一、 防火墙的基本知识 --- 安全域和端口

1、安全区域

安全域（ Security Zone），是一个逻辑概念，用于管理防火墙设备上安全需求相同的多个接口。管理员将安全需求相同的接口进行分类，并划分到不同的安全域，能够实现安全策略的统一管理。传统防火墙的安全策略配置通常是基于报文入接口、 出接口的，进入和离开接口的流量基于接口上指定方向的策略规则进行过滤。这种基于接口的策略配置方式需要为每一个接口配置安全策略， 给网络管理员带来配置和维护上的负担。随着防火墙技术的发展， 防火墙已经逐渐摆脱了只连接外网和内网的角色， 出现了内网 / 外网/DMZ（DemilitarizedZone，非军事区）的模式，并且向着提供高端口密度服务的方向发展。

基于安全域来配置安全策略的方式可以解决上述问题。

设备存在两种类型的安全域，分别是：

• 缺省安全域：不需要通过命令 security-zone name 配置就已经存在的安全域，名称为：Local 、Trust 、DMZ 、Management和 Untrust ；
• 非缺省安全域：通过命令 security-zone name 创建的安全域。

无论是缺省安全域，还是非缺省安全域，都没有优先级的概念。

下述接口之间的报文要实现互访， 必须在安全域间实例上配置安全策略，而且只有匹配放行策略的报文，才允许通过，否则系统默认丢弃这些接口之间发送的报文：

• 同一个安全域的接口之间；
• 处于不同安全域的接口之间；
• 处于安全域的接口和处于非安全域的接口之间；

目的地址或源地址为本机的报文， 缺省会被丢弃， 若该报文与域间策略匹配， 则由域间策略进行安全检查， 并根据检查结果放行或丢弃。

1.1  非信任区域（ UNTrust）

UNTrust 的安全等级是 5，一般都是连外网的端口，比如你外网接入是电信或移动等， 那么这个端口的定义就是 Trust 口，这就说明外网是不可以访问内网的了。这就加强了内网的安全性。

1.2  非军事化区域（ DMZ ）

DMZ的安全等级是 50，DMZ是非军事化区域的意思，在防火墙的概念中，停火区相当于一个既不属于内部网络， 也不属于外部网络的一个相对独立的网段。一般而言， 停火区处于内部网络与外部网络之间。是不安全的区域。

1.3  信任区域（ Trust ）

Trust 的安全等级是 85，一般都是内网口， 比如公司内部的局域网，如果有很多个口，那就每个都设置于为 Trust ，这样局域网内不但相互之间可以互相访问， 同时也可以访问比这个信任等级低的其它端口，如 Untrust 和 DMZ城区。

• Local 的安全等级是 100。
• Management的安全等级是 100。

2、端口

• 防火墙的端口有两种工作模式，二层模式和三层模式。
• 二层模式端口有三种工作模式 Access Trunk hybrid 不懂这三个模式的区别的话， H3C的参考手册上面有详细的。
• 三层模式端口的 IP 地址可以手工指定也可以 DHCP获取。
• 如果端口工作于二层模式， 在加入安全域时需要指定 VLAN ID。
• 公司 H3C设备举例：

1）H3CSECPATH  F100-M-G2防火墙面板上一共 12 个千兆电口；

两个光口跟 GE0 GE1形成 Combo 。

缺省情况下，电口被激活。

Combo接口是一个逻辑接口， 一个 Combo接口对应设备面板上一个电口和一个光口。电口与其对应的光口是光电复用关系， 两者不能同时工作 （当激活其中的一个接口时，另一个接口就自动处于禁用状态） ，用户可根据组网需求选择使用电口或光口。

combo enable 命令用来激活 Combo接口。

combo enable { copper | fiber } 以太网接口视图（该接口必须是 Combo接口）

• copper：表示该 Combo接口的电口被激活，使用双绞线连接。
• fiber ：表示该 Combo接口的光口被激活，使用光纤连接。

简单例子：

# 指定 GigabitEthernet0/3 端口的电口被激活，使用双绞线连接。
system-view
[Sysname] interface GigabitEthernet 0/3
[Sysname-GigabitEthernet0/3] combo enable copper

# 指定 GigabitEthernet0/3 端口的光口被激活，使用光纤连接。
system-view
[Sysname] interface GigabitEthernet 0/3
[Sysname-GigabitEthernet0/3] combo enable fiber

2）一个 HDD扩展口，用于插扩展硬盘。

3）两个 USB，暂时不知道有啥用。

4）一个 Console 口，熟悉的套路这玩意是接串口的。

3、简单配置示例

3.1 安全域典型配置举例

3.1.1  组网需求

某公司以 Device 作为网络边界防火墙，连接公司内部网络和 Internet 。公司需要对外提供 Web 服务和 FTP 服务。现需要在防火墙上部署安全域，并基于以下安全需求进行域间安全策略的配置。

与接口 GigabitEthernet1/0/1  相连的公司内部网络属于可信任网络， 部署在 Trust 域，可以自由访问服务器和外部网络。

与接口 GigabitEthernet1/0/3  相连的外部网络属于不可信任网络， 部署在 Untrust 域，访问公司内部网络和服务器时，需要受到严格的域间安全策略的限制。

与接口 GigabitEthernet1/0/2  相连的 Web server 、FTP server部署在 DMZ 域，可以自由访问处于 Untrust 域的外部网络，但在访问处于 Trust 域的公司内部网络时，需要受到严格的域间安全策略的限制。

3.1.2 安全域组网图

3.1.3 配置步骤

# 向安全域 Trust 中添加接口 GigabitEthernet1/0/1 。
 system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit

# 向安全域 DMZ 中添加接口 GigabitEthernet1/0/2 。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/2
[Device-security-zone-DMZ] quit

# 向安全域 Untrust 中添加接口 GigabitEthernet1/0/3 。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/3
[Device-security-zone-Untrust] quit

# 配置 ACL 3500，定义规则：允许 IP 流量。
[Device] acl advanced 3500
[Device-acl-ipv4-adv-3500] rule permit ip
[Device-acl-ipv4-adv-3500] quit

# 创建 ASPF 策略 1，配置检测应用层协议 FTP（ FTP 仅为示例，若要检测其它应用协议，可根据需要配置） 。
[Device] aspf policy 1
[Device-aspf-policy-1] detect ftp
[Device-aspf-policy-1] quit

# 创建源安全域 Trust 到目的安全域 Untrust 的安全域间实例，并在该域间实例上应用ASPF 策略和包过滤策略，可以拒绝 Untrust 域用户对 Trust 的访问，但 Trust 域用户访问Untrust 域以及返回的报文可以通过。
[Device] zone-pair security source trust destination untrust
[Device-zone-pair-security-Trust-Untrust] aspf apply policy 1
[Device-zone-pair-security-Trust-Untrust] packet-filter 3500
[Device-zone-pair-security-Trust-Untrust]quit

# 创建源安全域 Trust 到目的安全域 DMZ 的安全域间实例，并在该域间实例上开启 ASPF检测功能， 可以拒绝 DMZ 域用户对 Trust 的访问， 但 Trust 域用户访问 DMZ 域以及返回的报文可以通过。
[Device] zone-pair security source trust destination dmz
[Device-zone-pair-security-Trust-DMZ] aspf apply policy 1
[Device-zone-pair-security-Trust-DMZ] packet-filter 3500
[Device-zone-pair-security-Trust-DMZ] quit

验证配置

以上配置完成后，内网主机可访问外部网络以及 DMZ 域内的 FTP 服务器资源。外部网络向内部网络以及 DMZ 域主动发起的连接请求将被拒绝。

3.2 配置远程 Telnet管理配置

#配置管理口地址：192.168.0.1 24
< Device >system-view
[Device]interface gigabitethernet 1/0/0
[sysnname-gigabitethernet1/0/0]ip address 192.168.0.1 24

#将管理口加入到安全域，这里进入 management 域。
[Device]security-zone name management
[Device - security-zone-management]import interface gagibitethernet 1/0/0

#创建 ACL2000，运行源 IP 地址为 192.168.0.1 的报文通过。
[Device]acl number 2000
Device -acl-basic-2000]rule permit source 192.168.0.1 0

#配置 management 域到 local 域的域间策略。
[Device]zone-pair source management destination local
[Device - zone-pair-security-management-local]packet-filter 2000

#配置 VTY的认证模式为 scheme
[Device]user-interface vty 0 4
[Device -line- vty0-4]authentication-mode scheme
[Device -line- vty0-4]user-role network-admin
[Device -line- vty0-4]user-role network-operator

二、防火墙的应用 ----NAT 和 ACL

2.1 ACL 简介

访问控制列表 (Access Control List ，ACL) 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如 IP、IPX、AppleTalk 等。ACL规则定义了安全域之间的报文过滤规则。一个 ACL中可以包括多个 RULE，RULE规定了过滤规则，我们这里只使用基本 ACL。基本 ACL编号由 2000 开始到 2999结束。Rule 编号由 0 开始，默认规则步长为 5，这个不用太关心，一般每个规则的代号我们都会手动指定。

目前有三种主要的 ACL:

• 标准 ACL、
• 扩展 ACL
• 命名 ACL。

其他的还有标准 MAC ACL 、时间控制 ACL、以太协议 ACL 、IPv6 ACL 等。标准的 ACL使用 1 ~ 99  以及 1300~1999之间的数字作为表号，扩展的 ACL使用 100 ~ 199 以及 2000~2699之间的数字作为表号。

2.2NAT简介

NAT（Network Address Translation ），网络地址转换。H3C防火墙也提供了这个功能。h3c 手册上的第九第五节详细介绍以网络结构举例 :

防火墙 trust 接口为 GE1/0/9。此端口 ip 地址为 10.0.0.1/8 。防火墙 untrust 接口为 GE1/0/10。此端口 ip 地址为 192.168.1.50/24 。untrust 接口下面挂接一台可以上网的交换机。此交换机上有很多 pc，其中某一台 pc2 的 ip 地址为 192.168.1.5/24 。

trust 接口连接一台 pc1 上，IP 地址为 10.0.0.100/8 。

目的是 trust 接口的 pc1 能 ping 通公司内网的 pc2。

1）配置端口的 IP 地址

配置 GE1/0/9，接 PC1

interface gigabitethernet 1/0/9
ip address 10.0.0.1 255.0.0.0

配置 GE1/0/10，接交换机

interface gigabitethernet 1/0/9
ip address 10.0.0.1 255.0.0.0

2）将 GE1/0/9 添加到 trust 安全域中

security-zone name trust
import interface gigabitethernet 1/0/9

将 GE1/0/10 添加到 untrust 安全域中

security-zone name untrust
import interface gigabitethernet 1/0/10

3）配置一个基本 ACL

acl basic 2050
rule 0 permit source 10.0.0.0 0.255.255.255

添加一条基础规则，允许 10.0.0.0 这个网段的 IP 地址通过

4）在安全域 trust 到安全域 untrust 这个路径上应用 acl 2050

zone-pair security source trust destination untrust
packet-filter 2050

5）生成一个 nat 地址池

nat address-group 0

6）添加两个 IP 地址用于地址转换

address 192.168.1.51 192.168.1.52

7）在出接口 GE1/0/10 上应用 acl 2050 和 nat 地址池

interface gigabitethernet 1/0/10
nat outbound 2050 address-group0
此时 NAT已经配置完成，可以用了。

参考命令：

interface gigabitethernet 1/0/9
ip address 10.0.0.1 255.0.0.0
quit
interface gigabitethernet 1/0/10
ip address 192.168.1.50 255.255.255.0
quit
security-zone name trust
import interface gigabitethernet 1/0/9
quit
security-zone name untrust
import interface gigabitethernet 1/0/10
quit
acl basic 2050
rule 0 permit source 10.0.0.0 0.255.255.255
quit
zone-pair security source trust destination untrust
packet-filter 2050
quit
nat address-group 0
address 192.168.1.51 192.168.1.52
quit
interface gigabitethernet 1/0/10
nat outbound 2050 address-group0

三、防火墙 ---静态路由 /动态路由

ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

将缺省路由的下一跳直接跳到 192.168.1.1 这个 IP 地址。

这个 0.0.0.0 0.0.0.0 代表着任何 ip 地址的意思。也叫缺省路由。