防火墻是一種網(wǎng)絡(luò)安全設(shè)備，它的主要作用是保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的侵犯。為了實(shí)現(xiàn)這一目標(biāo)，防火墻將內(nèi)部網(wǎng)絡(luò)劃分為不同的安全區(qū)域，并根據(jù)不同區(qū)域的安全需求制定相應(yīng)的安全策略。這些安全區(qū)域和策略對于確保內(nèi)部網(wǎng)絡(luò)的安全性至關(guān)重要，因?yàn)樗鼈兛梢杂行У胤乐刮唇?jīng)授權(quán)的訪問、數(shù)據(jù)泄露和其他安全威脅。

今天接著上一節(jié)的實(shí)驗(yàn)拓?fù)鋱D，繼續(xù)完成今天的任務(wù)：防火墻安全區(qū)域與安全策略，實(shí)驗(yàn)拓?fù)淙缦聢D：

實(shí)驗(yàn)拓?fù)?/p>

實(shí)驗(yàn)需求：

• 按照實(shí)驗(yàn)拓?fù)?，把對?yīng)的接口加入對應(yīng)的安全區(qū)域中。
• 實(shí)現(xiàn)pc1能夠ping或通過HTTP訪問DMZ區(qū)服務(wù)器
• 驗(yàn)證防火墻ASPF,DMZ服務(wù)器作為FTP服務(wù)器，PC1訪問FTP服務(wù)器，驗(yàn)證ASPF功能

配置思路：

• 把各個(gè)接口配置IP地址，并加入到安全區(qū)域中。
• 規(guī)劃安全策略。

實(shí)驗(yàn)步驟

(1) 把GE1/0/1和GE10/2接口配置IP地址，并分別加入到Trust和DMZ安全區(qū)域中，關(guān)鍵代碼如下：

interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.12.254 255.255.255.0
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 10.0.0.254 255.255.255.0

firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/0
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/2

(2) 放通trust區(qū)域到DMZ區(qū)域的安全策略。

security-policy
 rule name trust->dmz
  source-zone trust
  destination-zone dmz
  source-address 10.1.12.0 mask 255.255.255.0
  destination-address 10.0.0.10 mask 255.255.255.255
  service SERVICE
  action permit

ip service-set SERVICE type object 16
 service 0 protocol icmp
 service 1 protocol tcp destination-port 80

上述配置中服務(wù)采用了對象組的方式進(jìn)行配置。

完成上述的配置后，trust區(qū)域到DMZ區(qū)域的10.0.0.10就可以ping通和訪問web了。如下圖：

同時(shí)也可以才防火墻的會話表項(xiàng)，查到記錄。

通常我們在實(shí)驗(yàn)時(shí)，會把防火墻發(fā)起的流量都放通的

security-policy
rule name local->any
 source-zone local
 action permit

(3) 驗(yàn)證ASPF功能，默認(rèn)情況下，防火墻是使能了ASPF的功能。我們先把它undo掉

[FW1]undo firewall detect ftp

(4) 在DMZ區(qū)域的服務(wù)器開啟http服務(wù)和ftp服務(wù)，如下圖：

啟動服務(wù)

(5) 在trust區(qū)域上測試web和ftp服務(wù)。

web服務(wù)測試

FTP服務(wù)測試

通過上圖看到web服務(wù)能正常訪問。而ftp訪問就不正常了。FTP不正常原因有兩個(gè)：

• 我們?nèi)秩∠薃SPF的功能
• 安全策略沒有服務(wù)組沒有放通FTP服務(wù)

我們先在服務(wù)組添加FTP服務(wù)，如下：

ip service-set SERVICE type object 16
 service 0 protocol icmp
 service 1 protocol tcp destination-port 80
 service 2 protocol tcp destination-port 21

再測試FTP服務(wù)，如下圖，還是有問題

FTP服務(wù)測試

發(fā)現(xiàn)第二信道也被安全策略干掉了，如下圖：

策略截圖

(6) 我們在防火墻上的interzone作如下配置

firewall interzone trust dmz
 detect ftp

在測試FTP服務(wù)，如下圖，這次就能成功登錄上來了。

測試FTP服務(wù)

通過在防火墻上執(zhí)行dis firewall server-map命令查看：

[FW1]display firewall server-map 
2024-01-12 02:59:52.790 
 Current Total Server-map : 1
 Type: ASPF,  10.1.12.20 -> 10.0.0.10:2052,  Zone:---
 Protocol: tcp(Appro: ftp-data),  Left-Time:00:00:13
 Vpn: public -> public

還會生成會話表項(xiàng)，如下：

[FW1]display firewall session table 
2024-01-12 03:01:03.380 
 Current Total Sessions : 7
 ftp  VPN: public --> public  10.1.12.20:2053 --> 10.0.0.10:21

在網(wǎng)絡(luò)安全領(lǐng)域，ASPF 通常指的是 "Application Layer Stateful Packet Filtering"，中文翻譯為 "應(yīng)用層狀態(tài)包過濾"。ASPF 是防火墻中的一種技術(shù)，它在網(wǎng)絡(luò)通信的應(yīng)用層(第七層)進(jìn)行狀態(tài)維護(hù)和過濾，以增強(qiáng)網(wǎng)絡(luò)安全性。

ASPF 不僅關(guān)注傳統(tǒng)的數(shù)據(jù)包的源、目的 IP 地址和端口信息，還深入到應(yīng)用層協(xié)議的內(nèi)容，能夠檢測并過濾特定應(yīng)用層協(xié)議的數(shù)據(jù)。這使得 ASFP 能夠更精確地識別和控制網(wǎng)絡(luò)流量，防止一些應(yīng)用層攻擊，提高防火墻的安全性。

總體而言，ASPF 技術(shù)通過維護(hù)應(yīng)用層協(xié)議的狀態(tài)信息，有效地監(jiān)控和管理應(yīng)用層通信，提供更加全面和智能的防火墻保護(hù)。