向?qū)А薄?/span>

2. 單擊“下一步”。

3. 根據(jù)需要修改主機(jī)名、管理員密碼，然后單擊“下一步”。如果無需修改，單擊“跳過”。

4. 根據(jù)設(shè)備的所在地配置系統(tǒng)時(shí)間，然后單擊“下一步”。

5. 選擇接入互聯(lián)網(wǎng)方式為“PPPoE”，然后單擊“下一步”。

6. 配置接入互聯(lián)網(wǎng)參數(shù)，然后單擊“下一步”。

7. 配置局域網(wǎng)接口，然后單擊“下一步”。

8. 啟用局域網(wǎng)接口的 DHCP 服務(wù)，并使用默認(rèn)的 IP 地址范圍。然后單擊“下一步”。

當(dāng)防火墻作為局域網(wǎng) PC 的網(wǎng)關(guān)時(shí)，可以使用局域網(wǎng)接口為 PC 分配 IP 地址。

9. 核對(duì)配置信息無誤后，單擊“應(yīng)用”。

10. 系統(tǒng)提示配置成功，單擊“完成”。

11. 配置基礎(chǔ)安全策略，允許局域網(wǎng) PC 訪問 Internet。

12. 配置局域網(wǎng) PC 自動(dòng)獲取 IP 地址、DNS 服務(wù)器地址，步驟略。

05-2 使用三層 Internet 接入向?qū)В篋HCP

背景信息

操作步驟

1. 選擇“系統(tǒng) > 快速向?qū)А薄?/span>

2. 單擊“下一步”。

3. 根據(jù)需要修改主機(jī)名、管理員密碼，然后單擊“下一步”。如果無需修改，單擊“跳過”。

4. 根據(jù)設(shè)備的所在地配置系統(tǒng)時(shí)間，然后單擊“下一步”。

5. 選擇接入互聯(lián)網(wǎng)方式為“DHCP”，然后單擊“下一步”。

6. 配置接入互聯(lián)網(wǎng)參數(shù)，然后單擊“下一步”。

7. 配置局域網(wǎng)接口，然后單擊“下一步”。

8. 啟用局域網(wǎng)接口的 DHCP 服務(wù)，并使用默認(rèn)的 IP 地址范圍。然后單擊“下一步”。

當(dāng)防火墻作為局域網(wǎng) PC 的網(wǎng)關(guān)時(shí)，可以使用局域網(wǎng)接口為 PC 分配 IP 地址。

9. 核對(duì)配置信息無誤后，單擊“應(yīng)用”。

10. 系統(tǒng)提示配置成功，單擊“完成”。

11. 配置基礎(chǔ)安全策略，允許局域網(wǎng) PC 訪問 Internet。

12. 配置局域網(wǎng) PC 自動(dòng)獲取 IP 地址、DNS 服務(wù)器地址，步驟略。

05-3 配置基礎(chǔ)安全策略

前提條件

快速向?qū)б呀?jīng)運(yùn)行完畢。

操作步驟

選擇“策略 > 安全策略 > 安全策略”。

新建安全策略，允許局域網(wǎng) PC 訪問 Internet。

06 配置二層透明接入

背景信息

二層透明接入就是防火墻使用兩個(gè)二層接口接入網(wǎng)絡(luò)，通常部署在出口網(wǎng)關(guān)的內(nèi)側(cè)。

此種接入方式的優(yōu)點(diǎn)是不影響原有網(wǎng)絡(luò)結(jié)構(gòu)，不需要調(diào)整上下行設(shè)備路由，因此也稱為“透明模式”。

二層透明接入防火墻同樣具備安全防護(hù)能力，也需要配置安全策略，只是部分三層特有的功能二層接口不支持，例如路由。

但是可以使用 VLANIF 作為三層接口。

防火墻無需全局切換路由模式、透明模式，而是進(jìn)行接口級(jí)別的模式切換。

接口工作在三層，就可以實(shí)現(xiàn)三層網(wǎng)關(guān)的功能；接口工作在二層，就可以實(shí)現(xiàn)二層透明接入的功能。

二、三層接入可以并存。

如下圖所示，防火墻一般部署在出口路由器的內(nèi)側(cè)，防火墻下行是交換機(jī)，上行是路由器。

根據(jù)組網(wǎng)情況，可能路由器做內(nèi)網(wǎng)用戶網(wǎng)關(guān)，也可能三層交換機(jī)做內(nèi)網(wǎng)用戶網(wǎng)關(guān)。

防火墻透明接入組網(wǎng)中，一般使用路由器做源 NAT，但是防火墻也支持做源 NAT 轉(zhuǎn)換。

下圖中，當(dāng)三層交換機(jī)做內(nèi)網(wǎng)用戶網(wǎng)關(guān)時(shí)可以在防火墻上配置源 NAT。

操作步驟

1. 配置二層接口。

a. 選擇“網(wǎng)絡(luò) > 接口”。

b. 配置 GE0/0/2 的接口為交換模式，并將接口加入安全區(qū)域。

單擊“確定”，然后在接口列表中修改 GE0/0/2 的安全區(qū)域?yàn)?trust。

根據(jù)與防火墻連接的交換機(jī)的配置情況，配置防火墻二層接口的連接類型是 Trunk 還是Access。

透明接入防火墻類似于二層交換機(jī)。

如果防火墻接口是 Trunk 類型轉(zhuǎn)發(fā) VLAN，則需要在路由器上配置子接口終結(jié) VLAN。

c. 配置 GE0/0/3 的接口所屬 VLAN，并將接口加入安全區(qū)域。

單擊“確定”，然后在接口列表中修改 GE0/0/3 的安全區(qū)域?yàn)?untrust。

2. 配置基礎(chǔ)安全策略允許內(nèi)網(wǎng)用戶訪問 Internet。

a. 選擇“策略 > 安全策略 > 安全策略”。

b. 新建安全策略。

3. 配置交換機(jī)和路由器的 VLAN、接口及 IP 地址等，具體步驟略。

4. 可選：配置源 NAT 轉(zhuǎn)換內(nèi)網(wǎng)用戶 IP 地址。

當(dāng)三層交換機(jī)做內(nèi)網(wǎng)用戶網(wǎng)關(guān)時(shí)，可以選擇防火墻做源 NAT。

a. 選擇“策略 > NAT 策略 > NAT 策略”。

b. 選擇“源轉(zhuǎn)換地址池”頁簽，新建地址池，地址池中是可供使用的公網(wǎng) IP 地址范圍。

c. 選擇“NAT”頁簽，新建 NAT 策略。

d. 在三層交換機(jī)上配置到 NAT 地址池地址（1.1.1.1～1.1.1.5）的黑洞路由。

<switch> system-view

[switch] ip route-static 1.1.1.1 32 NULL0

[switch] ip route-static 1.1.1.2 32 NULL0

[switch] ip route-static 1.1.1.3 32 NULL0

[switch] ip route-static 1.1.1.4 32 NULL0

[switch] ip route-static 1.1.1.5 32 NULL0

e. 在路由器上配置到 NAT 地址池地址（1.1.1.1～1.1.1.5）的靜態(tài)路由，下一跳為交換機(jī)VLANIF10 的地址 10.2.1.1。

<router> system-view

[router] ip route-static 1.1.1.1 32 10.2.1.1

[router] ip route-static 1.1.1.2 32 10.2.1.1

[router] ip route-static 1.1.1.3 32 10.2.1.1

[router] ip route-static 1.1.1.4 32 10.2.1.1

[router] ip route-static 1.1.1.5 32 10.2.1.1

后續(xù)處理

透明接入時(shí)，管理員首次登錄通過管理口登錄防火墻。

如果需要使用業(yè)務(wù)口登錄防火墻，或者防火墻需要訪問外部地址，均需要配置 VLANIF 接口 IP 地址。

本例中是 VLANIF10，配置如下，注意 VLANIF10 的 IP 地址需要與防火墻上下行設(shè)備 IP地址同一網(wǎng)段。

07 建立防火墻訪問外部服務(wù)通道

背景信息

配置三層接入、配置二層透明接入中完成了內(nèi)網(wǎng) PC 訪問 Internet 的基礎(chǔ)網(wǎng)絡(luò)部署，防火墻本身進(jìn)行特征庫升級(jí)、License 在線激活等需要防火墻可以訪問 Internet 的外部服務(wù)。

操作步驟

1. 確保防火墻提供一個(gè)三層接口 IP 地址連接安全中心、License 中心等。

三層接入一般使用公網(wǎng)接口 IP 地址即可；二層透明接入則需要配置一個(gè) VLANIF 接口，配置接口 IP 并加入安全區(qū)域，具體步驟參見二層透明接入后續(xù)處理。

另外注意確保該地址到 Internet 路由可達(dá)。

2. 確保防火墻已經(jīng)配置 DNS 服務(wù)器，否則防火墻無法通過域名訪問外部服務(wù)。

選擇“網(wǎng)絡(luò) > DNS > DNS”,檢查是否已經(jīng)配置了 DNS 服務(wù)器，如果沒有配置請?jiān)黾?DNS服務(wù)器。

3. 可選：如果接口 IP 是私網(wǎng)地址，還需要配置源 NAT。

選擇“策略 > NAT 策略 > NAT 策略”，配置 NAT 策略對(duì)接口 IP 地址進(jìn)行轉(zhuǎn)換。

二層透明接入時(shí)，根據(jù)規(guī)劃可能防火墻進(jìn)行 NAT 轉(zhuǎn)換，也可能出口路由器進(jìn)行 NAT 轉(zhuǎn)換。

4. 配置安全策略允許防火墻訪問外部服務(wù)、DNS 服務(wù)器等。

選擇“策略 > 安全策略 > 安全策略”，允許 local 安全區(qū)域訪問 Internet 所在安全區(qū)域。

放行的服務(wù)等根據(jù)業(yè)務(wù)需求制定，例如防火墻訪問 DNS 服務(wù)器要放行 DNS，防火墻升級(jí)特征庫要放行 HTTPS。

08 測試網(wǎng)絡(luò)連通性

完成上述配置后，內(nèi)網(wǎng) PC、防火墻均可以訪問 Internet，可以按如下操作進(jìn)行測試。

測試內(nèi)網(wǎng) PC 訪問 Internet在內(nèi)網(wǎng) PC 瀏覽器中輸入一個(gè)網(wǎng)址，測試是否可以打開網(wǎng)頁。

如果打開網(wǎng)頁失敗，嘗試如下方法排障：

選擇“網(wǎng)絡(luò) > 接口”，在接口列表中檢查防火墻內(nèi)、外網(wǎng)接口的狀態(tài)是否 Up。

如果外網(wǎng)接口 Down，請確認(rèn)防火墻的配置與網(wǎng)絡(luò)服務(wù)商提供的參數(shù)是否一致。

檢查內(nèi)網(wǎng) PC 是否正常設(shè)置 IP 地址和 DNS 服務(wù)器；

如果配置了防火墻為 PC 分配地址，則在 cmd 窗口執(zhí)行 ipconfig /all 命令檢查 PC 是否正常通過防火墻獲取 IP 地址和 DNS 服務(wù)器，如果 PC 沒有獲取到地址請檢查防火墻的 DHCP 服務(wù)配置。

登錄防火墻 Web 界面選擇“監(jiān)控 > 診斷中心”，單擊“網(wǎng)頁診斷”頁簽。

輸入內(nèi)網(wǎng) PC 的IP 地址以及網(wǎng)頁 URL，單擊“診斷”。

根據(jù)診斷信息進(jìn)行故障處理。測試防火墻訪問 Internet使用防火墻 Web 界面提供的升級(jí)中心（http://isecurity.huawei.com）連通性測試功能進(jìn)行測試。

選擇“系統(tǒng) > 升級(jí)中心”，單擊“測試升級(jí)中心鏈接”鏈接，彈出檢測結(jié)果頁面。

如果連接失敗，請按照提示信息進(jìn)行修改。

03 進(jìn)一步完成其他高級(jí)配置

完成初始配置后，結(jié)合實(shí)際業(yè)務(wù)情況進(jìn)行高級(jí)配置。

本文給出您可能配置的高級(jí)特性概覽，更具體的詳細(xì)介紹下回說哈。

01 配置其他接口及安全區(qū)域

背景信息

初始配置只完成了一個(gè)內(nèi)網(wǎng)接口、一個(gè)外網(wǎng)接口的配置。

如果規(guī)劃更多分區(qū)，例如服務(wù)器區(qū)、訪客區(qū)等，需要配置接口及安全區(qū)域。

操作步驟

1. 如果需要在缺省安全區(qū)域基礎(chǔ)上自定義安全區(qū)域時(shí)，選擇“網(wǎng)絡(luò) > 安全區(qū)域”，新建安全區(qū)域。

可以在此步驟將接口加入安全區(qū)域，也可以在接口的配置界面配置。

2. 選擇“網(wǎng)絡(luò) > 接口”，根據(jù)網(wǎng)絡(luò)規(guī)劃配置其他接口 IP 地址及安全區(qū)域。

一般連接服務(wù)區(qū)的接口加入 dmz 安全區(qū)域；內(nèi)外接口加入 trust 安全區(qū)域；

外網(wǎng)接口加入untrust 安全區(qū)域；如果還自定義了安全區(qū)域，將對(duì)應(yīng)接口加入安全區(qū)域。

“啟用訪問管理”用于控制訪問防火墻的協(xié)議類型，例如通過 HTTPS、SSH 登錄防火墻，則需要啟用 HTTPS、SSH 協(xié)議；

例如需要 Ping 防火墻接口檢測連通性，則需要啟用 Ping協(xié)議。

02 配置安全策略

背景信息

接口和安全區(qū)域配置完成后，需要配置安全策略允許流量通過防火墻。

另外安全策略允許的流量不代表沒有威脅，還可以在安全策略中引用內(nèi)容安全配置文件進(jìn)行入侵、病毒等檢測。

這里配置的安全策略用于防火墻的上線運(yùn)行，確保防火墻可以正常工作后，需要結(jié)合日志、業(yè)務(wù)情況不斷調(diào)整，使防火墻更好地保護(hù)網(wǎng)絡(luò)安全。

以下給出的安全策略配置僅作為舉例，請根據(jù)實(shí)際流量互訪要求配置。

匹配條件越精細(xì)越好，避免防火墻放行多余流量。

操作步驟

1. 選擇“策略 > 安全策略 > 安全策略”。

2. 配置允許外網(wǎng)用戶訪問內(nèi)網(wǎng)的 Web 服務(wù)器 10.2.1.5，并引用缺省入侵防御配置文件對(duì)流量進(jìn)行威脅檢測。

3. 繼續(xù)配置其他安全策略，步驟略。

03 配置 NAT

背景信息

初始配置中，快速向?qū)ё詣?dòng)生成了一條將訪問 Internet 流量的源 IP 轉(zhuǎn)換為公網(wǎng)接口 IP 的源 NAT 策略。

可以直接使用，也可以修改配置。

另外當(dāng)企業(yè)有供外網(wǎng)用戶訪問的服務(wù)器時(shí)，還需要配置 NAT Server 將服務(wù)器私網(wǎng) IP 地址映射成公網(wǎng) IP 地址。

操作步驟

1. 配置源 NAT。

源 NAT 有兩種地址轉(zhuǎn)換方式：

地址池方式：如果有多個(gè)公網(wǎng)地址可以使用，一般采用地址池方式。此方式需要?jiǎng)?chuàng)建 NAT地址池以限定可使用的公網(wǎng)地址范圍。

出接口地址方式：如果只有防火墻公網(wǎng)接口上的公網(wǎng)地址可用，一般采用出接口地址方式。此方式內(nèi)網(wǎng) PC 直接借用公網(wǎng)接口的 IP 地址訪問 Internet，特別適用于公網(wǎng)接口 IP 地址是動(dòng)態(tài)獲取不固定的情況。

a. 可選：選擇“策略 > NAT 策略 > NAT 策略 > 源轉(zhuǎn)換地址池”，配置公網(wǎng) IP 地址池。

b. 選擇“策略 > NAT 策略 > NAT 策略 > NAT 策略”，配置源 NAT 策略。

地址池方式源 NAT 需要引用地址池；出接口方式源 NAT 無需指定地址池，直接將源地址轉(zhuǎn)換為報(bào)文出接口 IP 地址。

2. 配置 NAT Server（服務(wù)器映射）

a. 選擇“策略 > NAT 策略 > 服務(wù)器映射”。

b. 新建服務(wù)器映射。

整理：老楊丨10年資深網(wǎng)絡(luò)工程師，更多網(wǎng)工提升干貨，請關(guān)注公眾號(hào)：網(wǎng)絡(luò)工程師俱樂部

火墻應(yīng)直接設(shè)置在建筑的基礎(chǔ)或具有相應(yīng)耐火性能的框架、梁等承重結(jié)構(gòu)上，并應(yīng)從樓地面基層隔斷至結(jié)構(gòu)梁、樓板或屋面板的底面。防火墻與建筑外墻、屋頂相交處，防火墻上的門、窗等開口，應(yīng)采取防止火災(zāi)蔓延至防火墻另一側(cè)的措施。《建筑防火通用規(guī)范》GB55037-2022第6.1.1條

防火墻任一側(cè)的建筑結(jié)構(gòu)或構(gòu)件以及物體受火作用發(fā)生破壞或倒塌并作用到防火墻時(shí)，防火墻應(yīng)仍能阻止火災(zāi)蔓延至防火墻的另一側(cè)。《建筑防火通用規(guī)范》GB55037-2022第6.1.2條

防火墻的耐火極限不應(yīng)低于3.00h。甲、乙類廠房和甲、乙、丙類倉庫內(nèi)的防火墻，耐火極限不應(yīng)低于4.00h?！督ㄖ阑鹜ㄓ靡?guī)范》GB55037-2022第6.1.3條

務(wù)端的典型防火墻需求，通常如下：
1、允許所有出站流量，
2、限制所有入站流量，
3、允許HTTP和HTTPS這類流量，
4、只允許從堡壘機(jī)登錄服務(wù)器，
5、只允許從監(jiān)控主機(jī)訪問服務(wù)器的被監(jiān)控端口，或只允許代理機(jī)訪問一些內(nèi)部服務(wù)，
6、如果有雙機(jī)熱備，可能還要允許VRRP通過，否則會(huì)發(fā)生腦裂。

防火墻大都是firewalld，而不再是iptables了。
下面我們看具體的firewalld配置

0、可能要清空之前的防火墻策略

rm -rf /etc/firewalld/zones

因?yàn)槭强赡?，所以它是?條。

0、啟動(dòng)firewalld并設(shè)置默認(rèn)區(qū)域（假設(shè)使用public區(qū)域）：

systemctl start firewalld
firewall-cmd --set-default-zone=public

通常有如下區(qū)域，這個(gè)區(qū)域類似于配置模版。

• public： （公共區(qū)域）一般默認(rèn)為該區(qū)域，僅允許訪問本機(jī)的sshd， dhcp， ping等服務(wù)
• trusted：（信任區(qū)域）允許任何訪問
• block：?。ㄏ拗茀^(qū)域）阻塞任何來訪請求
• drop：（丟棄區(qū)域）丟棄任何來訪的數(shù)據(jù)包(不做出任何回應(yīng)，直接丟棄) 能節(jié)省資源

不同的區(qū)域，可以作用在不同的網(wǎng)卡，如下：

firewall-cmd --permanent --zone=trusted --change-interface=eth0
firewall-cmd --permanent --zone=public --change-interface=eth1
firewall-cmd --reload

最簡配置：除了啟動(dòng)firewalld，其他均可以不配置。

1、允許所有出站流量：

firewalld默認(rèn)情況下允許所有出站流量，所以你不需要做額外的設(shè)置。

2、限制所有入站流量：

設(shè)置默認(rèn)入站規(guī)則為拒絕：

firewall-cmd --zone=public --set-target=DROP

3、允許HTTP和HTTPS流量：

使用以下命令允許HTTP和HTTPS流量通過：

firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --zone=public --add-service=https --permanent

4、 只允許從堡壘機(jī)登錄服務(wù)器:

// 先移除默認(rèn)開啟的沒有訪問限制的ssh服務(wù)
firewall-cmd --permanent --remove-service=ssh
// 添加復(fù)雜規(guī)則,只允許指定IP段訪問22端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept'

5、只允許從監(jiān)控主機(jī)訪問服務(wù)器的被監(jiān)控端口，或只允許代理機(jī)訪問一些內(nèi)部服務(wù)

//zabbix監(jiān)控
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="10051" accept'
//mysql
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="3306" accept'
//redis
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="6379" accept'
//mongodb
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="27017" accept'

6、.開啟VRRP協(xié)議:

主備機(jī)都運(yùn)行下面的命令

firewall-cmd --direct --permanent --add-rule ipv4 filter INPUT 0 --in-interface em1 --destination 224.0.0.18 --protocol vrrp -j ACCEPT
firewall-cmd --reload

7、 重新加載防火墻以應(yīng)用更改：

firewall-cmd --reload

全文完。