学习日志8.8--防火墙精细化策略管控
本次实验的拓扑结构,用PC2去模拟和外部网络连接的Internet。
在trust和untrust区域上,希望将防火墙安全策略的默认动作修改为deny,然后精细化控制流量的访问,从trust到untrust控制只允许192.168.1.0的网络通过,从untrust到turst控制只允许192.168.2.0的网络通过。
命令:[FW01]security-policy,先进入安全协议视图
命令:[FW01-policy-security]default action deny,修改默认动作是deny拒绝。
把默认的安全关卡关闭之后,防火墙就不能再ping通主机或者是server,因为流量是outbound的反向。
为实现精细化控制流量的访问,从trust到untrust控制只允许192.168.1.0的网络通过,从untrust到turst控制只允许192.168.2.0的网络通过,我们需要再防火墙上配置安全策略。
命令:[FW01]security-policy,先进入到安全策略的视图中
命令:[FW01-policy-security]rule name tru-to-untru,给你要写的规则起一个名字,名字是tru-to-untru,意思是从trust到untrust的安全规则,名字是可以自定义,无要求
命令:[FW01-policy-security-rule-tru-to-untru]source-zone trust,配置源区域
命令:[FW01-policy-security-rule-tru-to-untru]destination-zone untrust,配置目的区域
命令:[FW01-policy-security-rule-tru-to-untru]source-address 192.168.1.0 24,配置源IP网段
命令:[FW01-policy-security-rule-tru-to-untru]destination-address 192.168.2.0 24,配置目的IP网段
注意:如果目的网段不填,意味着可以从源网段访问到所有的网段;如果源网段不写,意味着目的网段可以访问到内网的所有IP,这就容易受到攻击流量的攻击
命令:[FW01-policy-security-rule-tru-to-untru]action permit,设置这个规则的动作是允许通过
配置好后查看配置信息,又一条从tru到untru的安全策略,允许通过的网段是192.168.1.0。
配置好安全策略后,测试能不能通信,用PC1去ping服务器
通信成功,再服务器去ping主机PC1
通信失败,原来是只写了从trust到untrust的安全策略但是没有写从untrust到trust的安全策略。
写从untrust到trust的安全策略
命令:[FW01-policy-security]rule name untru-to-tru,给写的安全规则起个名字untrue-to-tru
命令:[FW01-policy-security-rule-untru-to-tru]source-zone untrust,配置源区域
命令:[FW01-policy-security-rule-untru-to-tru]destination-zone trust,配置目的区域
命令:[FW01-policy-security-rule-untru-to-tru]source-address 192.168.2.0 24,配置源IP网段
命令:[FW01-policy-security-rule-untru-to-tru]destination-address 192.168.1.0 24,配置目的IP网段
命令:[FW01-policy-security-rule-untru-to-tru]action permit,配置安全规则的动作允许通过
查看配置信息,配置了从trust到untrust的安全策略,配置了从untrust到trust的安全策略。
在用服务器去ping主机PC1,通信成功
在匹配过程中,是顺序匹配,但是也可以手动调节
安全规则的操作方式,有copy复制、move移动、name名字、rename重命名
移动方式有after放在哪个规则前、before放在哪个规则后、bottom放在最后一个、top放在最上面、down向下移一个、up向上移一个。
命令:[FW01-policy-security]rule move untru-to-tru up,把这条安全策略往上移一条
再查看配置信息,untru-to-tru这条安全策略就往上一条。
这就是防火墙的精细化策略管控,手动配置安全策略。