基于区域的策略防火墙ZFW配置

Copyright© 2011 ps 风月
Co., Ltd. 1 基于区域的策略防火墙ZFW 配置
步骤
使用Cisco Packet Tracer 5.3创建如下拓扑图：
实验要求1：保证全网互通
配置R1路由器：
Router>en
Router#conf t
Router(config)#hostname R1
R1(config)#int fa0/0
R1(config-if)#ip add 192.168.0.1 255.255.255.0
R1(config-if)#no sh
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.2
配置FireWall 路由器：
Router>en
Copyright© 2011 ps 风月 Co., Ltd. 2 Router#conf t
Router(config)#hostname FireWall
FireWall(config)#int fa0/0
FireWall(config-if)#ip add 192.168.0.2 255.255.255.0
FireWall (config-if)#no sh
FireWall(config)#int fa1/0
FireWall(config-if)#ip add 192.168.1.254 255.255.255.0
FireWall(config-if)#no sh
FireWall(config)#int f0/1
FireWall(config-if)#ip add 1.1.1.1 255.255.255.0
FireWall(config-if)#no sh
FireWall(config-if)#exit
FireWall(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2
配置R2路由器：
Router>en
Router#conf t
Router(config)#hostname R2
R2(config)#int f/0
R2(config-if)#ip add 1.1.1.2 255.255.255.0
R2(config-if)#no sh
R2(config)#int fa0/1
R2(config-if)#ip add 192.168.2.254 255.255.255.0
R2(config-if)#no sh
R2(config-if)#exit
R2(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.1
由R1 ping 各路由器接口
R1 ping DMZ 区域服务器
R1#ping 192.168.1.1
Type escape sequence to abort.
Copyright© 2011 ps 风月 Co., Ltd. 3 Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: !!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 50/60/63 ms
R1 Ping 外网主机
R1#ping 192.168.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: !!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 78/90/94 ms
实现了全网互通
实验要求2：内网R1能ping 通Internet 跟DMZ 区域
DMZ 区域不能访问Internet 和内网
Internet 不能ping 通内网和DMZ 区域，但是Internet 可以访问
DMZ 区域的HTTP 服务
1创建zone/关联zone 到接口
FireWall (config)#zone security Private //创建安全区域 Private(私有网络)
FireWall (config-sec-zone)#exi
FireWall (config)#zone security Internet//创建外部安全区域Internet FireWall (config-sec-zone)#exi
FireWall (config)#zone security DMZ //创建安全区域 DMZ (DMZ 网络) FireWall (config-sec-zone)#exi
FireWall (config)#int f0/0
FireWall (config-if)#zone-member security Private //关联zone 到接口 FireWall (config-if)#int f0/1
FireWall (config-if)#zone-member security Internet
FireWall (config-if)#int f1/0
Copyright© 2011 ps 风月 Co., Ltd. 4 FireWall (config-if)#zone-member security DMZ
2配置class-map 匹配流量
FireWall(config)#class-map type inspect match-any
Private-To-Internet //创建私有网络到Internet 网络的匹配条件名为Private-To-Internet
FireWall(config-cmap)#match protocol http
FireWall(config-cmap)#match protocol icmp
FireWall(config-cmap)#match protocol tcp
FireWall(config-cmap)#match protocol udp
FireWall(config-cmap)#match protocol telnet
FireWall(config-cmap)#match protocol ip
FireWall(config-cmap)#match protocol ntp
FireWall(config-cmap)#exit
FireWall(config)#class-map type inspect match-any
Internet-To-DMZ //创建Internet 网络到DMZ 网络的匹配条件名为Internet-To-DMZ
FireWall(config-cmap)#match protocol http
FireWall(config-cmap)#match protocol tcp
FireWall(config-cmap)#exit
3配置parameter-map （Cisco PacketTracer5.3不支持此项配置） R1(config)#parameter-map type inspect Private-To-Internet.pa FireWall(config-profile)#max-incomplete low 800
FireWall(config-profile)#max-incomplete high 1000
FireWall(config-profile)#tcp synwait-time 5
FireWall(config-profile)#tcp finwait-time 5
FireWall(config-profile)#tcp idle-time 5
FireWall(config-profile)#exi
FireWall(config)#parameter-map type inspect Internet-To-DMZ.pa FireWall(config-profile)#max-incomplete low 800
FireWall(config-profile)#max-incomplete high 1000
FireWall(config-profile)#tcp synwait-time 5
Copyright© 2011 ps 风月 Co., Ltd. 5 FireWall(config-profile)#tcp finwait-time 5
FireWall(config-profile)#tcp idle-time 5
FireWall(config-profile)#exi
4配置policy-map
FireWall(config)#policy-map type inspect 1 //创建策略1
FireWall(config-pmap)#class type inspect Private-To-Internet //在策略中使用匹配条件Private-To-Internet
FireWall(config-pmap-c)#inspect //定义满足条件时的行为inspect FireWall(config-pmap-c)#class type inspect class-default //配置默认 FireWall(config-pmap-c)#end
FireWall#conf t
FireWall(config)#policy-map type inspect 2 //创建策略2
FireWall(config-pmap)#class type inspect Internet-To-DMZ //在策略中使用匹配条件Internet-To-DMZ
FireWall(config-pmap-c)#inspect //定义满足条件时的行为inspect FireWall(config-pmap-c)#class type inspect class-default //配置默认 FireWall(config-pmap-c)#end
5运用policy-map 到zone-pairs
FireWall(config)#zone-pair security Private-Internet source Private destination Internet //创建从私有网络到Internet 区域之间的区域策略 FireWall(config-sec-zone-pair)#service-policy type inspect 1 //定义区域间的策略应用策略1
FireWall(config-sec-zone-pair)#exit
FireWall(config)#zone-pair security Private-DMZ source Private destination DMZ //创建从私有网络到DMZ 区域之间的区域策略
FireWall(config-sec-zone-pair)#service-policy type inspect 1 //定义区域间的策略应用策略1
FireWall(config-sec-zone-pair)#exit
FireWall(config)#zone-pair security Internet-DMZ source Internet destination DMZ
//创建从Internet 到DMZ 区域之间的区域策略
Copyright© 2011 ps 风月 Co., Ltd. 6 FireWall(config-sec-zone-pair)#service-policy type inspect 2 //定义区域间的策略应用策略2
测试网络
R1 能同时访问Internet 和DMZ
R1#PING 192.168.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: !!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 78/87/94 ms
R1#PING 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: !!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 62/62/63 ms
DMZ 不能访问Internet 和Private
Copyright© 2011 ps 风月
Co., Ltd. 7
Internet 不能ping 通Private 和DMZ
Copyright© 2011 ps 风月
Co., Ltd. 8 Internet 可以访问DMZ 区域HTTP 服务
Copyright© 2011 ps 风月
Co., Ltd. 9 实验要求都达到了，试验成功！吼吼！
ZFW （Zone-Based Policy Firewall ），是一种基于区域的防火墙，基于区域的防火墙配置的防火墙策略都是在数据从一个区域发到另外一个区域时才生效，在同一个区域内的数据是不会应用任何策略的，所以我们就可以将需要使用策略的接口划入不同的区域，这样就可以应用我们想要的策略。

但是，有时某些接口之间可能不需要彼此使用策略，那么这样的接口只要划入同一个区域，它们之间就可以任意互访了。

Zone 是应用防火墙策略的最小单位，一个zone 中可以包含一个接口，也可以包含多个接口。

区域之间的所有数据默认是全部被丢弃的，所以必须配置相应的策略来允许某些数据的通过。

同区域的接口是不需要配置策略的，因为他们默认就是可以自由访问的，我们只需要在区域与区域之间配置策略，而配置这样的区域与区域之间的策略，必须定义从哪个区域到哪个区域，即必须配置方向，比如配置从Zone1到Zone2的数据全部被放行。

Zone1是源区域，Zone2是目的区域。

配置一个包含源区域和目的区域的一组策略，这样的一个区域组，被称为
Zone-Pairs 。

一个Zone-Pairs ，就表示了从一个区域到另一个区域的策略，而
Copyright© 2011 ps 风月 Co., Ltd. 10 配置一个区域到另一个区域的策略，就必须配置一个Zone-Pairs ，并加入策略。

当配置了一个区域到另一个区域的策略后，如果策略动作是inspect ，则并不需要再为返回的数据配置策略，因为返回的数据是默认被允许的，如果策略动作时pass 或drop 则不会有返回流量或被直接被掉弃。

如果有两个zone ，并且希望在两个方向上都应用策略，比如zone1到 zone2 或zone2 到 zone1,就必须配置两个zone-pairs ,就是每个方向一个zone-pairs 。

Zone 特性一：一个zone 是一系列接口的集合
Zone 特性二：如果两个接口不属于zone ，他们之间的流量不受任何影响。

Zone 特性三：如果一个接口属于zone ，而另一个接口不属于zone ，他们之间
是不能通讯的.
Zone 特性四：若两个接口属于不同的zone ，可以通过配置policy 来允许流量，
默认所有流量都丢弃。

Zone 特性五：在相同的security zone 内部接口的流量可以自由流转，不需要
策略。

Copyright© 2011 ps 风月
Co., Ltd. 11
基于区域的策略防火墙ZFW 配置步骤：
Copyright© 2011 ps 风月
Co., Ltd. 12
Copyright© 2011 ps 风月
Co., Ltd. 13。