一、防火墙的定位作用及意义
控制内/外网流量进出,执行访问控制策略(ACL),基于规则(IP、端口、协议、应用层内容)允许或阻断数据流。主要用于划分信任域(如内网)与非信任域(如互联网),阻止未授权访问,拦截攻击(DDoS、恶意扫描)、阻断恶意流量(病毒、勒索软件),以及隐藏内部网络拓扑,防止信息泄露。通过“默认拒绝”策略,仅放行合法流量,降低攻击面,满足等保、GDPR等法规对网络边界安全的要求。
总之,防火墙是网络安全的“门卫+安检机”,通过强制访问控制实现安全边界的动态防护。
二、传统防火墙基础实验
1.实验拓扑图

2.链路配置
1.1 虚拟pc
ip 192.168.10.1 255.255.255.0 192.168.10.254
ip dns 114.114.114.114
1.2 接入层交换机

1.3 汇聚层交换机


1.4 路由器
我们让路由器模拟一台服务器,配置如下:

1.5 防火墙
1.5.1 分区
int g0/0
nameif outside //命名
security-level 0 //外网安全等级为0
ip address dhcp setroute //DHCP获取IP地址和外网路由
no shutdown //打开接口
exit
int g0/1
nameif dmz
security-level 50
ip address 192.168.2.1 255.255.255.0
no shutdown
exit
int g0/2
nameif inside
security-level 100
ip address 10.1.1.2 255.255.255.252
no shutdown
exit
route inside 192.168.10.0 255.255.255.0 10.1.1.1 //配置静态私网上公网路由
1.5.2 私网上公网的NAT策略
object network inside
subnet 192.168.10.0 255.255.255.0 //定义要上网的网段
nat (inside,outside) dynamic interface //静态NAT,将私网ip转为公网接口ip
exit
1.5.3 状态检测
ASA防火墙默认不对ICMP做状态检测,需要开启ICMP状态检测,TCP/UDP默认做状态检测
policy-map global_policy //检测模式设置为全局检测
class inspection_default //调用默认检测类(包含预定义的流量匹配规则)
inspect icmp //启用 ICMP 状态检测
exit
接下来,测试内网虚拟pc是否可以上网,如图代表OK:

1.5.4 服务器访问公网的NAT配置
object network dmz
subnet 192.168.2.0 255.255.255.0
nat (dmz,outside) dynamic interface
exit
测试服务器是否可以访问公网,如下图表示OK:

1.5.5 外网访问dmz区的服务器
object network dmz1
host 192.168.2.88 //指定服务器私网ip
nat (dmz,outside) static 192.168.240.204 //指定转换为公网ip,即防火墙g0/0获得的网段
exit
防火墙默认不允许从低级别区域向高级别区域发起连接,所以要手动配置ACL放通进来的流量
access-list webtel permit tcp any host 192.168.2.88 eq 80
access-list webtel permit tcp any host 192.168.2.88 eq 23
access-group webtel in interface outside
测试外网是否可以访问dmz服务器,用物理主机访问,如图:



若未提示错误,则表示可以访问。
1.5.6 查看防火墙状态表

防火墙正因为有状态表,所以仅需放通会话的发起方向,返回方向匹配状态表,进行允许处理。
1471

被折叠的 条评论
为什么被折叠?



