AR系列路由器域间防火墙实施ACL

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了AR系列路由器域间防火墙实施ACL相关的知识,希望对你有一定的参考价值。

先简单说下华为路由器域间防火墙的一些基本特性:

  • 状态化防火墙(简单说就是高级别访问低级别会记录状态)
  • AR系列可以设置16种区域安全级别0-15,15保留给Loca区域使用
  • 位于两个不同级别的安全区域,低级别的默认不能主动访问高级别区域
  • 如果高级别区域主动访问低级别的区域,防火墙会记录一个状态,通常由五元组(协议、源目端口和IP)构成
  • 收到的数据先匹配域间防火墙安全策略,安全策略没有匹配的,再匹配状态
  • 由于这种状态化的机制实现A能随时访问B,B却需要A主动访问时才能访问
  • 高级别流向低级别区域的数据方向为Outbound
  • 低级别流向高级别区域的数据方向为Inbound
  • 域间防火墙默认策略
    packet-filter default deny inbound
    packet-filter default permit outbound
    接下来看一个实例加深理解
    实验拓扑:
    技术分享图片
    需求:
    1. HR(人力资源)与YF(研发)不能互访
    2. HR随时可以但只能访问WEB和FTP
    3. YF只能在上班时间能访问FTP
    4. WB(外部)只能访问WEB
      配置:
      各接口IP配置此处省略
      1.创建安全区域并指定安全级别
      firewall zone HR
      priority 12
      firewall zone YF
      priority 10
      firewall zone trust #trust为web与ftp服务器所在区域
      priority 14
      firewall zone WB
      priority 8
      2.将接口加入相应安全区域
      interface Vlanif1
      ip address 10.0.0.254 255.255.255.0
      zone WB
      interface GigabitEthernet0/0/0
      ip address 192.168.1.254 255.255.255.0
      zone HR
      interface GigabitEthernet0/0/1
      ip address 192.168.2.254 255.255.255.0
      zone YF
      interface GigabitEthernet0/0/2
      ip address 192.168.3.254 255.255.255.0
      zone trust
      3.创建ACL
      先定义YF研发部工作时间
      time-range YF-working 08:00 to 17:00 working-day
      acl number 2000
      description deny-HR-to-YF #禁止HR访问YF
      rule 10 deny source 192.168.1.0 0.0.0.255
      acl name HR-trust 3000 #只允许HR访问web和ftp服务
      rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq www
      rule 20 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq ftp
      acl name YF-trust 3001
      rule 30 permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www
      rule 40 permit tcp source 192.168.2.0 0.0.0.255 destination-port eq ftp time-range YF-working #定义基于时间的ACL
      acl name WB-trust 3002
      rule 5 permit tcp source 10.0.0.0 0.0.0.255 destination-port eq www
      4.启用路由器域间防火墙并实施ACL
      firewall interzone HR YF
      firewall enable
      packet-filter 2000 outbound
      firewall interzone trust HR
      firewall enable
      firewall interzone trust WB
      firewall enable
      packet-filter 3002 inbound
      firewall interzone trust YF
      firewall enable
      packet-filter 3001 inbound

到这里,所有需求都已经实现
总结如下:
由于域间防火墙的特性,它自动拒绝了所有从低级别区域主动访问高级别区域的流量,因此,我们只需要明确指出哪些流量该放行就ok

以上是关于AR系列路由器域间防火墙实施ACL的主要内容,如果未能解决你的问题,请参考以下文章

华为网络设备介绍及基础配置命令

第十七期 ASA防火墙基本配置

华为路由器AR1220F-S的端口映射NAT配置(拨号光纤上网)

CCNA路由器访问控制列表ACL的应用

ensp中的AR路由器为啥一直在启动当中,无法进入配置界面

求大神指点 ---- ASA配置ACL规则