Güvenlik duvarı fonksiyonları ve özellikleri
1. Genel yapılandırma ayarları.
Cihazların ip addresslerini yapılandıralım.
<Huawei>system-viewEnter system view, return user view with Ctrl+Z.[Huawei]sysname CLIGURU-R1[CLIGURU-R1]interface GigabitEthernet 0/0/1[CLIGURU-R1-GigabitEthernet0/0/1]ip address 10.0.10.1 24[CLIGURU-R1-GigabitEthernet0/0/1]interface loopback 0[CLIGURU-R1-LoopBack0]ip address 10.0.1.1 24 |
<Huawei>system-viewEnter system view, return user view with Ctrl+Z.[Huawei]sysname CLIGURU-R2[CLIGURU-R2]interface GigabitEthernet 0/0/1[CLIGURU-R2-GigabitEthernet0/0/1]ip address 10.0.20.1 24[CLIGURU-R2-GigabitEthernet0/0/1]interface loopback 0[CLIGURU-R2-LoopBack0]ip address 10.0.2.2 24 |
Firewall layer2 switchlerde , IP adresi ile konfigüre edilemez. Firewall üzerinde VLAN 12 oluşturalım ve VLANIF 12 oluşturalım. Trust bölgenin gateway addressini ve VLANIF 12’nin IP adresini yapılandıralım.
Default olarak, firewall VLANIF 1 için bir IP adresi yapılandırır. Karışıklığı önlemek için, VLANIF 1 yapılandırmasını silelim.
[SRG]sysname FW[FW]vlan 12[FW]interface Vlanif 12[FW-Vlanif12]ip address 10.0.20.254 24[FW]interface GigabitEthernet 0/0/1[FW-GigabitEthernet0/0/1]port access vlan 12[FW]interface GigabitEthernet 0/0/0[FW-GigabitEthernet0/0/0]ip address 10.0.10.254 24[FW]undo interface Vlanif 1 |
CLIGURU-S1 cihazında vlanları interfacelere ekleyelim.
<Huawei>system-viewEnter system view, return user view with Ctrl+Z.[Huawei]sysname CLIGURU-S1[CLIGURU-S1]vlan batch 11 12[CLIGURU-S1]interface GigabitEthernet 0/0/1[CLIGURU-S1-GigabitEthernet0/0/1]port link-type access[CLIGURU-S1-GigabitEthernet0/0/1]port default vlan 11[CLIGURU-S1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2[CLIGURU-S1-GigabitEthernet0/0/2]port link-type access[CLIGURU-S1-GigabitEthernet0/0/2]port default vlan 12[CLIGURU-S1-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/21[CLIGURU-S1-GigabitEthernet0/0/21]port link-type access[CLIGURU-S1-GigabitEthernet0/0/21]port default vlan 11[CLIGURU-S1-GigabitEthernet0/0/21]interface GigabitEthernet 0/0/22[CLIGURU-S1-GigabitEthernet0/0/22]port link-type access[CLIGURU-S1-GigabitEthernet0/0/22]port default vlan 12 |
FW bağlantısını kontrol edelim.
[FW]ping 10.0.10.116:09:32 2015/03/24PING 10.0.10.1: 56 data bytes, press CTRL_C to breakReply from 10.0.10.1: bytes=56 Sequence=1 ttl=255 time=60 msReply from 10.0.10.1: bytes=56 Sequence=2 ttl=255 time=50 msReply from 10.0.10.1: bytes=56 Sequence=3 ttl=255 time=450 msReply from 10.0.10.1: bytes=56 Sequence=4 ttl=255 time=80 msReply from 10.0.10.1: bytes=56 Sequence=5 ttl=255 time=50 ms— 10.0.10.1 ping statistics —5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 50/138/450 ms |
<FW>ping 10.0.20.116:40:46 2015/03/25PING 10.0.20.1: 56 data bytes, press CTRL_C to breakReply from 10.0.20.1: bytes=56 Sequence=1 ttl=255 time=100 msReply from 10.0.20.1: bytes=56 Sequence=2 ttl=255 time=120 msReply from 10.0.20.1: bytes=56 Sequence=3 ttl=255 time=110 msReply from 10.0.20.1: bytes=56 Sequence=4 ttl=255 time=110 msReply from 10.0.20.1: bytes=56 Sequence=5 ttl=255 time=60 ms— 10.0.20.1 ping statistics —5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 60/100/120 ms |
<FW>ping 10.0.30.116:41:02 2015/03/25PING 10.0.30.1: 56 data bytes, press CTRL_C to breakReply from 10.0.30.1: bytes=56 Sequence=1 ttl=255 time=80 msReply from 10.0.30.1: bytes=56 Sequence=2 ttl=255 time=80 msReply from 10.0.30.1: bytes=56 Sequence=3 ttl=255 time=40 msReply from 10.0.30.1: bytes=56 Sequence=4 ttl=255 time=60 msReply from 10.0.30.1: bytes=56 Sequence=5 ttl=255 time=120 ms— 10.0.30.1 ping statistics —5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 40/76/120 ms |
CLIGURU-R1 ,CLIGURU-R2 ve CLIGURU-R3 cihazları için default route yazalım.Loopback interfaceler için bağlı olduğu networkler arasındaki iletişimi sağlamak için FW statik olarak yapılandıralım.
[CLIGURU-R1]ip route-static 0.0.0.0 0 10.0.10.254 |
[CLIGURU-R2]ip route-static 0.0.0.0 0 10.0.20.254 |
[CLIGURU-R3]ip route-static 0.0.0.0 0 10.0.30.254 |
[FW]ip route-static 10.0.1.0 24 10.0.10.1[FW]ip route-static 10.0.2.0 24 10.0.20.1[FW]ip route-static 10.0.3.0 24 10.0.30.1 |
Loopback lerin arasındaki bağlantıları kontrol edelim.
[CLIGURU-R1]ping -a 10.0.1.1 10.0.2.2PING 10.0.2.2: 56 data bytes, press CTRL_C to breakReply from 10.0.2.2: bytes=56 Sequence=1 ttl=254 time=3 msReply from 10.0.2.2: bytes=56 Sequence=2 ttl=254 time=3 msReply from 10.0.2.2: bytes=56 Sequence=3 ttl=254 time=4 msReply from 10.0.2.2: bytes=56 Sequence=4 ttl=254 time=2 msReply from 10.0.2.2: bytes=56 Sequence=5 ttl=254 time=3 ms— 10.0.2.2 ping statistics —5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 2/3/4 ms |
[CLIGURU-R1]ping -a 10.0.1.1 10.0.3.3PING 10.0.3.3: 56 data bytes, press CTRL_C to breakReply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=4 msReply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=4 msReply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=3 msReply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=4 msReply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=4 ms— 10.0.3.3 ping statistics —5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 3/3/4 ms |
Default olarak, firewall’da dört güvenlik bölgesi bulunmaktadır. Bunlar local, trusted, untrusted ve DMZ bölgeleridir. Bu konfigürasyonda trust ,untrust ve DMZ bölgelerini yapılandırıp interfacele uygulayacagız.
[FW]firewall zone dmz[FW-zone-dmz]add interface Ethernet 2/0/0[FW-zone-dmz]firewall zone trust[FW-zone-trust]add interface Vlanif 12[FW-zone-trust]firewall zone untrust[FW-zone-untrust]add interface Ethernet 0/0/0 |
Default olarak, tüm bölgeler arasında iletişim normaldir. Bu nedenle iletişimin kontrol edilmesi gerekli değildir.
packet-filter in public:local -> trust :inbound : default: permit; || IPv6-acl: nulloutbound : default: permit; || IPv6-acl: nulllocal -> untrust :inbound : default: permit; || IPv6-acl: nulloutbound : default: permit; || IPv6-acl: nulllocal -> dmz :inbound : default: permit; || IPv6-acl: nulloutbound : default: permit; || IPv6-acl: nulltrust -> untrust :inbound : default: permit; || IPv6-acl: null[FW]dis firewall packet-filter default all10:28:18 2011/12/24Firewall default packet-filter action is :outbound : default: permit; || IPv6-acl: nulltrust -> dmz :inbound : default: permit; || IPv6-acl: nulloutbound : default: permit; || IPv6-acl: nulldmz -> untrust :inbound : default: permit; || IPv6-acl: nulloutbound : default: permit; || IPv6-acl: nullpacket-filter between VFW: |
Yukarıdaki bilgiler tüm güvenlik bölgeleri, her yöne paketlerinin geçmesine izin verdiğini göstermektedir.
Güvenlik bölgeleri arasındaki bağlantıları kontrol edelim.
Untrust dan trusta :
<CLIGURU-R1>ping -a 10.0.1.1 10.0.2.2PING 10.0.2.2: 56 data bytes, press CTRL_C to breakReply from 10.0.2.2: bytes=56 Sequence=1 ttl=254 time=3 msReply from 10.0.2.2: bytes=56 Sequence=2 ttl=254 time=3 msReply from 10.0.2.2: bytes=56 Sequence=3 ttl=254 time=3 msReply from 10.0.2.2: bytes=56 Sequence=4 ttl=254 time=3 msReply from 10.0.2.2: bytes=56 Sequence=5 ttl=254 time=3 ms— 10.0.2.2 ping statistics —5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 3/3/3 ms |
Untrust dan DMZe:
<CLIGURU-R1>ping -a 10.0.1.1 10.0.3.3PING 10.0.3.3: 56 data bytes, press CTRL_C to breakReply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=5 msReply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=3 msReply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=3 msReply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=4 msReply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=3 ms— 10.0.3.3 ping statistics —5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 3/3/5 ms |
Trust dan untrusta:
<CLIGURU-R2>ping -a 10.0.2.2 10.0.1.1PING 10.0.1.1: 56 data bytes, press CTRL_C to breakReply from 10.0.1.1: bytes=56 Sequence=1 ttl=254 time=3 msReply from 10.0.1.1: bytes=56 Sequence=2 ttl=254 time=3 msReply from 10.0.1.1: bytes=56 Sequence=3 ttl=254 time=3 msReply from 10.0.1.1: bytes=56 Sequence=4 ttl=254 time=3 msReply from 10.0.1.1: bytes=56 Sequence=5 ttl=254 time=3 ms— 10.0.1.1 ping statistics —5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 3/3/3 ms |
Trustdan DMZe:
<CLIGURU-R2>ping -a 10.0.2.2 10.0.3.3PING 10.0.3.3: 56 data bytes, press CTRL_C to breakReply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=5 msReply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=3 msReply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=3 msReply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=4 msReply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=3 ms— 10.0.3.3 ping statistics —5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 3/3/5 ms |
DMZ’ten untrusta:
<CLIGURU-R3>ping -a 10.0.3.3 10.0.1.1PING 10.0.1.1: 56 data bytes, press CTRL_C to breakReply from 10.0.1.1: bytes=56 Sequence=1 ttl=254 time=3 msReply from 10.0.1.1: bytes=56 Sequence=2 ttl=254 time=3 msReply from 10.0.1.1: bytes=56 Sequence=3 ttl=254 time=3 msReply from 10.0.1.1: bytes=56 Sequence=4 ttl=254 time=3 msReply from 10.0.1.1: bytes=56 Sequence=5 ttl=254 time=3 ms— 10.0.1.1 ping statistics —5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 3/3/3 ms |
DMZ’ten trusta:
<CLIGURU-R3>ping -a 10.0.3.3 10.0.2.2PING 10.0.2.2: 56 data bytes, press CTRL_C to breakReply from 10.0.2.2: bytes=56 Sequence=1 ttl=254 time=5 msReply from 10.0.2.2: bytes=56 Sequence=2 ttl=254 time=3 msReply from 10.0.2.2: bytes=56 Sequence=3 ttl=254 time=3 msReply from 10.0.2.2: bytes=56 Sequence=4 ttl=254 time=4 msReply from 10.0.2.2: bytes=56 Sequence=5 ttl=254 time=3 ms— 10.0.2.2 ping statistics —5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 3/3/5 ms |
2. Interzone paket filtreleme yapılandıralım.
Paket filtreleme politikası güvenlik bölgeleri arasında paket iletimini kontrol eder.Paket filtreleme yapılandırması çoğu cihazlarin fonksiyonlarını etkiler. Default olarak paketlerin diğer güvenlik bölgelerine sadece gönderilmesini trust bölgesi sağlar, paket filtreleme politikasını yapılandıralım.
[FW]firewall packet-filter default deny all[FW]firewall packet-filter default permit interzone trust untrust direction outbound[FW]firewall packet-filter default permit interzone trust dmz direction outbound[FW]firewall session link-state check |
Güvenlik bölgeleri arasındaki bağlantıları kontrol edelim.
Untrus’dan trusta:
[CLIGURU-R1]ping -a 10.0.1.1 10.0.2.2PING 10.0.2.2: 56 data bytes, press CTRL_C to breakRequest time outRequest time outRequest time outRequest time outRequest time out— 10.0.2.2 ping statistics —5 packet(s) transmitted0 packet(s) received100.00% packet loss |
Untrus’dan DMZe:
[CLIGURU-R1]ping -a 10.0.1.1 10.0.3.3PING 10.0.3.3: 56 data bytes, press CTRL_C to breakRequest time outRequest time outRequest time outRequest time outRequest time out— 10.0.3.3 ping statistics —5 packet(s) transmitted0 packet(s) received100.00% packet loss |
Trust’dan untrusta:
[CLIGURU-R2]ping -a 10.0.2.2 10.0.1.1PING 10.0.1.1: 56 data bytes, press CTRL_C to breakReply from 10.0.1.1: bytes=56 Sequence=1 ttl=254 time=3 msReply from 10.0.1.1: bytes=56 Sequence=2 ttl=254 time=3 msReply from 10.0.1.1: bytes=56 Sequence=3 ttl=254 time=3 msReply from 10.0.1.1: bytes=56 Sequence=4 ttl=254 time=3 msReply from 10.0.1.1: bytes=56 Sequence=5 ttl=254 time=3 ms— 10.0.1.1 ping statistics —5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 3/3/3 ms |
Trust’dan DMZe:
[CLIGURU-R2]ping -a 10.0.2.2 10.0.3.3PING 10.0.3.3: 56 data bytes, press CTRL_C to breakReply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=5 msReply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=3 msReply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=3 msReply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=4 msReply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=3 ms— 10.0.3.3 ping statistics —5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 3/3/5 ms |
DMZ’den untrusta:
[CLIGURU-R3]ping -a 10.0.3.3 10.0.1.1PING 10.0.1.1: 56 data bytes, press CTRL_C to breakRequest time outRequest time outRequest time outRequest time outRequest time out— 10.0.1.1 ping statistics —5 packet(s) transmitted0 packet(s) received100.00% packet loss |
DMZ’den trusta:4
[CLIGURU-R3]ping -a 10.0.3.3 10.0.2.2PING 10.0.2.2: 56 data bytes, press CTRL_C to breakRequest time outRequest time outRequest time outRequest time outRequest time out— 10.0.2.2 ping statistics —5 packet(s) transmitted0 packet(s) received100.00% packet loss |
Paketlerin DMZ bölgesinden, untrust bölgeye gönderilmesini sağlayan interzone paket filtreleme politikasını yapılandıralım.
Sunucusunun IP adresi 10.0.3.3. Untrust bölgede Telnet etkinleştirelim. Bağlantı testleri için ICMP ping etkinleştirelim.
[FW]policy interzone dmz untrust inbound[FW-policy-interzone-dmz-untrust-inbound]policy 1[FW-policy-interzone-dmz-untrust-inbound-1]policy service service-set icmp[FW-policy-interzone-dmz-untrust-inbound-1]policy destination 10.0.3.3 0[FW-policy-interzone-dmz-untrust-inbound-1]action permit[FW-policy-interzone-dmz-untrust-inbound-1]quit[FW-policy-interzone-dmz-untrust-inbound]policy 2[FW-policy-interzone-dmz-untrust-inbound-2]policy service service-set telnet[FW-policy-interzone-dmz-untrust-inbound-2]policy destination 10.0.3.3 0[FW-policy-interzone-dmz-untrust-inbound-2]action permit[FW-policy-interzone-dmz-untrust-inbound-2]quit[FW-policy-interzone-dmz-untrust-inbound]policy 3[FW-policy-interzone-dmz-untrust-inbound-3]action deny |
Telnet testleri için CLIGURU-R3 cihazında Telneti etkinleştirelim.
[CLIGURU-R3]user-interface vty 0 4[CLIGURU-R3-ui-vty0-4]authentication-mode none |
Konfigürasyonu control edelim.
<CLIGURU-R1>ping 10.0.3.3PING 10.0.3.3: 56 data bytes, press CTRL_C to breakReply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=3 msReply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=2 msReply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=2 msReply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=4 msReply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=2 ms— 10.0.3.3 ping statistics —5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 2/2/4 ms |
<CLIGURU-R1>ping 10.0.30.1PING 10.0.30.1: 56 data bytes, press CTRL_C to breakRequest time outRequest time outRequest time outRequest time outRequest time out— 10.0.30.1 ping statistics —5 packet(s) transmitted0 packet(s) received100.00% packet loss |
<CLIGURU-R1>telnet 10.0.3.3Press CTRL_] to quit telnet modeTrying 10.0.3.3 …Connected to 10.0.3.3 …<CLIGURU-R3>quitConfiguration console exit, please retry to log onThe connection was closed by the remote host<CLIGURU-R1>telnet 10.0.30.3Press CTRL_] to quit telnet modeTrying 10.0.30.3 … |
Blacklists konfigürasyonu.
Bir blacklist identifies hızla belirli IP adreslerine sahip kullanıcıların filtrelemek için IP adreslerini ve maç girişlerini tanımlar. Blacklist dinamik olarak eklenir veya silinebilir. Paket filtreleme ile karşılaştırıldığında, blacklist girişleri maçları ve hızlı kullanıcıları filtreler ve daha az sistem kaynağı tüketir.
Bir cihaz kullanıcıya güvenilmediği düşünürse, cihaz Blacklists IP adresini ekler. Olan kaynak IP adresi Blacklists IP adresi bir paket aldıktan sonra, cihaz ağınızı korumak için paketi atar.
Aşağıdaki birden fazla IP adresleri sürekli kurumsal ağ güvenilmeyen bölgesinde arayüzleri tarama varsayar. Sen önleyici tedbirler almak gerekir.
IP adresi 10.0.111.1 birden saldırıları başlattı. Bu IP adresinden gönderilen paketleri filtrelemek gerekiyor.
Bir saldırı simülasyonu için CLIGURU-R1 üzerinde bir geri döngü arabirimi oluşturun. Güvenlik duvarı için statik bir yol yapılandıralım.
[CLIGURU-R1]int LoopBack 1[CLIGURU-R1-LoopBack1]ip address 10.0.111.1 24 |
[FW]ip route-static 10.0.111.0 24 10.0.10.1 |
Port tarama( scanning)karşı savunma etkinleştirin. Port tarama saldırıları üzerine test sonuçları otomatik olarak blackliste alınır.
[FW]firewall defend port-scan enable
Tarama hızı 5000 pps olarak ayarlayalım. Eşik bir kaynak IP adresi, hedef port gönderilecek olan IP paketlerini değiştirir hızını belirler. Oranı yüksek ise, kaynak IP adresi, hedef IP adresi tüm portları yüksek bir olasılıkla tarıyor olur.
[FW]firewall defend port-scan max-rate 5000 |
Blacklist zaman aşımı süresini 30 dakika olarak ayarlayalım. Dinamik olarak oluşturulan blacklist 30 dakika sonra silinir.
[FW]firewall defend port-scan blacklist-timeout 30 |
Statik bir blacklist oluşturmadan önce, CLIGURU-R3 üzerinde loopback ile IP adresi 10.0.111.1 loopback arayüzü ile iletişimi saglanmalı.
Bağlantıyı kontrol edelim.
[CLIGURU-R1]ping -a 10.0.111.1 10.0.3.3PING 10.0.3.3: 56 data bytes, press CTRL_C to breakReply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=4 msReply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=3 msReply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=3 msReply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=3 msReply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=3 ms— 10.0.3.3 ping statistics —5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 3/3/4 ms |
Statik bir blacklist oluşturalım ve blackliste 10.0.111.1 ipisini ekleyelim. Firewall , önce bu IP adresinden gönderilen IP adresini atar paketleri manually olarak temizler.
[FW]firewall blacklist enable[FW]firewall blacklist item 10.0.111.1 |
Bağlantıyı kontrol edelim.
[CLIGURU-R1]ping -a 10.0.111.1 10.0.3.3PING 10.0.3.3: 56 data bytes, press CTRL_C to breakRequest time outRequest time outRequest time outRequest time outRequest time out— 10.0.3.3 ping statistics —5 packet(s) transmitted0 packet(s) received100.00% packet loss |
3. ASPF konfigürasyonu.
Multi-channel protokolleri ve NAT uygulamalar arasında önemli bir yardım olarak kullanılan Uygulamaya Özel Paket Filtreleme (ASPF) fonksiyonudur.
ASPF dış kullanıcılara FTP ve TFTP hizmetleri sağlamak için intranet izin verir ve onlar extranet üzerinde web sunucuları eriştiğinizde riskli kontrolleri indirirken gelen intranet kullanıcıları engeller.
FTPve TFTP kurumsalhizmetlerinin yanı sıra,intranetkullanıcılarınextranetweb sayfalarına erişmekgerekir.Risklijavadenetimleribuweb sayfalarındabulunabilir. FTPönceden tanımlanmış birprotokoldür.Güvenlik bölgelerindeFTPpaketlerin düzgün iletilebilmesi için cihazlar detectftpfonksiyonu uygulanır.
Triplet ASPF etkindir , sadece TFTP paketleri, iletilebilir.
İki ACL oluşturalım. ACL 2001, extranet üzerinde web sunucuları ,intranet göndermek ve riskli kontrolleri engellemek için kullanılan, trafik eşleştiğini ve trafik kurallarını görüntülemek için tanımlayalım.
[FW]acl 2001[FW-acl-basic-2001]rule permit source 10.0.2.0 0.0.0.255[FW-acl-basic-2001]quit |
ACL 3001 intranet üzerinde TFTP sunucusuna gönderilen trafik kurallarını tanımlar. TFTP hizmetleri, kullanıcı tanımlı port numarası gerektirir.Bunun için ayrı bir ACL oluşturun.
[FW]acl 3001[FW-acl-adv-3001]rule permit udp destination-port eq tftp[FW-acl-adv-3001]quit |
FTP paketlerine yönlendirme uygulamak için Interzone FTP hizmetlerini algıla. TFTP paketlerinin doğru yönlendirme uygulamak için kullanıcı tanımlayalımve komutunu çalıştıralım.
[FW]firewall interzone trust dmz[FW-interzone-trust-dmz]detect ftp[FW-interzone-trust-dmz]detect user-defined 3001 outbound[FW-interzone-trust-dmz]quit |
Riskli java kontrollerini önlemekiçin detect java-blocking komutunu çalıştıralım .
[FW]firewall interzone trust untrust[FW-interzone-trust-untrust]detect java-blocking 2001 outbound[FW-interzone-trust-untrust]quit |
ASPF işlevi bazı özel protokoller paketleri düzgün iletilir ,belirler. Bir istisna özel bir protokol hizmetleri oluştuğunda, aşağıdaki yöntemle sorunu bulun:
Interzone yapılandırmayı görüntülemek için display interzone komutunu çalıştırıp, ASPF yapılandırmasını doğrulayalım.
[FW]display interzone15:42:11 2011/12/25interzone trust untrustdetect java-blocking 2001 outbound#interzone trust dmzdetect ftpdetect user-defined 3001 outbound# |
FİNAL CONFIGURATION
[CLIGURU-R1]display current-configuration[V200R001C00SPC200]#sysname CLIGURU-R1#interface GigabitEthernet0/0/1ip address 10.0.10.1 255.255.255.0#interface LoopBack0ip address 10.0.1.1 255.255.255.0#interface LoopBack1ip address 10.0.111.1 255.255.255.0#ip route-static 0.0.0.0 0.0.0.0 10.0.10.254#return |
[CLIGURU-R2]display current-configuration[V200R001C00SPC200]#sysname CLIGURU-R2#interface GigabitEthernet0/0/1ip address 10.0.20.1 255.255.255.0#interface LoopBack0ip address 10.0.2.2 255.255.255.0#ip route-static 0.0.0.0 0.0.0.0 10.0.20.254#return |
[CLIGURU-R3]display current-configuration[V200R001C00SPC200]#port link-type accessport access vlan 12#interface Ethernet2/0/0ip address 10.0.30.254 255.255.255.0#firewall zone localset priority 100#firewall zone trustset priority 85add interface Vlanif12#firewall zone untrustset priority 5add interface Ethernet0/0/0#firewall zone dmzset priority 50add interface Ethernet2/0/0#firewall interzone trust untrustdetect java-blocking 2001 outbound#firewall interzone trust dmzdetect ftpdetect user-defined 3001 outbound#nqa-jitter tag-version 1#ip route-static 10.0.1.0 255.255.255.0 10.0.10.1ip route-static 10.0.2.0 255.255.255.0 10.0.20.1ip route-static 10.0.3.0 255.255.255.0 10.0.30.1ip route-static 10.0.111.0 255.255.255.0 10.0.10.1#banner enable#firewall blacklist enablefirewall blacklist item 10.0.111.1#user-interface con 0user-interface tty 2authentication-mode nonemodem bothuser-interface vty 0 4#slb#cwmp#right-manager server-group#policy interzone dmz untrust inboundpolicy 1action permitpolicy service service-set icmppolicy destination 10.0.3.3 0policy 2action permitpolicy service service-set telnetpolicy destination 10.0.3.3 0policy 3action deny#return |
[CLIGURU-S1]display current-configuration#!Software Version V100R006C00SPC800sysname CLIGURU-S1#vlan batch 11 to 13#interface GigabitEthernet0/0/1port link-type accessport default vlan 11#interface GigabitEthernet0/0/2port link-type accessport default vlan 12#interface GigabitEthernet0/0/3port link-type accessport default vlan 13#interface GigabitEthernet0/0/21port link-type accessport default vlan 11#interface GigabitEthernet0/0/22port link-type accessport default vlan 12#interface GigabitEthernet0/0/23port link-type accessport default vlan 13#returnsysname CLIGURU-R3#interface GigabitEthernet0/0/1ip address 10.0.30.1 255.255.255.0#interface LoopBack0ip address 10.0.3.3 255.255.255.0#ip route-static 0.0.0.0 0.0.0.0 10.0.30.254#return |
[FW]display current-configuration#sysname FW#firewall packet-filter default deny interzone local trust direction inboundfirewall packet-filter default deny interzone local trust direction outboundfirewall packet-filter default deny interzone local untrust direction inboundfirewall packet-filter default deny interzone local untrust direction outboundfirewall packet-filter default deny interzone local dmz direction inboundfirewall packet-filter default deny interzone local dmz direction outboundfirewall packet-filter default deny interzone trust untrust direction inboundfirewall packet-filter default deny interzone trust dmz direction inboundfirewall packet-filter default deny interzone dmz untrust direction inboundfirewall packet-filter default deny interzone dmz untrust direction outbound#undo firewall ipv6 session link-state check#vlan batch 1 12#undo firewall session link-state check#firewall defend port-scan enablefirewall defend port-scan max-rate 5000firewall defend port-scan blacklist-timeout 30#runmode firewall#update schedule ips daily 5:51update schedule av daily 5:51security server domain sec.huawei.com#web-manager enable#l2fwdfast enable#acl number 2001rule 5 permit source 10.0.2.0 0.0.0.255#acl number 3001rule 5 permit udp destination-port eq tftp#interface Vlanif12ip address 10.0.20.254 255.255.255.0#interface Cellular5/0/0link-protocol ppp#interface Ethernet0/0/0ip address 10.0.10.254 255.255.255.0#interface Ethernet1/0/0portswitchport link-type accessport access vlan 12#interface Ethernet2/0/0ip address 10.0.30.254 255.255.255.0#firewall zone localset priority 100#firewall zone trustset priority 85add interface Vlanif12#firewall zone untrustset priority 5add interface Ethernet0/0/0#firewall zone dmzset priority 50add interface Ethernet2/0/0#firewall interzone trust untrustdetect java-blocking 2001 outbound#firewall interzone trust dmzdetect ftpdetect user-defined 3001 outbound#nqa-jitter tag-version 1#ip route-static 10.0.1.0 255.255.255.0 10.0.10.1ip route-static 10.0.2.0 255.255.255.0 10.0.20.1ip route-static 10.0.3.0 255.255.255.0 10.0.30.1ip route-static 10.0.111.0 255.255.255.0 10.0.10.1#banner enable#firewall blacklist enablefirewall blacklist item 10.0.111.1#user-interface con 0user-interface tty 2authentication-mode nonemodem bothuser-interface vty 0 4#slb#cwmp#right-manager server-group#policy interzone dmz untrust inboundpolicy 1action permitpolicy service service-set icmppolicy destination 10.0.3.3 0policy 2action permitpolicy service service-set telnetpolicy destination 10.0.3.3 0policy 3action deny#return |
[CLIGURU-S1]display current-configuration#!Software Version V100R006C00SPC800sysname CLIGURU-S1#vlan batch 11 to 13#interface GigabitEthernet0/0/1port link-type accessport default vlan 11#interface GigabitEthernet0/0/2port link-type accessport default vlan 12#interface GigabitEthernet0/0/3port link-type accessport default vlan 13#interface GigabitEthernet0/0/21port link-type accessport default vlan 11#interface GigabitEthernet0/0/22port link-type accessport default vlan 12#interface GigabitEthernet0/0/23port link-type accessport default vlan 13#return |