USG5500防火墙基础实验

Yang2023-12-082023-12-08

基础配置

usg5500tuopi11

1、本实验中的防火墙为USG5500系列防火墙；

2、防火墙三个接口的IP地址按照上图所示进行配置；将这三个接口划入相应的安全域；

3、配置防火墙的域间包过滤策略，使得PC1能够主动访问PC2，但是PC2无法主动访问PC1；PC2能够主动访问WebServer的WEB服务。

防火墙配置：

[FW] interface GigabitEthernet0/0/1

[FW-GigabitEthernet0/0/1] ip address 192.168.1.254 24

[FW] interface GigabitEthernet0/0/2

[FW-GigabitEthernet0/0/2] ip address 172.16.1.254 24

[FW] interface GigabitEthernet0/0/3

[FW-GigabitEthernet0/0/3] ip address 10.1.1.254 24

将接口添加到相应的安全区域：

[FW] firewall zone trust

[FW-zone-trust] add interface GigabitEthernet0/0/1

[FW] firewall zone dmz

[FW-zone-dmz] add interface GigabitEthernet0/0/2

[FW] firewall zone untrust

[FW-zone-untrust] add interface GigabitEthernet0/0/3

配置域间策略，使得trust域的192.168.1.0/24网段用户能够访问untrust区域的10.1.1.0/24网段

[FW] policy interzone trust untrust outbound

[FW-policy-interzone-trust-untrust-outbound] policy 10

[FW-policy-interzone-trust-untrust-outbound-10] policy destination 10.1.1.0

0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-10] policy source 192.168.1.0

0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-10] action permit

配置域间策略，使得untrust可以访问server

[FW] policy interzone dmz untrust inbound

[FW-policy-interzone-dmz-untrust-inbound] policy 10

[FW-policy-interzone-dmz-untrust-inbound-10] policy source 10.1.1.0 0.0.0.255

[FW-policy-interzone-dmz-untrust-inbound-10] policy destination 172.16.1.1 0

[FW-policy-interzone-dmz-untrust-inbound-10] policy service service-set http

[FW-policy-interzone-dmz-untrust-inbound-10] action permit

完成上述配置后，PC1即可主动发起访问PC2，而PC2无法主动访问PC1；另外，PC2能够访问WebServer的HTTP服务

（ping不同，需要再配置一条允许icmp协议通过）

通过命令display zone，可以查看防火墙的安全区域、安全等级，以及每个安全区域下的接口.

使用display firewall packet-filter default 命令，能查看防火墙的缺省安全策略。当数据包经过防火墙且从一个安全域试图访问另一个安全域时，防火墙会根据数据包的流向首先检查用户定义的policy interzone，如果没有自定义的policy interone，则会看根据防火墙的缺省安全策略进行处理。例如从上面的显示中，我们可以看到local-trust的inbound及outbound都是permit，因此即使我们没有显式的配置local及trust安全区域的区域间策略，但是由于默认的策略就是放行，所以 trust区域的用户可以直接ping通防火墙的接口。

如果要让防火墙默认放行所有域间的流量，可以使用：firewall packet-filter default permit all命令，值得注意的是，在网络正式投入现网使用之前，此命令必须关闭（firewall packet-filter default deny all），针对需要放行的流量，需通过policy interzone的配置来放行，而不能鲁莽地将所有流量统统放行。

使用display policy命令，能查看我们定义的区域间安全策略，例如：

[FW] display policy interzone trust untrust outbound

USG5500 nat实验

usg5500naty

防火墙FW的配置如下：

[FW] interface GigabitEthernet0/0/1

[FW-GigabitEthernet0/0/1] ip address 192.168.1.254 24

[FW] interface GigabitEthernet0/0/2

[FW-GigabitEthernet0/0/2] ip address 172.16.1.254 24

[FW] interface GigabitEthernet0/0/3

[FW-GigabitEthernet0/0/3] ip address 200.1.1.1 24

向安全域中添加接口

[FW] firewall zone trust

[FW-zone-trust] add interface GigabitEthernet0/0/1

[FW] firewall zone dmz

[FW-zone-dmz] add interface GigabitEthernet0/0/2

[FW] firewall zone untrust

[FW-zone-untrust] add interface GigabitEthernet0/0/3

配置域间包过滤策略，使得trust区域的192.168.1.0/24网段用户能够访问Internet：

[FW] policy interzone trust untrust outbound

[FW-policy-interzone-trust-untrust-outbound] policy 10

[FW-policy-interzone-trust-untrust-outbound-10] policy source 192.168.1.0

0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-10] action permit

上述配置虽然放通了192.168.1.0/24访问Internet的流量，但是由于192.168.1.0/24是私有IP地址，不能直接进入公网，因此为了让这部分用户能够访问公网，还必须部署NAT源地址转换

[FW] nat address-group 1 200.1.1.10 200.1.1.20

定义NAT地址池，该地址池使用的公网地址区间是200.1.1.10到200.1.1.20

[FW] nat-policy interzone trust untrust outbound

配置NAT策略

[FW-nat-policy-interzone-trust-untrust-outbound] policy 10

[FW-nat-policy-interzone-trust-untrust-outbound-10] policy source 192.168.1.0 0.0.0.255

[FW-nat-policy-interzone-trust-untrust-outbound-10] action source-nat //对匹配的流量执行源地址转换

[FW-nat-policy-interzone-trust-untrust-outbound-10] address-group 1 //关联nat地址池1

完成上述配置后，内网用户PC1即可访问公网用户PC2。接下来继续配置防火墙，使得公网用户PC2能够访问WebServer。

配置域间包过滤策略，使得untrust区域的Internet用户能够访问DMZ区域的web服务

[FW] policy interzone dmz untrust inbound

[FW-policy-interzone-dmz-untrust-inbound] policy 10

[FW-policy-interzone-dmz-untrust-inbound-10] policy destination 172.16.1.1 0

[FW-policy-interzone-dmz-untrust-inbound-10] policy service service-set http

[FW-policy-interzone-dmz-untrust-inbound-10] action permit

[FW-policy-interzone-dmz-untrust-inbound-10] quit

[FW-policy-interzone-dmz-untrust-inbound] quit

完成上述配置后，Internet用户是依然无法访问WebServer的，因为WebServer是私有IP地址，因此还需要配置NAT server，将DMZ域内的WebServer映射到公网。

下面的命令，将内部IP地址172.16.1.1的80端口映射到了公网地址200.1.1.21的80端口，这样一来，当公网用户访问200.1.1.21的80端口服务时，实际上访问的就是内部服务器172.16.1.1的80端口。

[FW] nat server zone untrust protocol tcp global 200.1.1.21 80 inside 172.16.1.1

完成上述配置后，PC2即可使用目的地址200.1.1.21来访问WebServer。

当PC1 ping PC2时，能够在FW上能看到如下会话：

display firewall session table

Current Total Sessions : 5

icmp VPN:public –> public 192.168.1.1:40373[200.1.1.15:2048]–>200.1.1.2:2048

icmp VPN:public –> public 192.168.1.1:40885[200.1.1.15:2049]–>200.1.1.2:2048

留意到中括号内的IP地址，便是被NAT转换后的IP地址。

当PC2访问Server的WEB服务时，在FW上能看到如下会话：

[FW]display firewall session table

Current Total Sessions : 1

http VPN:public –> public 200.1.1.2:2055–>200.1.1.21:80[172.16.1.1:80]