运维开发网

基于区域策略的防火墙

运维开发网 https://www.qedev.com 2020-06-13 13:56 出处:网络 作者:运维开发网整理
拓扑图 验证基本网络连通性 PC-A ping通PC-C PC-C telnet到s0/0/0接口   在R3创建区域防火墙   第一步   创建一个内部区域。 R3(config)# zone security IN-ZONE   第二步 创建外部区域 R3(config-sec-zone)# zone security OUT-ZONE R3(config-sec-zone)# exit

拓扑图

基于区域策略的防火墙

验证基本网络连通性

PC-A ping通PC-C

基于区域策略的防火墙

PC-C telnet到s0/0/0接口

基于区域策略的防火墙

 

在R3创建区域防火墙

 

第一步   创建一个内部区域。

R3(config)# zone security IN-ZONE

 

第二步 创建外部区域

R3(config-sec-zone)# zone security OUT-ZONE

R3(config-sec-zone)# exit

 

定义一个流量级别和访问列表

 

第一步   创建一个用来定义内部流量的ACL

R3(config)# access-list 101 permit ip 172.16.112.0 0.0.0.255 any

 

 

 

 

第二步 创建一个涉及内部流量ACL的class map

R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)# match access-group 101

R3(config-cmap)# exit

 

 

 

指定防火墙策略

第一步 创建一个策略图来确定对匹配的流量干啥。

R3(config)# policy-map type inspect IN-2-OUT-PMAP

 

第二步 定义一个检测级别类型和参考策略图。

R3(config-pmap)# class type inspect IN-NET-CLASS-MAP

 

第三步  定义检测策略图

Inspect这个指令调用基于上下文的访问控制(其他还有通过和丢弃)

应用防火墙策略

第一步 创建一对区域

R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

 

第二步 定义策略图来控制两个区域的流量。

R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R3(config-sec-zone-pair)# exit

 

第三步 把端口调用到合适的安全区域。

R3(config)# interface fa0/0

R3(config-if)# zone-member security IN-ZONE

R3(config-if)# exit

 

R3(config)# interface s0/0/0

R3(config-if)# zone-member security OUT-ZONE

R3(config-if)# exit

 

 

 

 

 

 

测试从IN-ZONE到OUT-ZONE的防火墙功能

 

第一步 PC_C ping PC-A服务器

第二步 从PC-Ctelnet到R2 的s0/0/1口

基于区域策略的防火墙

 

PC-C打开网页登到PC-A的服务器

基于区域策略的防火墙

测试外部区域到内部区域的防火墙功能

验证配置ZPF之后外部无法访问内部。

第一步 PC-A ping PC-C(ping 不通)

第二步 R2 ping PC-C也ping不通

基于区域策略的防火墙

到此基于区域策略的防火墙配置验证完成

0

精彩评论

暂无评论...
验证码 换一张
取 消