Firewall Yapılandırması (Untrust,Trust,DMZ)


 

Güvenlik duvarı fonksiyonları ve özellikleri

sdffs

1.  Genel yapılandırma ayarları.
Cihazların ip addresslerini yapılandıralım.
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname CLIGURU-R1
[CLIGURU-R1]interface GigabitEthernet 0/0/1
[CLIGURU-R1-GigabitEthernet0/0/1]ip address 10.0.10.1 24
[CLIGURU-R1-GigabitEthernet0/0/1]interface loopback 0
[CLIGURU-R1-LoopBack0]ip address 10.0.1.1 24
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname CLIGURU-R2
[CLIGURU-R2]interface GigabitEthernet 0/0/1
[CLIGURU-R2-GigabitEthernet0/0/1]ip address 10.0.20.1 24
[CLIGURU-R2-GigabitEthernet0/0/1]interface loopback 0
[CLIGURU-R2-LoopBack0]ip address 10.0.2.2 24
Firewall layer2 switchlerde , IP adresi ile konfigüre edilemez. Firewall üzerinde VLAN 12 oluşturalım ve VLANIF 12 oluşturalım. Trust bölgenin gateway addressini ve VLANIF 12’nin IP adresini yapılandıralım.
Default olarak, firewall VLANIF 1 için bir IP adresi yapılandırır. Karışıklığı önlemek için, VLANIF 1 yapılandırmasını silelim.
[SRG]sysname FW
[FW]vlan 12
[FW]interface Vlanif 12
[FW-Vlanif12]ip address 10.0.20.254 24
[FW]interface GigabitEthernet 0/0/1
[FW-GigabitEthernet0/0/1]port access vlan 12
[FW]interface GigabitEthernet 0/0/0
[FW-GigabitEthernet0/0/0]ip address 10.0.10.254 24
[FW]undo interface Vlanif 1
 CLIGURU-S1 cihazında vlanları interfacelere ekleyelim.
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname CLIGURU-S1
[CLIGURU-S1]vlan batch 11 12
[CLIGURU-S1]interface GigabitEthernet 0/0/1
[CLIGURU-S1-GigabitEthernet0/0/1]port link-type access
[CLIGURU-S1-GigabitEthernet0/0/1]port default vlan 11
[CLIGURU-S1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[CLIGURU-S1-GigabitEthernet0/0/2]port link-type access
[CLIGURU-S1-GigabitEthernet0/0/2]port default vlan 12
[CLIGURU-S1-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/21
[CLIGURU-S1-GigabitEthernet0/0/21]port link-type access
[CLIGURU-S1-GigabitEthernet0/0/21]port default vlan 11
[CLIGURU-S1-GigabitEthernet0/0/21]interface GigabitEthernet 0/0/22
[CLIGURU-S1-GigabitEthernet0/0/22]port link-type access
[CLIGURU-S1-GigabitEthernet0/0/22]port default vlan 12
FW bağlantısını kontrol edelim.
[FW]ping 10.0.10.1
16:09:32 2015/03/24
PING 10.0.10.1: 56 data bytes, press CTRL_C to break
Reply from 10.0.10.1: bytes=56 Sequence=1 ttl=255 time=60 ms
Reply from 10.0.10.1: bytes=56 Sequence=2 ttl=255 time=50 ms
Reply from 10.0.10.1: bytes=56 Sequence=3 ttl=255 time=450 ms
Reply from 10.0.10.1: bytes=56 Sequence=4 ttl=255 time=80 ms
Reply from 10.0.10.1: bytes=56 Sequence=5 ttl=255 time=50 ms
— 10.0.10.1 ping statistics —
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 50/138/450 ms
<FW>ping 10.0.20.1
16:40:46 2015/03/25
PING 10.0.20.1: 56 data bytes, press CTRL_C to break
Reply from 10.0.20.1: bytes=56 Sequence=1 ttl=255 time=100 ms
Reply from 10.0.20.1: bytes=56 Sequence=2 ttl=255 time=120 ms
Reply from 10.0.20.1: bytes=56 Sequence=3 ttl=255 time=110 ms
Reply from 10.0.20.1: bytes=56 Sequence=4 ttl=255 time=110 ms
Reply from 10.0.20.1: bytes=56 Sequence=5 ttl=255 time=60 ms
— 10.0.20.1 ping statistics —
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 60/100/120 ms
<FW>ping 10.0.30.1
16:41:02 2015/03/25
PING 10.0.30.1: 56 data bytes, press CTRL_C to break
Reply from 10.0.30.1: bytes=56 Sequence=1 ttl=255 time=80 ms
Reply from 10.0.30.1: bytes=56 Sequence=2 ttl=255 time=80 ms
Reply from 10.0.30.1: bytes=56 Sequence=3 ttl=255 time=40 ms
Reply from 10.0.30.1: bytes=56 Sequence=4 ttl=255 time=60 ms
Reply from 10.0.30.1: bytes=56 Sequence=5 ttl=255 time=120 ms
— 10.0.30.1 ping statistics —
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 40/76/120 ms
 CLIGURU-R1 ,CLIGURU-R2 ve CLIGURU-R3 cihazları için default route yazalım.Loopback interfaceler için bağlı olduğu networkler arasındaki iletişimi sağlamak için FW statik olarak yapılandıralım.
 [CLIGURU-R1]ip route-static 0.0.0.0 0 10.0.10.254
 [CLIGURU-R2]ip route-static 0.0.0.0 0 10.0.20.254
 [CLIGURU-R3]ip route-static 0.0.0.0 0 10.0.30.254
[FW]ip route-static 10.0.1.0 24 10.0.10.1
[FW]ip route-static 10.0.2.0 24 10.0.20.1
[FW]ip route-static 10.0.3.0 24 10.0.30.1
 Loopback lerin arasındaki bağlantıları kontrol edelim.
[CLIGURU-R1]ping -a 10.0.1.1 10.0.2.2
PING 10.0.2.2: 56  data bytes, press CTRL_C to break
Reply from 10.0.2.2: bytes=56 Sequence=1 ttl=254 time=3 ms
Reply from 10.0.2.2: bytes=56 Sequence=2 ttl=254 time=3 ms
Reply from 10.0.2.2: bytes=56 Sequence=3 ttl=254 time=4 ms
Reply from 10.0.2.2: bytes=56 Sequence=4 ttl=254 time=2 ms
Reply from 10.0.2.2: bytes=56 Sequence=5 ttl=254 time=3 ms
— 10.0.2.2 ping statistics —
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 2/3/4 ms
[CLIGURU-R1]ping -a 10.0.1.1 10.0.3.3
PING 10.0.3.3: 56  data bytes, press CTRL_C to break
Reply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=4 ms
Reply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=4 ms
Reply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=3 ms
Reply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=4 ms
Reply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=4 ms
— 10.0.3.3 ping statistics —
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 3/3/4 ms
 Default olarak, firewall’da dört güvenlik bölgesi bulunmaktadır. Bunlar local, trusted, untrusted ve DMZ bölgeleridir. Bu konfigürasyonda trust ,untrust ve DMZ bölgelerini yapılandırıp interfacele uygulayacagız.

 

[FW]firewall zone dmz
[FW-zone-dmz]add interface Ethernet 2/0/0
[FW-zone-dmz]firewall zone trust
[FW-zone-trust]add interface Vlanif 12
[FW-zone-trust]firewall zone untrust
[FW-zone-untrust]add interface Ethernet 0/0/0
 Default olarak, tüm bölgeler arasında iletişim normaldir. Bu nedenle  iletişimin kontrol edilmesi gerekli değildir.
packet-filter in public:
local -> trust :
inbound  : default: permit; || IPv6-acl: null
outbound : default: permit; || IPv6-acl: null
local -> untrust :
inbound  : default: permit; || IPv6-acl: null
outbound : default: permit; || IPv6-acl: null
local -> dmz :
inbound  : default: permit; || IPv6-acl: null
outbound : default: permit; || IPv6-acl: null
trust -> untrust :
inbound  : default: permit; || IPv6-acl: null
[FW]dis firewall packet-filter default all
10:28:18  2011/12/24
Firewall default packet-filter action is :
outbound : default: permit; || IPv6-acl: null
trust -> dmz :
inbound  : default: permit; || IPv6-acl: null
outbound : default: permit; || IPv6-acl: null
dmz -> untrust :
inbound  : default: permit; || IPv6-acl: null
outbound : default: permit; || IPv6-acl: null
packet-filter between VFW:
Yukarıdaki bilgiler tüm güvenlik bölgeleri, her yöne paketlerinin geçmesine izin verdiğini göstermektedir.
Güvenlik bölgeleri arasındaki bağlantıları kontrol edelim.
Untrust dan trusta :
<CLIGURU-R1>ping -a 10.0.1.1 10.0.2.2
PING 10.0.2.2: 56  data bytes, press CTRL_C to break
Reply from 10.0.2.2: bytes=56 Sequence=1 ttl=254 time=3 ms
Reply from 10.0.2.2: bytes=56 Sequence=2 ttl=254 time=3 ms
Reply from 10.0.2.2: bytes=56 Sequence=3 ttl=254 time=3 ms
Reply from 10.0.2.2: bytes=56 Sequence=4 ttl=254 time=3 ms
Reply from 10.0.2.2: bytes=56 Sequence=5 ttl=254 time=3 ms
— 10.0.2.2 ping statistics —
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 3/3/3 ms
 Untrust dan DMZe:
<CLIGURU-R1>ping -a 10.0.1.1 10.0.3.3
PING 10.0.3.3: 56  data bytes, press CTRL_C to break
Reply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=5 ms
Reply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=3 ms
Reply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=3 ms
Reply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=4 ms
Reply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=3 ms
— 10.0.3.3 ping statistics —
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 3/3/5 ms
Trust dan untrusta:
<CLIGURU-R2>ping -a 10.0.2.2 10.0.1.1
PING 10.0.1.1: 56  data bytes, press CTRL_C to break
Reply from 10.0.1.1: bytes=56 Sequence=1 ttl=254 time=3 ms
Reply from 10.0.1.1: bytes=56 Sequence=2 ttl=254 time=3 ms
Reply from 10.0.1.1: bytes=56 Sequence=3 ttl=254 time=3 ms
Reply from 10.0.1.1: bytes=56 Sequence=4 ttl=254 time=3 ms
Reply from 10.0.1.1: bytes=56 Sequence=5 ttl=254 time=3 ms
— 10.0.1.1 ping statistics —
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 3/3/3 ms
 Trustdan DMZe:
<CLIGURU-R2>ping -a 10.0.2.2 10.0.3.3
PING 10.0.3.3: 56  data bytes, press CTRL_C to break
Reply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=5 ms
Reply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=3 ms
Reply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=3 ms
Reply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=4 ms
Reply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=3 ms
— 10.0.3.3 ping statistics —
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 3/3/5 ms
 DMZ’ten untrusta:
<CLIGURU-R3>ping -a 10.0.3.3 10.0.1.1
PING 10.0.1.1: 56  data bytes, press CTRL_C to break
Reply from 10.0.1.1: bytes=56 Sequence=1 ttl=254 time=3 ms
Reply from 10.0.1.1: bytes=56 Sequence=2 ttl=254 time=3 ms
Reply from 10.0.1.1: bytes=56 Sequence=3 ttl=254 time=3 ms
Reply from 10.0.1.1: bytes=56 Sequence=4 ttl=254 time=3 ms
Reply from 10.0.1.1: bytes=56 Sequence=5 ttl=254 time=3 ms
— 10.0.1.1 ping statistics —
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 3/3/3 ms
DMZ’ten trusta:
<CLIGURU-R3>ping -a 10.0.3.3 10.0.2.2
PING 10.0.2.2: 56  data bytes, press CTRL_C to break
Reply from 10.0.2.2: bytes=56 Sequence=1 ttl=254 time=5 ms
Reply from 10.0.2.2: bytes=56 Sequence=2 ttl=254 time=3 ms
Reply from 10.0.2.2: bytes=56 Sequence=3 ttl=254 time=3 ms
Reply from 10.0.2.2: bytes=56 Sequence=4 ttl=254 time=4 ms
Reply from 10.0.2.2: bytes=56 Sequence=5 ttl=254 time=3 ms
— 10.0.2.2 ping statistics —
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 3/3/5 ms
2. Interzone paket filtreleme yapılandıralım.
Paket filtreleme politikası güvenlik bölgeleri arasında paket iletimini kontrol eder.Paket filtreleme yapılandırması çoğu cihazlarin fonksiyonlarını etkiler. Default olarak paketlerin diğer güvenlik bölgelerine  sadece gönderilmesini trust bölgesi sağlar, paket filtreleme politikasını yapılandıralım.
 [FW]firewall packet-filter default deny all
[FW]firewall packet-filter default permit interzone trust untrust direction outbound
[FW]firewall packet-filter default permit interzone trust dmz direction outbound
[FW]firewall session link-state check
Güvenlik bölgeleri arasındaki bağlantıları kontrol edelim.
Untrus’dan trusta:
[CLIGURU-R1]ping -a 10.0.1.1 10.0.2.2
  PING 10.0.2.2: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
    Request time out
  — 10.0.2.2 ping statistics —
    5 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss
Untrus’dan DMZe:
[CLIGURU-R1]ping -a 10.0.1.1 10.0.3.3
  PING 10.0.3.3: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
    Request time out
  — 10.0.3.3 ping statistics —
    5 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss
Trust’dan untrusta:
[CLIGURU-R2]ping -a 10.0.2.2 10.0.1.1
  PING 10.0.1.1: 56  data bytes, press CTRL_C to break
    Reply from 10.0.1.1: bytes=56 Sequence=1 ttl=254 time=3 ms
    Reply from 10.0.1.1: bytes=56 Sequence=2 ttl=254 time=3 ms
    Reply from 10.0.1.1: bytes=56 Sequence=3 ttl=254 time=3 ms
    Reply from 10.0.1.1: bytes=56 Sequence=4 ttl=254 time=3 ms
    Reply from 10.0.1.1: bytes=56 Sequence=5 ttl=254 time=3 ms
  — 10.0.1.1 ping statistics —
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 3/3/3 ms
Trust’dan DMZe:
[CLIGURU-R2]ping -a 10.0.2.2 10.0.3.3
  PING 10.0.3.3: 56  data bytes, press CTRL_C to break
    Reply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=5 ms
    Reply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=3 ms
    Reply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=3 ms
    Reply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=4 ms
    Reply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=3 ms
  — 10.0.3.3 ping statistics —
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 3/3/5 ms
DMZ’den untrusta:
[CLIGURU-R3]ping -a 10.0.3.3 10.0.1.1
  PING 10.0.1.1: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
    Request time out
  — 10.0.1.1 ping statistics —
    5 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss
DMZ’den trusta:4
[CLIGURU-R3]ping -a 10.0.3.3 10.0.2.2
  PING 10.0.2.2: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
    Request time out
  — 10.0.2.2 ping statistics —
    5 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss
Paketlerin  DMZ bölgesinden, untrust  bölgeye gönderilmesini sağlayan interzone paket filtreleme politikasını yapılandıralım.
Sunucusunun IP adresi 10.0.3.3. Untrust  bölgede Telnet etkinleştirelim. Bağlantı testleri için ICMP ping etkinleştirelim.
[FW]policy interzone dmz untrust inbound
[FW-policy-interzone-dmz-untrust-inbound]policy 1
[FW-policy-interzone-dmz-untrust-inbound-1]policy service service-set icmp
[FW-policy-interzone-dmz-untrust-inbound-1]policy destination 10.0.3.3 0
[FW-policy-interzone-dmz-untrust-inbound-1]action permit
[FW-policy-interzone-dmz-untrust-inbound-1]quit
[FW-policy-interzone-dmz-untrust-inbound]policy 2
[FW-policy-interzone-dmz-untrust-inbound-2]policy service service-set telnet
[FW-policy-interzone-dmz-untrust-inbound-2]policy destination 10.0.3.3 0
[FW-policy-interzone-dmz-untrust-inbound-2]action permit
[FW-policy-interzone-dmz-untrust-inbound-2]quit
[FW-policy-interzone-dmz-untrust-inbound]policy 3
[FW-policy-interzone-dmz-untrust-inbound-3]action deny
Telnet testleri için CLIGURU-R3 cihazında  Telneti etkinleştirelim.
[CLIGURU-R3]user-interface vty 0 4
[CLIGURU-R3-ui-vty0-4]authentication-mode none
Konfigürasyonu control edelim.
<CLIGURU-R1>ping 10.0.3.3
  PING 10.0.3.3: 56  data bytes, press CTRL_C to break
    Reply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=3 ms
    Reply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=2 ms
    Reply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=2 ms
    Reply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=4 ms
    Reply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=2 ms
  — 10.0.3.3 ping statistics —
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 2/2/4 ms
<CLIGURU-R1>ping 10.0.30.1
  PING 10.0.30.1: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
    Request time out
  — 10.0.30.1 ping statistics —
    5 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss
<CLIGURU-R1>telnet 10.0.3.3
  Press CTRL_] to quit telnet mode
  Trying 10.0.3.3 …
  Connected to 10.0.3.3 …
<CLIGURU-R3>quit
  Configuration console exit, please retry to log on
  The connection was closed by the remote host
<CLIGURU-R1>telnet 10.0.30.3
  Press CTRL_] to quit telnet mode
  Trying 10.0.30.3 …
Blacklists konfigürasyonu.
Bir blacklist identifies hızla belirli IP adreslerine sahip kullanıcıların filtrelemek için IP adreslerini ve maç girişlerini tanımlar. Blacklist dinamik olarak eklenir veya silinebilir. Paket filtreleme ile karşılaştırıldığında, blacklist girişleri maçları ve hızlı kullanıcıları filtreler ve daha az sistem kaynağı tüketir.
 Bir cihaz kullanıcıya  güvenilmediği  düşünürse, cihaz Blacklists IP adresini ekler. Olan kaynak IP adresi Blacklists IP adresi bir paket aldıktan sonra, cihaz ağınızı korumak için paketi atar.
Aşağıdaki birden fazla IP adresleri sürekli kurumsal ağ güvenilmeyen bölgesinde arayüzleri tarama varsayar. Sen önleyici tedbirler almak gerekir.
IP adresi 10.0.111.1 birden saldırıları başlattı. Bu IP adresinden gönderilen paketleri filtrelemek gerekiyor.
Bir saldırı simülasyonu için CLIGURU-R1 üzerinde bir geri döngü arabirimi oluşturun. Güvenlik duvarı için statik bir yol yapılandıralım.
[CLIGURU-R1]int LoopBack 1
[CLIGURU-R1-LoopBack1]ip address 10.0.111.1 24
 [FW]ip route-static 10.0.111.0 24 10.0.10.1
Port tarama( scanning)karşı savunma etkinleştirin. Port tarama saldırıları üzerine test sonuçları otomatik olarak blackliste alınır.
[FW]firewall defend port-scan enable
Tarama hızı 5000 pps olarak ayarlayalım. Eşik bir kaynak IP adresi, hedef port gönderilecek olan IP paketlerini değiştirir hızını belirler. Oranı yüksek ise, kaynak IP adresi, hedef IP adresi tüm portları yüksek bir olasılıkla tarıyor  olur.
 [FW]firewall defend port-scan max-rate 5000
Blacklist zaman aşımı süresini 30 dakika olarak ayarlayalım. Dinamik olarak oluşturulan blacklist 30 dakika sonra silinir.
 [FW]firewall defend port-scan blacklist-timeout 30
Statik bir blacklist oluşturmadan önce, CLIGURU-R3 üzerinde loopback ile IP adresi 10.0.111.1 loopback arayüzü ile iletişimi saglanmalı.
Bağlantıyı kontrol edelim.
[CLIGURU-R1]ping -a 10.0.111.1 10.0.3.3
  PING 10.0.3.3: 56  data bytes, press CTRL_C to break
    Reply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=4 ms
    Reply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=3 ms
    Reply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=3 ms
    Reply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=3 ms
    Reply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=3 ms
  — 10.0.3.3 ping statistics —
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 3/3/4 ms
Statik bir blacklist oluşturalım ve blackliste 10.0.111.1 ipisini ekleyelim. Firewall , önce bu IP adresinden gönderilen IP adresini atar paketleri manually olarak temizler.
 [FW]firewall blacklist enable
[FW]firewall blacklist item 10.0.111.1
Bağlantıyı kontrol edelim.
[CLIGURU-R1]ping -a 10.0.111.1 10.0.3.3
  PING 10.0.3.3: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
    Request time out
  — 10.0.3.3 ping statistics —
    5 packet(s) transmitted
    0 packet(s) received
100.00% packet loss
3. ASPF konfigürasyonu.
Multi-channel protokolleri ve NAT uygulamalar arasında önemli bir yardım olarak kullanılan Uygulamaya Özel Paket Filtreleme (ASPF) fonksiyonudur.
ASPF dış kullanıcılara FTP ve TFTP hizmetleri sağlamak için intranet izin verir ve onlar extranet üzerinde web sunucuları eriştiğinizde riskli kontrolleri indirirken gelen intranet kullanıcıları engeller.
FTPve TFTP kurumsalhizmetlerinin yanı sıra,intranetkullanıcılarınextranetweb sayfalarına erişmekgerekir.Risklijavadenetimleribuweb sayfalarındabulunabilir. FTPönceden tanımlanmış birprotokoldür.Güvenlik bölgelerindeFTPpaketlerin düzgün iletilebilmesi için cihazlar   detectftpfonksiyonu uygulanır.
Triplet ASPF etkindir , sadece TFTP paketleri, iletilebilir.
İki ACL oluşturalım. ACL 2001, extranet üzerinde web sunucuları ,intranet göndermek ve riskli kontrolleri engellemek için kullanılan, trafik eşleştiğini ve trafik kurallarını görüntülemek için tanımlayalım.
[FW]acl 2001
[FW-acl-basic-2001]rule permit source 10.0.2.0 0.0.0.255
[FW-acl-basic-2001]quit
ACL 3001 intranet üzerinde TFTP sunucusuna gönderilen trafik kurallarını tanımlar. TFTP hizmetleri, kullanıcı tanımlı port numarası gerektirir.Bunun için ayrı bir ACL oluşturun.
[FW]acl 3001
[FW-acl-adv-3001]rule permit udp destination-port eq tftp
[FW-acl-adv-3001]quit
FTP paketlerine yönlendirme uygulamak için Interzone FTP hizmetlerini algıla. TFTP paketlerinin doğru yönlendirme uygulamak için kullanıcı tanımlayalımve komutunu çalıştıralım.
[FW]firewall interzone trust dmz
[FW-interzone-trust-dmz]detect ftp
[FW-interzone-trust-dmz]detect user-defined 3001 outbound
[FW-interzone-trust-dmz]quit
Riskli java kontrollerini önlemekiçin detect java-blocking komutunu çalıştıralım .
[FW]firewall interzone trust untrust
[FW-interzone-trust-untrust]detect java-blocking 2001 outbound
[FW-interzone-trust-untrust]quit
ASPF işlevi bazı özel protokoller paketleri düzgün iletilir ,belirler. Bir istisna özel bir protokol hizmetleri oluştuğunda, aşağıdaki yöntemle sorunu bulun:
Interzone yapılandırmayı görüntülemek için display interzone komutunu çalıştırıp, ASPF yapılandırmasını doğrulayalım.
[FW]display interzone
15:42:11  2011/12/25
interzone trust untrust
 detect java-blocking 2001 outbound
#
interzone trust dmz
 detect ftp
 detect user-defined 3001 outbound
#
 FİNAL CONFIGURATION
[CLIGURU-R1]display current-configuration
[V200R001C00SPC200]
#
 sysname CLIGURU-R1
#
interface GigabitEthernet0/0/1
 ip address 10.0.10.1 255.255.255.0
#
interface LoopBack0
 ip address 10.0.1.1 255.255.255.0
#
interface LoopBack1
 ip address 10.0.111.1 255.255.255.0
#
 ip route-static 0.0.0.0 0.0.0.0 10.0.10.254
#
return
[CLIGURU-R2]display current-configuration
[V200R001C00SPC200]
#
 sysname CLIGURU-R2
#
interface GigabitEthernet0/0/1
 ip address 10.0.20.1 255.255.255.0
#
interface LoopBack0
 ip address 10.0.2.2 255.255.255.0
#
 ip route-static 0.0.0.0 0.0.0.0 10.0.20.254
#
return
[CLIGURU-R3]display current-configuration
[V200R001C00SPC200]
#
 port link-type access
 port access vlan 12
#
interface Ethernet2/0/0
 ip address 10.0.30.254 255.255.255.0
#
firewall zone local
 set priority 100
#
firewall zone trust
 set priority 85
 add interface Vlanif12
#
firewall zone untrust
 set priority 5
 add interface Ethernet0/0/0
#
firewall zone dmz
 set priority 50
 add interface Ethernet2/0/0
#
firewall interzone trust untrust
 detect java-blocking 2001 outbound
#
firewall interzone trust dmz
 detect ftp
 detect user-defined 3001 outbound
#
nqa-jitter tag-version 1
#
 ip route-static 10.0.1.0 255.255.255.0 10.0.10.1
 ip route-static 10.0.2.0 255.255.255.0 10.0.20.1
 ip route-static 10.0.3.0 255.255.255.0 10.0.30.1
 ip route-static 10.0.111.0 255.255.255.0 10.0.10.1
#
 banner enable
#
 firewall blacklist enable
 firewall blacklist item 10.0.111.1
#
user-interface con 0
user-interface tty 2
 authentication-mode none
 modem both
user-interface vty 0 4
#
 slb
#
cwmp
#
right-manager server-group
#
policy interzone dmz untrust inbound
 policy 1
  action permit
  policy service service-set icmp
  policy destination 10.0.3.3 0
 policy 2
  action permit
  policy service service-set telnet
  policy destination 10.0.3.3 0
 policy 3
  action deny
#
return
[CLIGURU-S1]display current-configuration
#
!Software Version V100R006C00SPC800
 sysname CLIGURU-S1
#
 vlan batch 11 to 13
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 11
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 12
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 13
#
interface GigabitEthernet0/0/21
 port link-type access
 port default vlan 11
#
interface GigabitEthernet0/0/22
 port link-type access
 port default vlan 12
#
interface GigabitEthernet0/0/23
 port link-type access
 port default vlan 13
#
returnsysname CLIGURU-R3
#
interface GigabitEthernet0/0/1
 ip address 10.0.30.1 255.255.255.0
#
interface LoopBack0
 ip address 10.0.3.3 255.255.255.0
#
 ip route-static 0.0.0.0 0.0.0.0 10.0.30.254
#
return
[FW]display current-configuration
#
 sysname FW
#
 firewall packet-filter default deny interzone local trust direction inbound
 firewall packet-filter default deny interzone local trust direction outbound
 firewall packet-filter default deny interzone local untrust direction inbound
 firewall packet-filter default deny interzone local untrust direction outbound
 firewall packet-filter default deny interzone local dmz direction inbound
 firewall packet-filter default deny interzone local dmz direction outbound
 firewall packet-filter default deny interzone trust untrust direction inbound
 firewall packet-filter default deny interzone trust dmz direction inbound
 firewall packet-filter default deny interzone dmz untrust direction inbound
 firewall packet-filter default deny interzone dmz untrust direction outbound
#
 undo firewall ipv6 session link-state check
#
 vlan batch 1 12
#
 undo firewall session link-state check
#
 firewall defend port-scan enable
 firewall defend port-scan max-rate 5000
 firewall defend port-scan blacklist-timeout 30
#
 runmode firewall
#
 update schedule ips daily 5:51
 update schedule av daily 5:51
 security server domain sec.huawei.com
#
 web-manager enable
#
 l2fwdfast enable
#
acl number 2001
 rule 5 permit source 10.0.2.0 0.0.0.255
#
acl number 3001
 rule 5 permit udp destination-port eq tftp
#
interface Vlanif12
 ip address 10.0.20.254 255.255.255.0
#
interface Cellular5/0/0
 link-protocol ppp
#
interface Ethernet0/0/0
 ip address 10.0.10.254 255.255.255.0
#
interface Ethernet1/0/0
 portswitch
 port link-type access
 port access vlan 12
#
interface Ethernet2/0/0
 ip address 10.0.30.254 255.255.255.0
#
firewall zone local
 set priority 100
#
firewall zone trust
 set priority 85
 add interface Vlanif12
#
firewall zone untrust
 set priority 5
 add interface Ethernet0/0/0
#
firewall zone dmz
 set priority 50
 add interface Ethernet2/0/0
#
firewall interzone trust untrust
 detect java-blocking 2001 outbound
#
firewall interzone trust dmz
 detect ftp
 detect user-defined 3001 outbound
#
nqa-jitter tag-version 1
#
 ip route-static 10.0.1.0 255.255.255.0 10.0.10.1
 ip route-static 10.0.2.0 255.255.255.0 10.0.20.1
 ip route-static 10.0.3.0 255.255.255.0 10.0.30.1
 ip route-static 10.0.111.0 255.255.255.0 10.0.10.1
#
 banner enable
#
 firewall blacklist enable
 firewall blacklist item 10.0.111.1
#
user-interface con 0
user-interface tty 2
 authentication-mode none
 modem both
user-interface vty 0 4
#
 slb
#
cwmp
#
right-manager server-group
#
policy interzone dmz untrust inbound
 policy 1
  action permit
  policy service service-set icmp
  policy destination 10.0.3.3 0
 policy 2
  action permit
  policy service service-set telnet
  policy destination 10.0.3.3 0
 policy 3
  action deny
#
return
[CLIGURU-S1]display current-configuration
#
!Software Version V100R006C00SPC800
 sysname CLIGURU-S1
#
 vlan batch 11 to 13
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 11
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 12
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 13
#
interface GigabitEthernet0/0/21
 port link-type access
 port default vlan 11
#
interface GigabitEthernet0/0/22
 port link-type access
 port default vlan 12
#
interface GigabitEthernet0/0/23
 port link-type access
 port default vlan 13
#
return