防火牆是一種網絡安全裝置,它的主要作用是保護内部網絡不受外部網絡的侵犯。為了實作這一目标,防火牆将内部網絡劃分為不同的安全區域,并根據不同區域的安全需求制定相應的安全政策。這些安全區域和政策對于確定内部網絡的安全性至關重要,因為它們可以有效地防止未經授權的通路、資料洩露和其他安全威脅。
今天接着上一節的實驗拓撲圖,繼續完成今天的任務:防火牆安全區域與安全政策,實驗拓撲如下圖:
實驗需求:
- 按照實驗拓撲,把對應的接口加入對應的安全區域中。
- 實作pc1能夠ping或通過HTTP通路DMZ區伺服器
- 驗證防火牆ASPF,DMZ伺服器作為FTP伺服器,PC1通路FTP伺服器,驗證ASPF功能
配置思路:
- 把各個接口配置IP位址,并加入到安全區域中。
- 規劃安全政策。
實驗步驟
- 把GE1/0/1和GE10/2接口配置IP位址,并分别加入到`Trust`和`DMZ`安全區域中,關鍵代碼如下:
- 放通`trust`區域到`DMZ`區域的安全政策。
上述配置中服務采用了對象組的方式進行配置。
完成上述的配置後,trust區域到DMZ區域的10.0.0.10就可以ping通和通路web了。如下圖:
同時也可以才防火牆的會話表項,查到記錄。
會話記錄
通常我們在實驗時,會把防火牆發起的流量都放通的。
security-policy
rule name local->any
source-zone local
action permit - 驗證ASPF功能,預設情況下,防火牆是使能了ASPF的功能。我們先把它undo掉
[FW1]undo firewall detect ftp - 在`DMZ`區域的伺服器開啟http服務和ftp服務,如下圖:
- 在trust區域上測試web和ftp服務。
WEB服務測試
FTP服務測試
通過上圖看到`web`服務能正常通路。而ftp通路就不正常了。FTP不正常原因有兩個:
- 我們全局取消了ASPF的功能
- 安全政策沒有服務組沒有放通FTP服務
我們先在服務組添加FTP服務,如下:
再測試FTP服務,如下圖,還是有問題
FTP服務測試
發現第二信道也被安全政策幹掉了,如下圖:
政策截圖
- 我們在防火牆上的`interzone`作如下配置
firewall interzone trust dmz
detect ftp 在測試FTP服務,如下圖,這次就能成功登入上來了。
通過在防火牆上執行dis firewall server-map指令檢視
還會生成會話表項,如下:
在網絡安全領域,ASPF 通常指的是 "Application Layer Stateful Packet Filtering",中文翻譯為 "應用層狀态包過濾"。ASPF 是防火牆中的一種技術,它在網絡通信的應用層(第七層)進行狀态維護和過濾,以增強網絡安全性。
ASPF 不僅關注傳統的資料包的源、目的 IP 位址和端口資訊,還深入到應用層協定的内容,能夠檢測并過濾特定應用層協定的資料。這使得 ASFP 能夠更精确地識别和控制網絡流量,防止一些應用層攻擊,提高防火牆的安全性。
總體而言,ASPF 技術通過維護應用層協定的狀态資訊,有效地監控和管理應用層通信,提供更加全面和智能的防火牆保護。
今天的安全區域和安全政策就分享到這裡了,感謝的可以關注或分享,謝謝。