网络安全大作业5-防火墙的配置

继上次的配置之后,这次终于要直接配置防火墙了


防火墙配置

此时实验的网络拓扑图:

防火墙拦截外网数据,内网可向外网通信

首先要连接端口:

A18对应的是内网的g0/1,A23对应的是外网的g0/2
操作的代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Zone name Trust  //设置内网
Import int g0/1 // 指定1端口

// 设置内网
Int g0/1
Ip Address 129.38.1.1 24
Qu

Zone name UnTrust // 设置外网
Import int g0/2

// 设置外网
Int g0/2
Ip address 202.38.1.1 24
Qu

//配置NAT为静态nat
Nat static 129.38.1.1 202.38.1.1

// 设置外网
Int g0/2
// 设置优先级,让
Nat outbound static

(Zone)域基本分为:local、trust、dmz、untrust这四个是系统自带不能删除,除了这四个域之外,还可以自定义域。域之间如果不进行策略的设置的话,那么域和域之间是不能沟通的。
优先级为:local>trust>dmz>untrust
首先,通过zone设置内网(Trust),并且让当前的端口g0/1设置在内网;同理我们也可以设置外网以及关联端口,然后用NAT路由转发协议完成内网地址到外网地址的路由转发,从而让内网的ip与外网ip能够互相沟通。最后,通过设置这个outbound,trust(优先级高)能够往untrust(优先级低)方向进行数据转发,于是就能够实现外网不能向内网发送数据包,而内网数据包可以向外网发送

结果如下:
本机地址:129.38.1.2

让指定的外网能够和内网沟通

刚刚通过设置优先级的方式,实现了内网与外网的沟通限制,但是有时候我们也需要实现部分内容允许反向沟通,也就是某些场景下,外网的主机也要能够访问内网。这个场景下,我们就需要设置额外对象,代码配置如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
// 配置可通过的防火墙
// 外网对象,设置指定的名字
Object network host PC3
// 指定这个对象的host地址
Host address 202.38.1.2
// 配置内网对象
Object network host PC2
Host address 129.38.1.2
// 允许指定的对象进行指定的数据交互
Interzone source UnTrust destination Trust
// 设置规则
Rule 0 permit
// 指定源对象
Source-ip PC3
// 指定目的对象
Destination-ip PC2
// 允许的协议
Service ping
// 让规则通行
Rule enable

Interzone通过设置source和destination,能够设置策略让UnTrust的数据包往Trust发送,从而能够打通一个通道,让Trust和UnTrust实现某些协议实现沟通。

最终的实现结果如下:
本机地址:202.38.160.2