华为防火墙配置安全策略

小乔

包过滤是最基本的防火墙功能，可以用来实现最简单的访问控制功能。通过配置相应的安全策略，可以实现控制不同主机在不同时间段对外部Internet的访问行为。

组网需求
USG部署在某公司的出口，公司内的网络设备主要分为员工PC和服务器两种。该公司希望对员工访问外部Internet的权限及访问时间段实行差异化控制管理，组网需求如下：
部分特殊员工可以拥有不受时限访问外部Internet的权限。
部分特殊员工可以拥有在特定时间段内访问外部Internet的权限。例如，每天中午12：00–14：00可以访问外部Internet。
除特殊员工外的所有员工都不能访问Internet。
员工之间可以相互访问。
所有员工都可以访问公司的所有服务器。
外部Internet网络上的任何主机都可以访问公司的FTP服务器和Web服务器。


配置思路
1开启所有域间缺省包过滤，以保证配置过程中业务不会中断。
2根据网络规划为USG分配接口IP地址，并将接口加入相应的安全区域。
3创建policy策略，对两类可以访问外部Internet的特殊员工进行区分。再配置域间NAT策略，使特殊员工可以使用公网地址访问外部Internet。
4配置域间包过滤，允许外网用户主机访问公司的FTP服务器和Web服务器。配置NAT Server功能，使服务器能够正常对外提供服务。
5最后关闭不需要的域间缺省包过滤。


操作步骤
1 打开所有域间缺省包过滤。
<USG> system-view
[USG] firewall packet-filter default permit all
说明：
配置包过滤的整体原则：先打开所有域间缺省包过滤，保证网络通信正常。然后根据需求配置相应域间的严格包过滤，再检查配置是否正确，最后根据网络情况逐个关闭不需要开放的域间缺省包过滤。
2 配置各个接口的IP地址，并划入相应的安全区域。
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0] ip address 192.168.1.1 24
[USG-GigabitEthernet0/0/0] quit
[USG] interface GigabitEthernet 0/0/1                 
[USG-GigabitEthernet0/0/1] ip address 10.1.1.1 24
[USG-GigabitEthernet0/0/1] quit
[USG] interface GigabitEthernet 0/0/2                 
[USG-GigabitEthernet0/0/2] ip address 1.1.1.1 24
[USG-GigabitEthernet0/0/2] quit
[USG] firewall zone trust                                               
[USG-zone-trust] add interface GigabitEthernet 0/0/0
[USG-zone-trust] quit
[USG] firewall zone dmz                                               
[USG-zone-dmz] add interface GigabitEthernet 0/0/1
[USG-zone-dmz] quit
[USG] firewall zone untust                                               
[USG-zone-untrust] add interface GigabitEthernet 0/0/2
[USG-zone-untrust] quit

3 配置一条Trust与Local域之间的policy，用于定义设备管理员访问USG的流量，使设备管理员可以远程登录设备进行配置。这里包过滤的方向选为inbound，因为管理员所在Trust区域的优先级比Local区域低。
[USG] policy interzone trust local inbound
[USG-policy-interzone-local-trust-inbound] policy 0
[USG-policy-interzone-local-trust-inbound-0] policy source 192.168.1.2 0
[USG-policy-interzone-local-trust-inbound-0] action permit
[USG-policy-interzone-local-trust-inbound-0] quit
[USG-policy-interzone-local-trust-inbound] quit

4 配置域间策略和NAPT功能，使特殊员工可以按照策略访问外部Internet。

# 配置一个地址集s_employee1，指定不受时限访问外部Internet的特殊员工的IP地址范围；再配置一个地址集s_employee2，指定可在特定时间段访问外部Internet的特殊员工的IP地址范围，这些员工可以在每天12：00到14：00间访问外部Internet。然后为这两个地址集分别创建一条Trust和Untrust域间的policy，允许地址集范围内的员工按照策略访问Untrust区域，以此完成对特殊员工的放行。在Trust和Untrust域间配置NAT ALG功能，使内网用户能够正常访问外网中的FTP服务。
[USG] ip address-set s_employee1 type object
[USG-object-address-set-s_employee1] address range 192.168.1.10 192.168.1.50
[USG-object-address-set-s_employee1] quit
[USG] policy interzone trust untrust outbound
[USG-policy-interzone-trust-untrust-outbound] policy 0
[USG-policy-interzone-trust-untrust-outbound-0] policy source address-set s_employee1
[USG-policy-interzone-trust-untrust-outbound-0] action permit
[USG-policy-interzone-trust-untrust-outbound-0] quit
[USG-policy-interzone-trust-untrust-outbound] quit
[USG] ip address-set s_employee2 type object
[USG-object-address-set-s_employee2] address range 192.168.1.51 192.168.1.100
[USG-object-address-set-s_employee2] quit
[USG] time-range a1 12:00 to 14:00 daily
[USG] policy interzone trust untrust outbound
[USG-policy-interzone-trust-untrust-outbound] policy 1
[USG-policy-interzone-trust-untrust-outbound-1] policy time-range a1
[USG-policy-interzone-trust-untrust-outbound-1] policy source address-set s_employee2
[USG-policy-interzone-trust-untrust-outbound-1] action permit
[USG-policy-interzone-trust-untrust-outbound-1] quit
[USG-policy-interzone-trust-untrust-outbound] quit
[USG] firewall interzone trust untrust                                 
[USG-interzone-trust-untrust] detect ftp
[USG-interzone-trust-untrust] quit
# 创建Trust和Untrust的域间NAT策略，确定NAT转换的源地址范围，并将其与NAT地址池address–group1进行绑定。
[USG] nat address-group 1 1.1.1.3 1.1.1.6
[USG] nat-policy interzone trust untrust outbound
[USG-nat-policy-interzone-trust-untrust-outbound] policy 0
[USG-nat-policy-interzone-trust-untrust-outbound-0] policy source 192.168.1.0 0.0.0.255
[USG-nat-policy-interzone-trust-untrust-outbound-0] action source-nat
[USG-nat-policy-interzone-trust-untrust-outbound-0] address-group 1
[USG-nat-policy-interzone-trust-untrust-outbound-0] quit
[USG-nat-policy-interzone-trust-untrust-outbound] quit

5 配置域间策略和NAT Server功能，使两台服务器可以正常对外提供服务。
# 配置DMZ和Untrust的域间包过滤，使Untrust区域的主机可以访问DMZ区域中地址为10.1.1.2和10.1.1.3的两台服务器。规则中只限制报文的目的地址，这样可以保证任意主机都能访问。同时由于限定了目的地址，所以外网主机也只能访问这两个服务器，而不能访问DMZ区域内的其他服务器。这就是为什么不直接将Untrust和DMZ区域的缺省包过滤改为允许，而使用policy放行的原因。
[USG] policy interzone dmz untrust inbound
[USG-policy-interzone-dmz-untrust-inbound] policy 0
[USG-policy-interzone-dmz-untrust-inbound-0] policy destination 10.1.1.2 0
[USG-policy-interzone-dmz-untrust-inbound-0] policy service service-set ftp
[USG-policy-interzone-dmz-untrust-inbound-0] action permit
[USG-policy-interzone-dmz-untrust-inbound-0] quit
[USG-policy-interzone-dmz-untrust-inbound] policy 1
[USG-policy-interzone-dmz-untrust-inbound-1] policy destination 10.1.1.3 0
[USG-policy-interzone-dmz-untrust-inbound-1] policy service service-set http
[USG-policy-interzone-dmz-untrust-inbound-1] action permit
[USG-policy-interzone-dmz-untrust-inbound-1] quit
[USG-policy-interzone-dmz-untrust-inbound] quit
# 创建两台内网服务器公网IP地址与私网IP地址的映射关系，并在DMZ和Untrust域间配置NAT ALG功能，使服务器能够正常对外提供FTP服务。
[USG] nat server protocol tcp global 1.1.1.2 ftp inside 10.1.1.2 ftp
[USG] nat server protocol tcp global 1.1.1.2 www inside 10.1.1.3 8080
[USG] firewall interzone dmz untrust
[USG-interzone-dmz-untrust] detect ftp
[USG-interzone-dmz-untrust] quit

6请根据网络情况逐个关闭已配置严格包过滤的域间缺省包过滤。在逐个关闭期间，请关注网络是否能够正常通信。如果关闭某个域间缺省包过滤后，正常业务受到影响，请重新打开该域间缺省包过滤，并检查和修改包过滤的配置。
[USG] firewall packet-filter default deny interzone local trust
[USG] firewall packet-filter default deny interzone trust untrust
[USG] firewall packet-filter default deny interzone dmz untrust

7 在USG以及与USG相连的网络设备上正确配置路由协议，使外网设备可以正确生成到达内部服务器的路由信息，也使USG可以正确生成外网的路由信息。


结果验证
1 为管理员的主机配置静态IP地址192.168.1.2，使用管理员的主机ping设备内网接口的IP地址192.168.1.1/24：
如果可以ping通，说明Trust至Local域间的包过滤配置成功。
如果不能ping通，请按下列各项依次进行检查。
a设备与内网主机之间的链路连通性。
b设备内网接口的IP地址和安全区域配置。
cTrust与Local域间的包过滤规则。
如果管理员的主机可以ping通设备内网接口，说明内网环境没有问题。可以进行下一步验证。

2 为内网不受时限访问互联网的特殊员工PC配置静态IP地址和缺省网关，然后使用这些PC访问Internet网站：
如果可以访问成功，说明Trust区域至Untrust区域的包过滤配置成功。
如果不能访问，则可能的原因如下所示。
设备尚未成功接入互联网。
NAT配置有误。
上行接口的IP地址、安全区域配置有误。
对于只能在特定时间段内访问互联网的特殊员工PC，验证方法如下：
如果在策略设计的时间段内进行结果验证，则验证过程与上述不受时限的PC验证过程一致。只是如果这些PC不能访问Internet网站，则可能的原因还包括一条，即策略设计的时间段配置有误。
如果不在预设的时间段内进行验证，则显然这些内网PC是无法访问互联网的。但是，此时可以验证这些内网PC是否可达设备，因为设备与外部Internet是互通的，所以如果可达设备即代表可达外部Internet。如果不可达设备，则可能的原因为设备接口的IP地址、安全区域配置有误。

3 为内网普通员工PC配置静态IP地址后，访问公司服务器。
如果可以成功访问，则说明Trust区域至DMZ区域的包过滤配置成功。
如果不能，请按下列各项依次进行检查。
  aTrust区域与DMZ区域的链路连通性。
  b DMZ区域接口的IP地址和安全区域配置。
  c服务器是否能正常提供服务。

4 从外网访问公司服务器。
如果可以访问成功，则说明DMZ区域和Untrust区域的包过滤配置成功。
如果不能，请按下列各项依次进行检查。
a设备是否成功接入互联网。
b外网接口的IP地址和安全区域配置。
cDMZ和Untrust区域之间的包过滤配置。
d检查NAT功能的配置是否正确，以及是否配置了NAT ALG功能。

jasonzhan3151

misaka1

Thank you for sharing!

qinatsh

感谢分享~~