CCNA实验三十八 ZFW(区域防火墙)

环境：Windows XP 、Packet Tracert5.3

目的：了解ZFW的原理与基本配置

说明：

ZFW（Zone-Based Policy Firewall），是一种基于区域的防火墙，基于区域的防火墙配置的防火墙策略都是在数据从一个区域发到另外一个区域时才生效，在同一个区域内的数据是不会应用任何策略的，所以我们就可以将需要使用策略的接口划入不同的区域，这样就可以应用我们想要的策略。但是，有时某些接口之间可能不需要彼此使用策略，那么这样的接口只要划入同一个区域，它们之间就可以任意互访了。Zone是应用防火墙策略的最小单位，一个zone中可以包含一个接口，也可以包含多个接口。

区域之间的所有数据默认是全部被丢弃的，所以必须配置相应的策略来允许某些数据的通过。要注意，同区域的接口是不需要配置策略的，因为他们默认就是可以自由访问的，我们只需要在区域与区域之间配置策略，而配置这样的区域与区域之间的策略，必须定义从哪个区域到哪个区域，即必须配置方向，比如配置从Zone1到Zone2的数据全部被放行。可以看出，Zone1是源区域，Zone2是目的区域。配置一个包含源区域和目的区域的一组策略，这样的一个区域组，被称为Zone-Pairs。因此可以看出，一个Zone-Pairs，就表示了从一个区域到另一个区域的策略，而配置一个区域到另一个区域的策略，就必须配置一个Zone-Pairs，并加入策略。当配置了一个区域到另一个区域的策略后，如果策略动作是inspect，则并不需要再为返回的数据配置策略，因为返回的数据是默认被允许的，如果策略动作时pass或drop则不会有返回流量或被直接被掉弃。如果有两个zone，并且希望在两个方向上都应用策略，比如zone1到 zone2 或zone2 到 zone1,就必须配置两个zone-pairs ,就是每个方向一个zone-pairs。

步骤：

使用Packet Tracert5.3.创建如下拓扑：

配置R1路由器：

Router>en

Router#conf t

Router(config)#host R1

R1(config)#int fa0/0

R1(config-if)#ip add 192.168.0.1 255.255.255.0

R1(config-if)#no sh

R1(config)#ip rou 0.0.0.0 0.0.0.0 192.168.0.2

配置FireWall路由器：

Router>en

Router#conf t

Router(config)#host FireWall

FireWall(config)#class-map type inspect match-any Private-To-Internet //创建私有网络到Internet网络的匹配条件名为Private-To-Internet

FireWall(config-cmap)#match protocol http //定义匹配http流量条件

FireWall(config-cmap)#match protocol icmp //定义匹配icmp流量条件

FireWall(config-cmap)#match protocol tcp //定义匹配tcp流量条件

FireWall(config-cmap)#match protocol udp //定义匹配udp流量条件

FireWall(config-cmap)#match protocol telnet //定义匹配telnet流量条件

FireWall(config-cmap)#match protocol ftp //定义匹配ftp流量条件

FireWall(config-cmap)#match protocol dhcp //定义匹配dhcp流量条件

FireWall(config-cmap)#match protocol dns //定义匹配dns流量条件

FireWall(config-cmap)#match protocol h323 //定义匹配h323流量条件

FireWall(config-cmap)#match protocol ip //定义匹配ip流量条件

FireWall(config-cmap)#match protocol ipsec //定义匹配ipsec流量条件

FireWall(config-cmap)#match protocol ipv6 //定义匹配ipsec流量条件

FireWall(config-cmap)#match protocol pop3 //定义匹配pop3流量条件

FireWall(config-cmap)#match protocol smtp //定义匹配smtp流量条件

FireWall(config-cmap)#match protocol rtp //定义匹配rtp流量条件

FireWall(config-cmap)#match protocol arp //定义匹配arp流量条件

FireWall(config-cmap)#match protocol ntp //定义匹配ntp流量条件

FireWall(config-cmap)#exit //退出

FireWall(config)#class-map type inspect match-any Internet-To-DMZ //创建Internet网络到DMZ网络的匹配条件名为Internet-To-DMZ

FireWall(config-cmap)#match protocol http //定义匹配http流量条件

FireWall(config-cmap)#match protocol tcp //定义匹配tcp流量条件

FireWall(config-cmap)#exit //退出

FireWall(config)#policy-map type inspect 1 //创建策略1

FireWall(config-pmap)#class type inspect Private-To-Internet //在策略中使用匹配条件Private-To-Internet

FireWall(config-pmap-c)#inspect //定义满足条件时的行为inspect

FireWall(config-pmap-c)#class type inspect class-default //配置默认

FireWall(config-pmap-c)#end //退出

FireWall#conf t

FireWall(config)#policy-map type inspect 2 //创建策略2

FireWall(config-pmap)#class type inspect Internet-To-DMZ //在策略中使用匹配条件Internet-To-DMZ

FireWall(config-pmap-c)#inspect //定义满足条件时的行为inspect

FireWall(config-pmap-c)#class type inspect class-default //配置默认

FireWall(config-pmap-c)#end

FireWall#conf t

FireWall(config-pmap)#zone security PrivateZone //创建安全区域 PrivateZone(私有网络)

FireWall(config-sec-zone)#exit //退出

FireWall(config)#zone security DMZZone //创建安全区域 DMZZone(DMZ网络)

FireWall(config-sec-zone)#exit

FireWall(config)#zone security InternetZone //创建外部安全区域InternetZone

FireWall(config-sec-zone)#exit

FireWall(config)#zone-pair security Private-Internet source PrivateZone destination InternetZone //创建从私有网络到Internet区域之间的区域策略

FireWall(config-sec-zone-pair)#service-policy type inspect 1 //定义区域间的策略应用策略1

FireWall(config-sec-zone-pair)#exit //退出

FireWall(config)#zone-pair security Private-DMZ source PrivateZone destination DMZZone //创建从私有网络到DMZ区域之间的区域策略

FireWall(config-sec-zone-pair)#service-policy type inspect 1 //定义区域间的策略应用策略1

FireWall(config-sec-zone-pair)#exit //退出

FireWall(config)#zone-pair security Internet-DMZ source InternetZone destination DMZZone

//创建从Internet到DMZ区域之间的区域策略

FireWall(config-sec-zone-pair)#service-policy type inspect 2 定义区域间的策略应用策略2

FireWall(config-sec-zone-pair)#exit //退出

FireWall(config)#int fa0/0 //进入接口fa0/0

FireWall(config-if)#ip add 192.168.0.2 255.255.255.0 //配置IP

FireWall(config-if)#zone-member security PrivateZone //把接口划入私有网络区域

FireWall(config-sec-zone-pair)#exit //退出

FireWall(config-if)#no sh //开启接口

FireWall(config-if)#exit //退出

FireWall(config)#int fa0/1 //进入接口fa0/1

FireWall(config-if)#ip add 192.168.1.254 255.255.255.0 //配置IP

FireWall(config-if)#zone-member security DMZZone //把接口划入DMZ网络区域

FireWall(config-if)#no sh //开启接口

FireWall(config-if)#exit //退出

FireWall(config)#int s0/0/0 //进入接口s0/0/0

FireWall(config-if)#ip add 1.1.1.1 255.255.255.0 //配置IP

FireWall(config-if)#zone-member security InternetZone //把接口划入Internet网络区域

FireWall(config-if)#no sh //开启接口

FireWall(config-if)#exit //退出

FireWall(config)#ip rou 0.0.0.0 0.0.0.0 1.1.1.2 //配置默认路由

配置R2路由器：

Router>en

Router#conf t

Router(config)#host R2

R2(config)#int s0/0/0

R2(config-if)#ip add 1.1.1.2 255.255.255.0

R2(config-if)#clock rate 64000

R2(config-if)#no sh

R2(config)#int fa0/0

R2(config-if)#ip add 192.168.2.254 255.255.255.0

R2(config-if)#no sh

R2(config-if)#exit

R2(config)#ip rou 0.0.0.0 0.0.0.0 1.1.1.1

测试网络：

通过配置基于区域的防火墙，可以达到保护内部网络不受外部入侵的要求，可以讲ZFW 是CBAC 的增强版，它的配置更灵活简单，只要合理运用会是一个不错的安全解决方案。

CCNA实验三十八 ZFW(区域防火墙)相关推荐

ArcGIS实验教程——实验三十八：基于ArcGIS的等高线、山体阴影、山顶点提取案例教程
ArcGIS实验视频教程合集:<ArcGIS实验教程从入门到精通>(附配套实验数据)> 文章目录 1. 加载DEM 2. 提取等高距为15m的等高线 3. 提取等高距为75m的等高线 ...
三十八、Fluent融化凝固模型参数设置依据
1. 融化凝固模型概述 1.1 模型原理我们在Chapter37分享了Fluent融化凝固模型案例,前文只是介绍了Fluent中的操作过程. 不知道大家会不会觉得很奇怪,Fluent模拟融化和凝固, ...
[Python从零到壹] 三十八.图像处理基础篇之图像几何变换（平移缩放旋转）
欢迎大家来到"Python从零到壹",在这里我将分享约200篇Python系列文章,带大家一起去学习和玩耍,看看Python这个有趣的世界.所有文章都将结合案例.代码和作者的经验讲 ...
三十八载，Oracle伴我同行—记我的职业成长之路
2015年7月19日三十八载 Oracle伴我同行 --记我的职业成长之路 2015,今年是Oracle公司38周年:2015,今年我已然38岁.在Oracle庆祝38岁生日之际,仅以此文作为回 ...
计算机网络 - 练习（一百三十八）
计算机网络练习(一百三十八) 关于网络安全,以下说法中正确的是(). A. 使用无线传输可以防御网络监听 B. 木马是一种蠕虫病毒 C. 使用防火墙可以有效地防御病毒 D. 冲击波病毒利用 Wind ...
深度学习入门（三十八）计算性能——多GPU训练
深度学习入门(三十八)计算性能--多GPU训练前言计算性能--多GPU训练课件多GPU并行数据并行VS模型并行数据并行总结教材 1 问题拆分 2 数据并行性 3 简单网络 4 数据同步 ...
OpenCV学习笔记（三十六）——Kalman滤波做运动目标跟踪 OpenCV学习笔记（三十七）——实用函数、系统函数、宏core OpenCV学习笔记（三十八）——显示当前FPS OpenC
OpenCV学习笔记(三十六)--Kalman滤波做运动目标跟踪 kalman滤波大家都很熟悉,其基本思想就是先不考虑输入信号和观测噪声的影响,得到状态变量和输出信号的估计值,再用输出信号的估计误差加 ...
Android项目实战（三十八）：2017最新将AndroidLibrary提交到JCenter仓库（图文教程）...
Android项目实战(三十八):2017最新将AndroidLibrary提交到JCenter仓库(图文教程) 原文:Android项目实战(三十八):2017最新将AndroidLibrary ...
JavaScript学习（三十八）—面向过程与面向对象
JavaScript学习(三十八)-面向过程与面向对象一.程序设计语言中的两大编程思想:面向对象.面向过程 (一).面向过程就是指完成某个需求的时候,先分析出完成该需求时所需要经历的步骤有哪些,然 ...

CCNA实验三十八 ZFW(区域防火墙)

CCNA实验三十八 ZFW(区域防火墙)相关推荐

最新文章

热门文章