防火墙安全区域及安全策略配置 一、拓扑结构图 模拟场景: 公司总部的网络分成了三个区域,包括内部区域( trust ),外部区域( Untrust )和服务器区域( DMZ )。设计通过防火墙来实现对数据的控制,确保公司内部网络安全,并通过 DMZ 区域对外网提供服务器。 实验步骤 1 登陆防火墙 2 根据拓扑图对设备进行基本配置与IP编址 2.1 给路由器配置地址,并配置静态路由; 2.2 在FW上配置明确的静态路由,实现三个loopback0接口网段之间路由畅通; 2.3 交换机上需要按照需求定义 VLAN 3 配置防火墙区域 3.1 防火墙上默认有四个区域分别是:local、trust、untrust、dmz。实验中我们使用到trust、untrust、dmz三个区域,分别将对应接口加入各安全区域,由于默认配置将g0/0/0加入了trust区域为避免干扰,将其删除; 3.2 检查各接口所在的区域: 4 配置安全策略 如果防火墙域间没有配置安全策略,或查找安全策略时,所有的安全策略都没有命中,则默认执行域间的缺省包过滤动作(拒绝通过)。 4.1 仅允许trust区域访问其他区域,不允许其他区域之间的访问 1)配置安全策略 1) 检查配置结果: 2) 检查从trust到untrust和dmz的连通性 3) 检查从untrust到trust和dmz的连通性 4) 检查从dmz到trust和untrust的连通性 4.2 配置策略允许 untrust 区域能访问 dmz 区域的特定服务器 1)DMZ 区域有一台服务器, IP 地址为 10.0.3.3 ,需要对 Untrust 区域开放 Telnet 服务。同时为了测试网络,需要开放 iCMP Ping 测试功能。 2)为了能在 R3 上进行 Telnet 测试,在 R3 上开启 Telnet 功能 3)测试从 R1 ( untrust )到 R3 ( dmz )的 ping 和 Telnet :