【网络安全-防火墙配置】

一、概念

控制谁能访问谁、允许什么流量、拒绝什么流量，负责：访问控制（允许 / 拒绝）、NAT地址转换（内网访问外网）、安全策略（端口、协议、时间段）。

二、区域策略配置

1.区域划分（Zone）：防火墙会把接口分成不同安全区域，默认规则：高安全区（内）→ 低安全区（外）：默认允许，低安全区（外） → 高安全区（内）：默认拒绝。常见区域：Trust（信任区）：内网、办公网（安全级别高），Untrust（非信任区）：互联网（安全级别低），DMZ（隔离区）：服务器区（如 Web、邮件）。
2.安全策略（Policy）：源区域 + 源IP + 目的区域 + 目的IP + 服务/端口 + 动作（允许/拒绝）
举例1（允许某IP段），允许内网192.168.1.0/24访问外网所有地址：security-policy（下发安全策略），rule name trust-to-untrust-all（设定规则名称是trust-to-untrust-all），source-zone trust（源区域是信任区域），destination-zone untrust（目标区域是非信任区域），source-address 192.168.1.0 24（源IP段是192.168.1.0 24），action permit（动作是允许）。
举例2（禁止某服务）：拒绝外网访问内网3389端口（RDP）：security-policy（下发安全策略），rule name untrust-to-trust-rdp-deny（设定规则名称是untrust-to-trust-rdp-deny），source-zone untrust（源区域是非信任区域），destination-zone trust（目标区域是信任区域），service rdp（服务是rdp服务），action deny（动作是拒绝）
举例3（允许某服务）：允许外网访问DMZ区80/443端口：security-policy（下发安全策略），rule name untrust-to-dmz-http-https（设定规则名称是untrust-to-dmz-http-https），source-zone untrust（源区域是非信任区域），destination-zone dmz（目标区域是dmz区域），service http https（服务是http、https服务），action permit（动作是允许）

三、NAT配置

1.源NAT（SNAT）：内网访问互联网时，把内网IP换成公网IP，常用Easy IP。
2.目的NAT（DNAT / 端口映射）：外网访问内网服务器时，把公网IP +端口映射到内网服务器。
3.接口与路由：给接口配IP，写默认路由指向运营商，内网网段静态路由。
举例1：配置内网口（Trust）IP（网关地址），接口：GigabitEthernet 0/0/1，内网网关：192.168.10.1 24，加入安全区域：trust。
interface GigabitEthernet 0/0/1，ip address 192.168.10.1 255.255.255.0（设置GE0/0/1口地址），service-manage all permit（允许别人访问防火墙自己的管理功能），quit，firewall zone trust（设定信任区域），add interface GigabitEthernet 0/0/1（将GE0/0/1口加入到信任区域中）quit
举例2：配置外网口（Untrust）公网 IP，接口：GigabitEthernet 0/0/0，运营商给的公网IP：202.100.1.2 30，对端运营商网关：202.100.1.1，加入安全区域：untrust。
interface GigabitEthernet 0/0/0，ip address 202.100.1.2 255.255.255.252（设置GE0/0/0口地址），quit，firewall zone untrust（设定位非信任区域），add interface GigabitEthernet 0/0/0（将GE0/0/0口加入到非信任区域中），quit
举例3：配置SNAT，使内网PC能够访问互联网，内网网段：192.168.10.0 24。
nat-policy（设定nat策略），rule name trust-to-untrust-snat（规则名称是trust-to-untrust-snat），source-zone trust（源区域是信任区域），destination-zone untrust（目标区域是非信任区域），source-address 192.168.10.0 24（设定源地址段），action nat easy-ip（用接口本身IP），quit
举例4：配置 DNAT（端口映射，外网访问内网服务器），公网口 IP：202.100.1.2，外网访问：202.100.1.2:8080，映射到内网服务器：192.168.10.100:80（外网用户访问的8080端口时，映射到本地服务器80端口）。
nat server protocol tcp global 202.100.1.2 8080 inside 192.168.10.100 80（nat server代表内网服务器对外发布，protocol tcp代表tcp协议，global 202.100.1.2 8080代表外网的地址和端口，inside 192.168.10.100 80代表访问的内网的地址和端口），security-policy（设定nat策略），rule name untrust-to-server-http（规则名称是untrust-to-server-http），source-zone untrust（源区域是非信任区域），destination-zone trust（目标区域是信任区域），destination-address 192.168.10.100 32（表明内网服务器的地址），service http（访问的服务是http），action permit（规则是允许）
举例5：外网RDP远程桌面进内网电脑，公网 IP：123.1.1.1，内网电脑：192.168.1.100，端口：3389
nat server protocol rdp global 123.1.1.1 3389 inside 192.168.1.100 3389（nat server代表内网服务器对外发布，protocol rdp代表rdp协议，global 123.1.1.1 3389代表外网的地址和端口，inside 192.168.1.100 3389代表访问的内网的地址和端口），security-policy（设定nat策略），rule name untrust-to-trust-rdp-permit（规则名称是untrust-to-trust-rdp-permit），source-zone untrust（源区域是非信任区域），destination-zone trust（目标区域是信任区域），destination-address 192.168.1.100 32（表明内网服务器的地址），service rdp（访问的服务是rdp），action permit（规则是允许）

nat server protocol tcp global 123.1.1.1 3389 inside 192.168.1.100 3389

security-policy
rule name untrust-to-server
source-zone untrust
destination-zone trust
destination-address 192.168.100.100 32
service tcp 80
action permit