基于区域的防火墙配置

先决条件 –基于区域的防火墙

基于区域的防火墙是一种先进的状态防火墙技术。在状态防火墙中，会保存包含源IP地址、目标IP地址、源端口号以及目标端口号的记录。这些记录会被存储在状态数据库中，从而能够允许来自可信私有网络的流量通过该防火墙进行传输。这样，可信私有网络中的流量就可以使用状态数据库来转发了。

基于区域的防火墙操作流程：

1. 创建各个区域，并为这些区域分配相应的接口。在基于区域的防火墙中，会创建多个逻辑区域。每个接口都会被分配给一个特定的区域。默认情况下，一个区域内的流量无法流向另一个区域。
2. 创建类映射——在创建了区域之后，还会生成一个类映射策略。该策略会确定需要应用这些策略的流量类型，比如ICMP类型的流量。
3. 创建策略映射，并将类映射分配给该策略映射。在确定了class-map中的流量类型之后，接下来就需要确定针对该流量应该采取何种操作。这些操作可以包括：
   • 检查：这与对CBAC的检查方式相同。也就是说，只有来自被检查网络外部的流量才被允许进入该网络（即，只有来自可信网络的返回流量才被允许进入该网络）。
   • 掉落物：这是所有流量的默认操作。在策略映射中配置的class-map可以设置为丢弃不需要的流量。
   • 通过：这样就能实现从一个区域到另一个区域的流量传输了。与“inspect”操作不同，这种操作不会为传输的流量创建会话状态。如果我们希望允许来自相反方向的流量，那么就需要制定相应的策略。
4. 配置一个区域对，并为其分配相应的策略。一个区域对仅适用于单向传输。需要先定义哪些流量属于特定类型，然后决定应该采取何种措施（如拒绝访问、允许访问等）。之后，就需要将这些策略应用到具体的区域对中。

配置：如图所示，有4台路由器相互连接。其中，Router1的IP地址为10.1.1.1/24，其fa0/0接口上运行着该路由协议；Router2的IP地址为10.1.1.2/24，其fa0/0接口上运行着该路由协议，同时其fa1/0接口上还运行着10.1.2.1/24和10.1.3.1/24这两个路由协议。Router3的IP地址为10.1.2.2/24，其fa0/1接口上运行着该路由协议。而Router4的IP地址为10.1.3.2/24，其fa0/1接口上同样运行着该路由协议。首先，我们需要配置路由，使得这些路由器能够互相访问。在Router2上配置RIP协议：

Router2(config)#配置为使用RIP协议。
Router2(config-router)#网络配置为10.1.1.0
Router2(config-router)#网络配置为10.1.2.0
Router2(config-router)#网络配置为10.1.3.0
Router2(config-router)#取消自动汇总功能

现在，将默认路由分配给Router1。

Router1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2

在Router2上设置默认路由。

Router3(config)#ip route 0.0.0.0 0.0.0.0 10.1.2.1

在路由器4上设置默认路由。

Router4(config)#ip route 0.0.0.0 0.0.0.0 10.1.3.1

现在，我们需要重新分配RIP中的默认路由。

Router2(config)#配置为使用RIP协议。
Router2(config-router)#默认信息发送功能已启用

这些路由器能够相互之间进行ping测试。现在，需要配置基于区域的防火墙。在这种情况下，我们只允许从区域内向外部区域传输ICMP流量和Telnet流量。为了实现这一目标，需要按照以下步骤进行操作：

• 创建各个区域，并将相应的接口分配给这些区域。首先，我们需要为这个区域指定一个名称，然后将该名称应用到相应的接口上（这里指的是Router2）。同时，还需要为这些区域分别指定名称：inside、outside和dmz。

Router2(config)#内部区域安全设置
Router2(config-sec-zone)#退出
Router2(config)#区域安全设置为外部区域
Router2(config-sec-zone)#退出
Router2(config)#区域安全 防御区
Router2(config-sec-zone)#退出

现在，我们需要对这些接口应用相应的区域划分了。

Router2(config)#interface fa0/0
Router2(config-if)#区域成员 安全级别：内部
Router2(config)#interface fa0/1
Router2(config-if)#区域成员，安全级别为外部。
Router2(config)#interface fa1/0
Router2(config-if)#zone-member security dmz

在将各个区域应用到接口之后，路由器将无法相互通信。因为默认情况下，来自一个区域到另一个区域的流量会被丢弃（根据默认策略）。

• 创建一个类映射——将会创建一个“类映射”，以标识我们希望进行操作的流量类型。通过配置该“类映射”，可以明确需要对其执行检查的网络流量类型。

Router2(config)# 配置类别映射类型为“inspect”，匹配所有进入和离开的流量。
Router2(config-cmap)#匹配协议为ICMP
Router2(config-cmap)#匹配协议为Telnet

“Match-any”指的是类映射中符合该条件的任何声明，即无论是针对Telnet还是ICMP的情况。我们已经为类映射指定了输入/输出名称。

• 创建策略映射，并将类映射应用于该策略映射中。Policy-map将会被配置为明确指出将执行哪种操作（检查、丢弃或通过）。在我们的场景中，我们将使用“检查”这一操作。也就是说，只有当流量在状态数据库中有记录时，它才会被允许进入该区域。

Router2(config)#policy-map type inspect in-out
Router2(config-pmap)#class in-out
Router2(config-pmap-c)#检查

在这里，我们为这个策略映射定义了一个名为“input”的类别映射（名称为“in-out”），同时指定了相应的操作，即“inspect”。这里，我们采用了与类别映射相同的名称来命名策略映射。当然，也可以使用不同的名称，不过那样的话，管理起来就会变得比较复杂了。

• 创建区域对，并对该区域对应用策略映射。创建包含源区域和目标区域的区域对，然后将策略映射应用到该区域对中。

Router2(config)#zone-pair security in-outpair source inside destination outside
Router2(config-sec-zone-pair)#service-policy类型：inspect；入/出方向：in-out

在这里，第一个命令中可以看到，in-outpair指的是一种区域对。其中，内部区域作为源区域，而外部区域则作为目标区域。 这意味着，已经定义了一个从区域内部到外部的方向上的区域对。 在第二个命令中，in-out就是policy-map的名称。 现在，内部区域可以用来向外部区域的设备发送ping请求和telnet连接。不过，反过来则需要在另一个独立的区域对中进行配置。 此外，需要注意的是，位于内部区域的设备能够访问外部区域的设备，但无法访问DMZ区域中的设备，因为该设备没有与任何区域对进行关联。