企業內網中常有這樣的需求,管理員或老板希望能夠訪問其他業務部門主機的共享資料等信息,卻不希望任何人訪問管理員的共享信息。
以前我們介紹過通過利用ACL結合過濾策略來實現,見 《企業內網單向訪問的實現—TCP三次握手的深入理解與應用》
和利用虛擬防火墻安全策略來實現,見《企業內網單向訪問的實現—華為虛擬防火墻應用》
對于上面介紹的方法,有朋友提出如何在不改變現有拓撲的情況下,通過旁掛防火墻來控制內網主機的互訪。下面我們就通過一個例子來進行介紹。
注:實現問題解決有多種方法,這里不做優劣比較,只是技術方法實現,實際工作中具體情況具體分析,適合的方法才是最好的方法。
實驗拓撲說明:
AR1模擬外網設備
PC1 PC2模擬內網設備 地址 192.168.1.1/24 192.168.2.1/24
SW1模擬核心交換機 配置VLAN10 20 作為PC1 和PC2 的網關
在沒有FW設備的情況下,配置基礎設置,實現網絡互通。
FW作為增加的安全設備,旁掛在SW1 上對VLAN間數據進行管理。
基礎配置:
AR1
sysname R1
interface GigabitEthe.NET0/0/0
ip address 12.0.0.1 255.255.255.0
ip route-static 192.168.0.0 255.255.0.0 12.0.0.2
核心交換機SW1配置
sysname SW1
vlan batch 10 20 100
interface Vlanif10
ip address 192.168.1.254 255.255.255.0
interface Vlanif20
ip address 192.168.2.254 255.255.255.0
interface Vlanif100
ip address 12.0.0.2 255.255.255.0
interface GigabitEthernet0/0/8
port link-type access
port default vlan 100
interface GigabitEthernet0/0/11
port link-type access
port default vlan 10
interface GigabitEthernet0/0/12
port link-type access
port default vlan 20
PC1PC2配置相應IP地址,完成后測試PC互通正常,訪問外網正常。
下面我們把防火墻旁掛在核心交換機上,對流量進行管控。
SW1增加接口配置
vlan batch 40 50
interface Vlanif40
ip address 10.1.1.1 255.255.255.0
interface Vlanif50
ip address 10.2.2.1 255.255.255.0
interface GigabitEthernet0/0/1
port link-type access
port default vlan 40
interface GigabitEthernet0/0/2
port link-type access
port default vlan 50
//增加與防火墻互聯接口的配置
acl number 3000
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
traffic classifier 10to20
if-match acl 3000
traffic behavior 10to20
redirect ip-nexthop 10.1.1.2
traffic policy 10to20
classifier 10to20 behavior 10to20
interface GigabitEthernet0/0/11
traffic-policy 10to20 inbound
acl number 3001
rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
traffic classifier 20to10
if-match acl 3001
traffic behavior 20to10
redirect ip-nexthop 10.2.2.2
traffic policy 20to10
classifier 20to10 behavior 20to10
interface GigabitEthernet0/0/12
traffic-policy 20to10 inbound
//分別將PC1訪問PC2 和PC2訪問PC1的流量引導到旁掛的防火墻上
ospf 100
area 0.0.0.0
network 192.168.1.0 0.0.0.255
network 10.1.1.1 0.0.0.0
ospf 200
area 0.0.0.0
network 192.168.2.0 0.0.0.255
network 10.2.2.1 0.0.0.0
//配置兩個OSPF進程,分別用于引導出入防火墻的流量
防火墻配置
sysname FW1
interface GigabitEthernet1/0/1
ip address 10.1.1.2 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 10.2.2.2 255.255.255.0
firewall zone name v10
set priority 10
add interface GigabitEthernet1/0/1
firewall zone name v20
set priority 15
add interface GigabitEthernet1/0/2
//配置與核心交換機互聯的接口和自定義區域中
ospf 100
area 0.0.0.0
network 10.1.1.2 0.0.0.0
#
ospf 200
area 0.0.0.0
network 10.2.2.2 0.0.0.0
//配置兩個OSPF進程對應交換機流量的出入方向
security-policy
rule name 10to20
source-zone v10
destination-zone v20
source-address 192.168.1.0 mask 255.255.255.0
destination-address 192.168.2.0 mask 255.255.255.0
action deny
rule name 20to10
source-zone v20
destination-zone v10
source-address 192.168.2.0 0.0.0.255
destination-address 192.168.1.0 0.0.0.255
action permit
//配置安全策略,阻止PC1訪問PC2,放行PC2訪問PC1
配置完成后,檢查結果PC1無法訪問PC2 ,PC2正常訪問PC1,兩PC訪問外網正常,達到了控制的目的。
注:同樣的原理可以用引導其他流量至防火墻處理,如訪問互聯網流量,加強內網的安全性。
