当前位置：首页 > news >正文

防火墙安全策略基础配置

news 来源：原创 2025/5/13 15:33:21

拓朴图

设备基础配置

# AR1 路由器配置
[Huawei]interface GigabitEthernet0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 1.1.1.2 255.255.255.0
[Huawei]ip route-static 192.168.1.0 255.255.255.0 1.1.1.1# FW1 防火墙配置
[USG6000V1]sysname FW1
[FW1]interface GigabitEthernet1/0/1
[FW1-GigabitEthernet1/0/1]ip address 192.168.1.254 24
[FW1-GigabitEthernet1/0/1]service-manage ping permit 
[FW1]firewall zone trust 
[FW1-zone-trust]add interface GigabitEthernet1/0/1
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface GigabitEthernet1/0/0
[FW1]interface GigabitEthernet1/0/0
[FW1-GigabitEthernet1/0/0]ip address 1.1.1.1 24
[FW1-GigabitEthernet1/0/0]service-manage ping permit

安全策略配置

1. 策略创建与顺序调整

[FW1]security-policy
[FW1-policy-security]rule name policy1
[FW1-policy-security]rule name policy3
[FW1-policy-security]rule name policy2
# 移动策略顺序：policy2 调整至 policy1 后
[FW1-policy-security]rule move policy2 after policy1

2. 策略规则示例

# 策略 policy1 的详细配置
[FW1-policy-security-rule-policy1]source-address range 192.168.1.0 192.168.1.255
[FW1-policy-security-rule-policy1]destination-address 1.1.1.0 mask 255.255.255.0
[FW1-policy-security-rule-policy1]action permit

数据五元组

字段	说明
源IP	数据包来源地址
目的IP	数据包目标地址
源端口	数据包来源端口
目的端口	数据包目标端口
协议	服务类型（如TCP/UDP）

策略匹配现象观察

策略顺序调整前：

Total:4 
RULE ID  RULE NAME     STATE      ACTION       HITS        
--------------------------------------------------------- 
1        policy1       enable     -            0            
2        policy3       enable     -            0            
3        policy2       enable     -            0           
0        default       enable     deny         0

策略顺序调整后：

Total:4 
RULE ID  RULE NAME     STATE      ACTION       HITS        
--------------------------------------------------------- 
1        policy1       enable     -            0            
3        policy2       enable     -            0            
2        policy3       enable     -            0           
0        default       enable     deny         0

匹配顺序原则：先配置的策略优先匹配。

状态检测防火墙机制

处理流程：
- 首包检测：匹配安全策略后创建会话表。
- 后续报文：直接匹配会话表放行，无需再次检查策略。
- 会话表示例：

dis firewall session table

icmp  VPN: public --> public  192.168.1.1:11642 --> 1.1.1.2:2048

优先级：
- 会话表 > 安全策略 > 默认拒绝（default deny）。

ASPF应用层包过滤（以FTP为例）

拓朴图

1. FTP双通道工作流程

控制通道（端口21）：
- 客户端发送请求（源端口随机 → 目的端口21）。
数据通道（动态端口如2052）：
- 服务器通过控制通道通知客户端数据端口（如2052）。
- 客户端发起数据请求（源端口随机 → 目的端口2052）。

2. 安全策略限制

# 允许外部访问内部FTP服务器
[FW1-policy-security-rule-FTPpolicy1]source-zone untrust
[FW1-policy-security-rule-FTPpolicy1]destination-zone trust
[FW1-policy-security-rule-FTPpolicy1]destination-address 192.168.1.2 32
[FW1-policy-security-rule-FTPpolicy1]service ftp
[FW1-policy-security-rule-FTPpolicy1]action permit