防火墙技术与地址转换

---

前言

防火墙是计算机网络中的一种安全设备或软件功能，旨在监控和控制进出网络的网络流量。其核心目的是保护内部网络免受外部攻击或不必要的访问。防火墙通过设定一系列安全规则，允许或拒绝数据包的传输。

包过滤防火墙：根据数据包的源地址、目标地址和端口号等信息，来决定是否放行。
状态检测防火墙：不仅检查数据包本身，还维护连接的状态，能够识别合法的连接状态。
代理防火墙：通过代理服务器转发请求，从而隐藏内部网络结构，提高安全性。

---

一、四种区域

内部区域（Internal Zone）：
功能：这是组织内部的安全区域。它通常包括企业内部网络，如员工工作站、服务器等。
作用：提供对内部资源的访问和安全控制。防火墙在这一区域内通常会处于较为宽松的安全策略，因为内部流量一般被认为是可信的。

外部区域（External Zone）：
功能：这是公网上的区域，通常代表互联网或其他不受信任的网络。
作用：防火墙严格控制和过滤进入内部网络的流量，以防止外部攻击和未授权访问。安全策略通常非常严格，默认拒绝所有流量。

DMZ（DeMilitarized Zone，非军用区）：
功能：DMZ通常用于放置对外提供服务的设备（如Web服务器、FTP服务器、邮件服务器等）。
作用：通过将这些服务器放置在DMZ中，既可以让外部用户访问这些服务，又可以保护内部网络。防火墙在DMZ和内部网络之间以及DMZ和外部网络之间通常实施不同的安全策略，以增强整体安全性。

Local Zone（本地区域）
防火墙管理的核心区域，通过提供管理接口、策略配置、监控功能以及安全隔离等特点，确保了防火墙的安全、可管理性和高效性。

二、实验拓扑图

在上面实验中192.168.1.0/24网段属于内部网络，192.168.2.0/24网段属于服务区网络，10.0.100.0/24属于外部网络。
实验要求：
内部网络（192.168.1.0/24）必须能够正常访问服务区网络（192.168.2.0/24）并支持FTP文件传输功能。
外部网络（10.0.100.0/24）需要通过NAT（网络地址转换）对内部网络进行IP地址转换，并使用地址池中的IP地址。
安全性保障：服务区网络与外部网络不应能够访问内部网络，以确保内部网络的安全性。

基础配置

配置底层的IP地址与网关
内部网络

指定服务器文件和地址


外部网络

防火墙配置

Username:admin
Password:Admin@1234
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@1234
Please enter new password: Text123456
Please confirm new password: Text123456

配置各接口IP

[FW1]display ip in b
2024-08-15 10:17:40.760 +08:00
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
(d): Dampening Suppressed
(E): E-Trunk down
The number of interface that is UP in Physical is 6
The number of interface that is DOWN in Physical is 4
The number of interface that is UP in Protocol is 6
The number of interface that is DOWN in Protocol is 4Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              192.168.1.254/24     up         up        
GigabitEthernet1/0/0              192.168.2.254/24     up         up        
GigabitEthernet1/0/1              10.0.100.254/24      up         up        
GigabitEthernet1/0/2              192.168.10.252/24    up         up        
GigabitEthernet1/0/3              unassigned           down       down      
GigabitEthernet1/0/4              unassigned           down       down      
GigabitEthernet1/0/5              unassigned           down       down      
GigabitEthernet1/0/6              unassigned           down       down      
NULL0                             unassigned           up         up(s)     
Virtual-if0                       unassigned           up         up(s)     

划分区域

#
firewall zone trust        ##信任区域set priority 85add interface GigabitEthernet0/0/0
#
firewall zone untrust      ##非信任区域set priority 5add interface GigabitEthernet1/0/1
#
firewall zone dmz          ##军事化区域set priority 50add interface GigabitEthernet1/0/0
#

创建相关策略、NAT策略与NAT地址池

#
security-policyrule name trust-dmzsource-zone trustdestination-zone dmzsource-address 192.168.1.0 mask 255.255.255.0destination-address 192.168.2.0 mask 255.255.255.0service ftp            ##指定了 FTP（文件传输协议）服务。action permit          ##这部分表示允许（permit）对指定服务的访问。rule name trust-untrustsource-zone trustdestination-zone untrustsource-address 192.168.1.0 mask 255.255.255.0destination-address 10.0.100.0 mask 255.255.255.0action permit
#
nat-policyrule name NATdescription 内网地址访问公网指定地址source-zone trustdestination-zone untrustsource-address 192.168.1.0 mask 255.255.255.0action source-nat address-group NAT_POOL  ##表示使用一个名为 NAT_POOL 的地址组来进行地址转换。
#
nat address-group NAT_POOL 0mode patsection 0 10.0.100.252 10.0.100.253
#

测试结果

在客户端尝试登录FTP服务器


通过PC1访问外网

发现源地址变成了地址池内的IP地址访问的外网。

---