防火墙安全策略实验

实验拓扑

图 1-1

注：此实验务必按照拓扑所示接口连接线缆，且运行前置环境中的 Win7-1、Win7-2、Windows Server 2008、Windows Server 2003 四台虚拟机。防火墙内存务必配置为 2G 以上。实验步骤中防火墙的配置可在 “Web 控制台配置方法” 和 “命令行配置方法” 中任选一种。

实验需求

按照图示配置防火墙，使 Win7-1 和 Win7-2 虚拟机可以访问互联网。内网可以全部互通。
配置安全策略，实现如下效果：
1. VLAN10 的 PC 在任意时间都可以访问互联网。
2. VLAN20 的 PC 只有在周一到周五的非工作时间可以访问互联网。
3. VLAN10 的 PC 可以访问 Win2008 上的网站，但不能访问其他服务。
4. VLAN20 的 PC 可以访问 Win2008 上的 FTP 服务，但不能访问其他服务。
5. 禁止其他互访。

其他设备基础配置

配置交换机。

步骤 1：在 SW 上创建 VLAN10、VLAN20 和 VLAN30，将连接 Win7-1 虚拟机接口加入 VLAN10，连接 Radius 的接口加入 VLAN20，连接防火墙的接口加入 VLAN30

[SW]vlan 10
[SW-vlan10]port g1/0/2
[SW-vlan10]vlan 20
[SW-vlan20]port g1/0/3
[SW-vlan20]vlan 30
[SW-vlan30]port g1/0/1

步骤 2：在 SW 上为 VLAN10、VLAN20、VLAN30 创建三层接口并配置 IP 地址。

[SW]interface vlan 10
[SW-Vlan-interface10]ip address 192.168.101.254 24
[SW]interface vlan 20
[SW-Vlan-interface20]ip address 192.168.103.254 24
[SW]interface vlan 30
[SW-Vlan-interface30]ip address 10.1.1.2 30

步骤 3：在 SW 上配置缺省路由，下一跳指向防火墙。

[SW]ip route-static 0.0.0.0 0 10.1.1.1

在 Windows Server 2008 上部署 Web 服务和 FTP 服务，配置方法自行查阅。

防火墙 Web 控制台配置方法

配置防火墙以登录 Web 控制台

步骤 1：配置防火墙管理口 IP 地址。（管理口默认地址 192.168.0.1/24）
```
[FW]interface g1/0/1
[FW-GigabitEthernet1/0/1]ip address 192.168.56.2 24
```
步骤 2：在浏览器访问 https://192.168.56.2 打开防火墙 Web 控制台（忽略证书告警），使用账户密码 admin/admin 登录。（首次登录会强制要求修改密码）

图 1-2

图 1-3
配置防火墙接口

步骤 1：在 Web 控制台中点击 网络 - 接口与 VRF - 接口

图 1-4

步骤 2：编辑 G1/0/0 口，加入到 Trust 区域，配置 IP 地址；编辑 G1/0/2 口，加入到 Untrust 区域，配置 IP 地址。编辑 G1/0/3 口，加入到 DMZ 区域，配置 IP 地址

图 1-5

图 1-6

图 1-7
配置静态路由使内网三层互通

步骤 1：在 Web 控制台上点击 路由 - 静态路由

图 1-8

步骤 2：新建静态路由，配置去往 VLAN10、VLAN20 的静态路由以及缺省路由。

图 1-9

图 1-10

图 1-11
配置 NAPT，使 VLAN10 和 VLAN20 的主机可以访问互联网

步骤 1：点击 对象 - ACL - IPv4

图 1-12

步骤 2：创建基本 ACL，增加两条规则分别匹配 192.168.1.0/24 网段与 192.168.2.0/24 网段。

图 1-13

图 1-14

图 1-15

步骤 3：点击 策略 - 接口 NAT - IPv4

图 1-16

步骤 4：新建 NAT 出方向动态转换（基于 ACL），接口设置为公网口，ACL 关联上一步创建的基本 ACL，转换后源地址设置为接口 IP 地址，转换模式为 PAT

图 1-17
配置防火墙安全策略

步骤 1：点击 对象 - 对象组 - IPv4 地址对象组。

图 1-18

步骤 2：分别新建 VLAN10、VLAN20 以及 Win2008 的 IPv4 地址对象组。

图 1-19

图 1-20

图 1-21

步骤 3：点击 服务对象组，发现默认已经存在 HTTP 和 FTP 的服务对象。（如果需要控制列表中没有服务访问，就需要手动创建服务对象）。

图 1-22

步骤 4：点击 时间段，新建时间对象，新增周期时间段，设置时间为周一到周五的下班时间。

图 1-23

步骤 5：新建安全策略，放通 VLAN10 的 PC 可以任意时间上网。

图 1-24

步骤 6：新建安全策略，放通 VLAN20 的 PC 只有周一到周五的非工作时间可以上网。

图 1-25

步骤 7：新建安全策略，放通 VLAN10 的 PC 访问 Win2008 的 HTTP 服务。

图 1-26

步骤 8：新建安全策略，放通 VLAN20 的 PC 访问 Win2008 的 FTP 服务。

图 1-27
效果验证。Win7-1 可以上网，Win7-2 在修改防火墙系统时间到 17:00-24:00 之间时才可以上网。Win7-1 可以访问 Win2008 的网站，却无法访问 FTP；Win7-2 可以访问 Win2008 的 FTP，却无法访问网站。

图 1-28

图 1-29

图 1-30

图 1-31

图 1-32

图 1-33

防火墙命令行配置方法

配置防火墙区域和接口

步骤 1：将防火墙 G1/0/0 口加入 Trust 区域，将 G1/0/2 口加入 Untrust 区域，将 G1/0/3 口加入 DMZ 区域。

[FW]security-zone name trust
[FW-security-zone-Trust]import interface g1/0/0
[FW]security-zone name Untrust 
[FW-security-zone-Untrust]import interface g1/0/2
[FW]security-zone name dmz
[FW-security-zone-dmz]import interface g1/0/3

步骤 2：配置接口 IP 地址。

[FW]interface g1/0/0
[FW-GigabitEthernet1/0/0]ip address 10.1.1.1 24
[FW]interface g1/0/2
[FW-GigabitEthernet1/0/2]ip address 100.1.1.2 24
FW]interface g1/0/3
[FW-GigabitEthernet1/0/3]ip address 192.168.102.254 24

配置静态路由使内网三层互通。

步骤 1：在 FW 上分别配置去往 VLAN10 和 VLAN20 的静态路由与缺省路由。

[FW]ip route-static 192.168.101.0 24 10.1.1.2
[FW]ip route-static 192.168.103.0 24 10.1.1.2
[FW]ip route-static 0.0.0.0 0 100.1.1.1

配置 NAPT，使 VLAN10 和 VLAN20 的主机可以访问互联网

步骤 1：在防火墙上创建基本 ACL，匹配 192.168.1.0/24 网段和 192.168.2.0/24 网段。
```
[FW]acl basic 2000
[FW-acl-ipv4-basic-2000]rule permit source 192.168.101.0 0.0.0.255
[FW-acl-ipv4-basic-2000]rule permit source 192.168.103.0 0.0.0.255
```
步骤 2：在公网口上配置 Easy IP，关联 ACL。
```
[FW]interface g1/0/2
[FW-GigabitEthernet1/0/2]nat outbound 2000
```

配置安全策略，放通内网 VLAN10 与 VLAN20 以及防火墙访问互联网的流量

步骤 1：创建 VLAN10 和 VLAN20 以及 Win2008 虚拟机的 IP 地址对象组。

[FW]object-group ip address VLAN10
[FW-obj-grp-ip-VLAN10]network subnet 192.168.101.0 24
[FW]object-group ip address VLAN20
[FW-obj-grp-ip-VLAN20]network subnet 192.168.103.0 24
[FW]object-group ip address Win2008
[FW-obj-grp-ip-Win2008]network host address 192.168.102.1

步骤 2：创建时间段对象，匹配周一到周五的下班时间。

[FW]time-range NonWorking 17:00 to 24:00 working-day

步骤 3：创建安全策略规则，放通 VLAN10 的 PC 可以任意时间上网。

[FW]security-policy ip 
[FW-security-policy-ip]rule name VLAN10_Internet
[FW-security-policy-ip-0-VLAN10_Internet]source-zone trust
[FW-security-policy-ip-0-VLAN10_Internet]destination-zone untrust
[FW-security-policy-ip-0-VLAN10_Internet]source-ip VLAN10
[FW-security-policy-ip-0-VLAN10_Internet]action pass

步骤 4：创建安全策略规则，放通 VLAN20 的 PC 只有周一到周五的非工作时间可以上网。

[FW]security-policy ip 
[FW-security-policy-ip]rule name VLAN20_Internet
[FW-security-policy-ip-0-VLAN20_Internet]source-zone trust
[FW-security-policy-ip-0-VLAN20_Internet]destination-zone untrust
[FW-security-policy-ip-0-VLAN20_Internet]source-ip VLAN20
[FW-security-policy-ip-0-VLAN20_Internet]time-range NonWorking
[FW-security-policy-ip-0-VLAN20_Internet]action pass

步骤 5：创建安全策略规则，放通 VLAN10 的 PC 访问 Win2008 的 HTTP 服务。。

[FW]security-policy ip 
[FW-security-policy-ip]rule name VLAN10_Win2008_HTTP
[FW-security-policy-ip-0-VLAN10_Win2008_HTTP]source-zone trust
[FW-security-policy-ip-0-VLAN10_Win2008_HTTP]destination-zone dmz
[FW-security-policy-ip-0-VLAN10_Win2008_HTTP]source-ip VLAN10
[FW-security-policy-ip-0-VLAN10_Win2008_HTTP]destination-ip Win2008
[FW-security-policy-ip-0-VLAN10_Win2008_HTTP]service http
[FW-security-policy-ip-0-VLAN10_Win2008_HTTP]action pass

步骤 6：创建安全策略规则，放通 VLAN20 的 PC 访问 Win2008 的 FTP 服务。。

[FW]security-policy ip 
[FW-security-policy-ip]rule name VLAN20_Win2008_FTP
[FW-security-policy-ip-0-VLAN20_Win2008_FTP]source-zone trust
[FW-security-policy-ip-0-VLAN20_Win2008_FTP]destination-zone dmz
[FW-security-policy-ip-0-VLAN20_Win2008_FTP]source-ip VLAN20
[FW-security-policy-ip-0-VLAN20_Win2008_FTP]destination-ip Win2008
[FW-security-policy-ip-0-VLAN20_Win2008_FTP]service ftp
[FW-security-policy-ip-0-VLAN20_Win2008_FTP]action pass

效果验证。Win7-1 可以上网，Win7-2 在修改防火墙系统时间到 17:00-24:00 之间时才可以上网。Win7-1 可以访问 Win2008 的网站，却无法访问 FTP；Win7-2 可以访问 Win2008 的 FTP，却无法访问网站。