F100-C-G5 + DMZ 用法问题2

1. 组网需求

某公司以Device作为网络边界防火墙，连接公司内部网络和Internet。公司需要对外提供Web服务和FTP服务。现需要在防火墙上部署安全域，并基于以下安全需求进行域间安全策略的配置。

·              与接口GigabitEthernet2/0/1相连的公司内部网络属于可信任网络，部署在Trust域，可以自由访问服务器和外部网络。

·              与接口GigabitEthernet2/0/3相连的外部网络属于不可信任网络，部署在Untrust域，访问公司内部网络和服务器时，需要受到严格的域间安全策略的限制。

·              与接口GigabitEthernet2/0/2相连的Web server、FTP server部署在DMZ域，可以自由访问处于Untrust域的外部网络，但在访问处于Trust域的公司内部网络时，需要受到严格的域间安全策略的限制。

2. 组网图

图1-2 安全域组网图

3. 配置步骤

# 向安全域Trust中添加接口GigabitEthernet2/0/1。

<Device> system-view

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 2/0/1

[Device-security-zone-Trust] quit

# 向安全域DMZ中添加接口GigabitEthernet2/0/2。

[Device] security-zone name dmz

[Device-security-zone-DMZ] import interface gigabitethernet 2/0/2

[Device-security-zone-DMZ] quit

# 向安全域Untrust中添加接口GigabitEthernet2/0/3。

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 2/0/3

[Device-security-zone-Untrust] quit

# 配置ACL 3500，定义规则：允许IP流量。

[Device] acl advanced 3500

[Device-acl-ipv4-adv-3500] rule permit ip

[Device-acl-ipv4-adv-3500] quit

# 创建ASPF策略1，配置检测应用层协议FTP（FTP仅为示例，若要检测其它应用协议，可根据需要配置）。

[Device] aspf policy 1

[Device-aspf-policy-1] detect ftp

[Device-aspf-policy-1] quit

# 创建源安全域Trust到目的安全域Untrust的安全域间实例，并在该安全域间实例上应用ASPF策略和包过滤策略，可以拒绝Untrust域用户对Trust的访问，但Trust域用户访问Untrust域以及返回的报文可以通过。

[Device] zone-pair security source trust destination untrust

[Device-zone-pair-security-Trust-Untrust] aspf apply policy 1

[Device-zone-pair-security-Trust-Untrust] packet-filter 3500

[Device-zone-pair-security-Trust-Untrust] quit

# 创建源安全域Trust到目的安全域DMZ的安全域间实例，并在该安全域间实例上开启ASPF检测功能，可以拒绝DMZ域用户对Trust的访问，但Trust域用户访问DMZ域以及返回的报文可以通过。

[Device] zone-pair security source trust destination dmz

[Device-zone-pair-security-Trust-DMZ] aspf apply policy 1

[Device-zone-pair-security-Trust-DMZ] packet-filter 3500

[Device-zone-pair-security-Trust-DMZ] quit

4. 验证配置

以上配置完成后，内网主机可访问外部网络以及DMZ域内的FTP服务器资源。外部网络向内部网络以及DMZ域主动发起的连接请求将被拒绝。