拓朴图
设备基础配置
# AR1 路由器配置
[Huawei]interface GigabitEthernet0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 1.1.1.2 255.255.255.0
[Huawei]ip route-static 192.168.1.0 255.255.255.0 1.1.1.1# FW1 防火墙配置
[USG6000V1]sysname FW1
[FW1]interface GigabitEthernet1/0/1
[FW1-GigabitEthernet1/0/1]ip address 192.168.1.254 24
[FW1-GigabitEthernet1/0/1]service-manage ping permit
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet1/0/1
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface GigabitEthernet1/0/0
[FW1]interface GigabitEthernet1/0/0
[FW1-GigabitEthernet1/0/0]ip address 1.1.1.1 24
[FW1-GigabitEthernet1/0/0]service-manage ping permit
安全策略配置
1. 策略创建与顺序调整
[FW1]security-policy
[FW1-policy-security]rule name policy1
[FW1-policy-security]rule name policy3
[FW1-policy-security]rule name policy2
# 移动策略顺序:policy2 调整至 policy1 后
[FW1-policy-security]rule move policy2 after policy1
2. 策略规则示例
# 策略 policy1 的详细配置
[FW1-policy-security-rule-policy1]source-address range 192.168.1.0 192.168.1.255
[FW1-policy-security-rule-policy1]destination-address 1.1.1.0 mask 255.255.255.0
[FW1-policy-security-rule-policy1]action permit
数据五元组
| 字段 | 说明 |
|---|---|
| 源IP | 数据包来源地址 |
| 目的IP | 数据包目标地址 |
| 源端口 | 数据包来源端口 |
| 目的端口 | 数据包目标端口 |
| 协议 | 服务类型(如TCP/UDP) |
策略匹配现象观察
策略顺序调整前:
Total:4
RULE ID RULE NAME STATE ACTION HITS
---------------------------------------------------------
1 policy1 enable - 0
2 policy3 enable - 0
3 policy2 enable - 0
0 default enable deny 0
策略顺序调整后:
Total:4
RULE ID RULE NAME STATE ACTION HITS
---------------------------------------------------------
1 policy1 enable - 0
3 policy2 enable - 0
2 policy3 enable - 0
0 default enable deny 0
匹配顺序原则:先配置的策略优先匹配。
状态检测防火墙机制
- 处理流程:
- 首包检测:匹配安全策略后创建会话表。
- 后续报文:直接匹配会话表放行,无需再次检查策略。
- 会话表示例:
dis firewall session table
icmp VPN: public --> public 192.168.1.1:11642 --> 1.1.1.2:2048
- 优先级:
- 会话表 > 安全策略 > 默认拒绝(default deny)。
ASPF应用层包过滤(以FTP为例)
拓朴图
1. FTP双通道工作流程
- 控制通道(端口21):
- 客户端发送请求(源端口随机 → 目的端口21)。
- 数据通道(动态端口如2052):
- 服务器通过控制通道通知客户端数据端口(如2052)。
- 客户端发起数据请求(源端口随机 → 目的端口2052)。
2. 安全策略限制
# 允许外部访问内部FTP服务器
[FW1-policy-security-rule-FTPpolicy1]source-zone untrust
[FW1-policy-security-rule-FTPpolicy1]destination-zone trust
[FW1-policy-security-rule-FTPpolicy1]destination-address 192.168.1.2 32
[FW1-policy-security-rule-FTPpolicy1]service ftp
[FW1-policy-security-rule-FTPpolicy1]action permit
3. ASPF的作用
- 问题:传统策略无法放行动态端口(如2052)。
- 解决方案(作用):ASPF自动解析应用层协议,动态生成会话表项放行数据通道流量。
