“网络工程师培训”基础教程:防火墙基本配置任务列表
防火墙基本配置任务
前面我们零星的介绍了Quidway 系列路由器配置防火墙的相关内容,本页所示为完成防火墙配置的步骤。
在实际的使用中,还可能用到以下的扩展应用:
1.设置防火墙的缺省过滤模式;
2.允许或禁止时间段;
3.设定时间段;
4.允许日志主机;
5.指定日志主机;
6.显示配置状况。
其中,2 和4 均在配置访问列表中设置,1、3、5 和6 由专门的命令完成。
防火墙的属性配置命令
属性命令中,首先是打开防火墙的操作:
firewall {enable | disable}允许/ 禁止防火墙过滤;
其次,是设置防火墙的缺省过滤模式的操作:
firewall default {permit | disable } 缺省方式是禁止还是允许;
缺省过滤模式用以定义对访问列表控制以外的 IP 或者 TCP 等数据包的处理,
Quidway 系列路由器防火墙的默认过滤模式是允许。
用 show firewall 命令可以显示防火墙状态信息。
时间段包过滤
基于时间段,用户可以指定一天 24 小时中的任意时间段为特殊时间段(可以是多个),不在任何特殊时间段的其他时间称为普通时间段。用户在定义访问列表时,可以指定该规则是在特殊时间段还是在普通时间段生效。
时间段包过滤(续)
timerange { enable|disable } 允许 | 禁止时间段
Quidway防火墙默认为禁止时间段。
settr begin-time end-time [ begin-time end-time ...... ] 设置特殊时间段
show isintr 显示当前时间是否在特殊时间段内
show timerange显示配置的时间段
日志功能
日志功能用以记录下所有来犯防火墙的操作信息,在访问列表允许日志功能后,需再配置如下一条命令,以指定日志主机的位置,日志主机可以是一台普通的网络工作站,也可以是专用的服务器,它们之上需运行标准的日志程序,以接收路由器发回的日志记录。
loghost ip-address指定日志主机的IP地址。
用 show loghost 命令可以显示当前日志主机状况。
防火墙配置举例
组网图
某公司通过一台 Quidway 2501路由器的接口Serial0 访问 Internet ,公司内部对外提供 www、ftp 和 telnet 服务,公司内部子网为129.38.1.0,其中,内部 ftp 服务器地址为129.38.1.1,内部 telnet 服务器地址为129.38.1.2,内部 www 服务器地址为129.38.1.3,公司对外地202.38.160.1。在路由器上配置了地址转换,这样内部特定 PC 机(129.38.1.4)可以访问Internet ,外部PC可以访问内部服务器。通过配置防火墙,希望实现以下要求:
外部网络只有特定用户可以访问内部服务器。
内部网络只有特定主机可以访问外部网络。
假定外部特定用户的 IP 地址为202.39.2.3 。
组网需求与配置
参考配置如下:
允许防火墙:
Quidway(config)# firewall enable
设置防火墙缺省过滤方式为允许包通过:
Quidway(config)# firewall default permit
配置访问规则禁止所有包通过:
Quidway(config)# access-list 100 deny ip any any
配置规则允许特定主机(129.38.1.4)访问外部网,允许内部服务器访问外部网:
Quidway(config)# access-list 101 permit ip 129.38.1.4 0 any
Quidway(config)# access-list 101 permit ip 129.38.1.1 0 any
Quidway(config)# access-list 101 permit ip 129.38.1.2 0 any
Quidway(config)# access-list 101 permit ip 129.38.1.3 0 any
配置规则允许特定用户从外部网访问内部服务器:
Quidway(config)# access-list 102 permit tcp 202.39.2.3 0 202.38.160.1 0
配置规则允许特定用户从外部网取得数据(只允许端口号大于1024的包):
Quidway(config) # access-list 102 permit tcp any 202.38.160.1 0 gt 1024
Quidway(config) # access-list normal 102 deny ip any any
将规则100 作用于从接口 Ethernet0 进入的包:
Quidway(config)# interface ethernet 0
Quidway(config-if-Ethernet0)# ip access-group 100 in
将规则101 作用于从接口 Ethernet0 进入的包:
Quidway(config-if-Ethernet0)#ip access-group 101 in
将规则102 作用于从接口 Serial0 进入的包:
Quidway(config-if-Serial0)# ip access-group 102 in
在接口 Serial0上作地址转换:
Quidway(config-if-Serial0)# nat enable
在全局模式下配置 Nat server :
natserver ftphost 129.38.1.1
natserver telnethost 129.38.1.2
natserver wwwhost 129.38.1.3
其他内容如各端口 IP 地址,封装协议等这里不再赘述。