详解USG5500防火墙基础配置Trust、DMZ、Untrust

 

组网要求：

1、本实验中的防火墙为USG5500系列防火墙；

2、 防火墙三个接口的IP地址按照上图所示进行配置；将这三个接口划入相应的安全域；

3、配置防火墙的域间包过滤策略，使得PC1能够主动访问PC2，但是PC2无法主动访问PC1；PC2能够主动访问WebServer的WEB服务。

一、eNSP实际操作视频：

26:56

二、主要知识点：

防火墙中的DMZ区域，Trust区域，Untrust区域的作用：

1、安全策略都基于区域实施。

2、在同一区域内部发生的数据流动是不存在风险的，不需要实施任何安全策略。
只有当不同安全区域之间发生数据流动时，才会触发设备的安全检查，并实施相应的安全策略。
3、一个接口只能属于一个区域，而一个区域可以有多个接口。

DMZ区域：1。两个防火墙之间的空间被称为DMZ。与Internet相比，DMZ可以提供更高的安全性，但是其安全性比内部网络低。
4、服务器内外网都可以访问，但还是与内网隔离。就算是黑客把DMZ服务器拿下，也不能使用服务器来控制内网的网络。起到安全的策略。

Trust区域：可信任的接口。是局域网的接口，此接口外网和DMZ无法访问，外部不能访问trust口，DMZ不能访问trust口。
Untrust区域：不信任的接口，是用来接internet的，这个接口的信息内网不接受，可以通过untrust口访问DMZ，但不能访问trust口。

重点：

华为防火墙系统默认的系统默认区域有四个，且优先级不能更改：非受信区(Untrust) 优先级5，非军事化区(DMZ)优先级50，受信区(Trust) 优先级85，本地区域(Local) 优先级100；如不满组网需求，可自行创建安全区域，数量最大为16个(包含默认4个)，但是优先级不能与现有区域优先级相同。

说明：
1、域基本分为：local、trust、dmz、untrust这四个是系统自带不能删除，除了这四个域之外，还可以自定义域。
2、域等级local>trust>dmz>untrust，自定义的域的优先级是可以自己调节的。
3、域与域之间如果不做策略默认是deny的，即任何数据如果不做策略是通不过的，如果是在同一区域的就相当于二层交换机一样直接转发。
4、当域与域之间有inbound和outbound区分，华为定义了优先级低的域向优先级高的域方向就是inbound，反之就是outbound

三、IP设置：

PC1:192.168.1.1/24，trust

PC2:10.1.1.1/24，untrust

Server1:172.16.1.1/24，DMZ

FW1:192.168.1.254/24，172.16.1.254/24，10.1.1.254/24

四、配置步骤：

如果在eNSP中进行这个实验，由于涉及到WEB客户端及服务器，因此可以PC2可以使用“终端”设备中的Client来模拟，而Web Server可以使用“终端”设备中的Server来模拟。

防火墙FW的配置如下：

[FW] interface GigabitEthernet0/0/1

[FW-GigabitEthernet0/0/1] ip address 192.168.1.254 24

[FW] interface GigabitEthernet0/0/2

[FW-GigabitEthernet0/0/2] ip address 172.16.1.254 24

[FW] interface GigabitEthernet0/0/3

[FW-GigabitEthernet0/0/3] ip address 10.1.1.254 24

#将接口添加到相应的安全区域：

[FW] firewall zone trust

[FW-zone-trust] add interface GigabitEthernet0/0/1

[FW] firewall zone dmz

[FW-zone-dmz] add interface GigabitEthernet0/0/2

[FW] firewall zone untrust

[FW-zone-untrust] add interface GigabitEthernet0/0/3

#配置域间策略，使得trust域的192.168.1.0/24网段用户能够访问untrust区域的10.1.1.0/24网段：

[FW] policy interzone trust untrust outbound

[FW-policy-interzone-trust-untrust-outbound] policy 10

[FW-policy-interzone-trust-untrust-outbound-10] policy destination 10.1.1.0

0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-10] policy source 192.168.1.0

0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-10] action permit

#配置域间策略，使得untrust区域的10.1.1.0/24网段用户能够访问Server的WEB服务：

[FW] policy interzone dmz untrust inbound

[FW-policy-interzone-dmz-untrust-inbound] policy 10

[FW-policy-interzone-dmz-untrust-inbound-10] policy source 10.1.1.0 0.0.0.255

[FW-policy-interzone-dmz-untrust-inbound-10] policy destination 172.16.1.1 0

[FW-policy-interzone-dmz-untrust-inbound-10] policy service service-set http

[FW-policy-interzone-dmz-untrust-inbound-10] action permit

完成上述配置后，PC1即可主动发起访问PC2，而PC2无法主动访问PC1；另外，PC2能够访问WebServer的HTTP服务.下面做一些简单的验证及查看：

[FW] display zone

local

priority is 100

#

trust

priority is 85

interface of the zone is (2):

GigabitEthernet0/0/0

GigabitEthernet0/0/1

#

untrust

priority is 5

interface of the zone is (1):

GigabitEthernet0/0/3

#

dmz

priority is 50

interface of the zone is (1):

GigabitEthernet0/0/2

通过命令display zone，可以查看防火墙的安全区域、安全等级，以及每个安全区域下的接口.

[FW] display firewall packet-filter default all

Firewall default packet-filter action is:

----------------------------------------------------------------------

packet-filter in public:

local -> trust :

inbound : default: permit; || IPv6-acl: null

outbound : default: permit; || IPv6-acl: null

local -> untrust :

inbound : default: deny; || IPv6-acl: null

outbound : default: permit; || IPv6-acl: null

local -> dmz :

inbound : default: deny; || IPv6-acl: null

outbound : default: permit; || IPv6-acl: null

trust -> untrust :

inbound : default: deny; || IPv6-acl: null

outbound : default: deny; || IPv6-acl: null

trust -> dmz :

inbound : default: deny; || IPv6-acl: null

outbound : default: deny; || IPv6-acl: null

dmz -> untrust :

inbound : default: deny; || IPv6-acl: null

outbound : default: deny; || IPv6-acl: null

packet-filter between VFW:

使用display firewall packet-filter default 命令，能查看防火墙的缺省安全策略。当数据包经过防火墙且从一个安全域试图访问另一个安全域时，防火墙会根据数据包的流向首先检查用户定义的policy interzone，如果没有自定义的policy interone，则会看根据防火墙的缺省安全策略进行处理。例如从上面的显示中，我们可以看到local-trust的inbound及outbound都是permit，因此即使我们没有显式的配置local及trust安全区域的区域间策略，但是由于默认的策略就是放行，所以 trust区域的用户可以直接ping通防火墙的接口。

如果要让防火墙默认放行所有域间的流量，可以使用：firewall packet-filter default permit all命令，值得注意的是，在网络正式投入现网使用之前，此命令必须关闭（firewall packet-filter default deny all），针对需要放行的流量，需通过policy interzone的配置来放行，而不能鲁莽地将所有流量统统放行。

使用display policy命令，能查看我们定义的区域间安全策略，例如：

[FW] display policy interzone trust untrust outbound

policy interzone trust untrust outbound

firewall default packet-filter is deny

policy 10 (15 times matched)

action permit

policy service service-set ip

policy source 192.168.1.0 0.0.0.255

policy destination 10.1.1.0 0.0.0.255

[FW] display policy interzone dmz untrust inbound

policy interzone dmz untrust inbound

firewall default packet-filter is deny

policy 10 (1 times matched)

action permit

policy service service-set http (predefined)

policy source 10.1.1.0 0.0.0.255

policy destination 172.16.1.1 0.0.0.0

上面都是我们通过命令定义的区域间安全策略. 

当PC1 ping PC2时，我们可以在FW上查看到如下会话：

[FW]display firewall session table

16:28:09 2016/05/04

Current Total Sessions : 5

icmp VPN:public --> public 192.168.1.1:41906-->10.1.1.1:2048

icmp VPN:public --> public 192.168.1.1:42162-->10.1.1.1:2048

icmp VPN:public --> public 192.168.1.1:42418-->10.1.1.1:2048

icmp VPN:public --> public 192.168.1.1:42674-->10.1.1.1:2048

icmp VPN:public --> public 192.168.1.1:42930-->10.1.1.1:2048

当PC2 访问 Server的WEB服务时，在FW上能看到如下会话：

[FW]display firewall session table

16:28:49 2016/05/04

Current Total Sessions : 1

http VPN:public --> public 10.1.1.1:2050-->172.16.1.1:80

在display firewall session table命令中增加verbose关键字，可以查看会话的详细信息：

[FW]display firewall session table verbose

Current Total Sessions : 1

http VPN:public --> public

Zone: untrust--> dmz TTL: 00:00:10 Left: 00:00:03

Interface: GigabitEthernet0/0/2 NextHop: 172.16.1.1 MAC: 54-89-98-94-29-85

<--packets:4 bytes:471 -->packets:6 bytes:400

10.1.1.1:2050-->172.16.1.1:80

从防火墙的会话详细内容中，我们可以读出许多东西。例如上面的输出，可以看出会话是由哪个区域发起，去往哪个区域的，以及入站、出站报文的个数、字节数等信息.

注意：读懂防火墙的会话条目，是一项非常有用的基本技能。一个会话的流量，到达防火墙并且被防火墙顺利转发，我们便能够在会话表中查看到该会话的表项。而如果一个会话的流量因某种原因没有到达防火墙，或者到达了防火墙，而由于域间包过滤策略未放通相应的流量导致报文被丢弃，又或者防火墙没有匹配的路由信息用于转发流量等等，这些情况发生时，在防火墙上都将无法看到相应的会话表项。

五、FW的主要配置文件：

#

interface GigabitEthernet0/0/0

 alias GE0/MGMT

 ip address 192.168.0.1 255.255.255.0

 dhcp select interface

 dhcp server gateway-list 192.168.0.1

#

interface GigabitEthernet0/0/1

 ip address 192.168.1.254 255.255.255.0

#

interface GigabitEthernet0/0/2

 ip address 172.16.1.254 255.255.255.0

#

interface GigabitEthernet0/0/3

 ip address 10.1.1.254 255.255.255.0

#

firewall zone local

 set priority 100

#

firewall zone trust

 set priority 85

 add interface GigabitEthernet0/0/1

 #

firewall zone untrust

 set priority 5

 add interface GigabitEthernet0/0/3

#

firewall zone dmz

 set priority 50

 add interface GigabitEthernet0/0/2

#

 sysname FW

#

 firewall packet-filter default permit interzone local trust direction inbound

 firewall packet-filter default permit interzone local trust direction outbound

 firewall packet-filter default permit interzone local untrust direction outboun

d

 firewall packet-filter default permit interzone local dmz direction outbound

#

policy interzone trust untrust inbound

 policy 10

  action permit

  policy source 10.1.1.0 0.0.0.255

  policy destination 192.168.1.0 0.0.0.255

#

policy interzone trust untrust outbound

 policy 10

  action permit

  policy source 192.168.1.0 0.0.0.255

  policy destination 10.1.1.0 0.0.0.255

#

policy interzone dmz untrust inbound

 policy 10

  action permit

  policy service service-set http

  policy service service-set icmp

  policy source 10.1.1.0 0.0.0.255

  policy destination 172.16.1.0 0.0.0.255

#

return