防火墙内网服务发布与安全策略实战
防火墙内网服务发布与安全策略实战
在企业实际运维中,将内网的服务器安全地暴露给外部访问(即服务发布),并对关键流量进行审计监控,是网络安全工程师的日常高频任务。本实验将基于 PNET 仿真环境,构建“防火墙-核心交换机-服务器”的典型三层架构,实战演练内网服务的配置、发布以及端口镜像流量监控。
一、实验环境与网络拓扑
- 仿真平台:PNetLab 云平台(建议使用带有物理透传的高配虚拟机)。
- 设备选型:防火墙(如启明或华为 USG)、三层核心交换机、模拟服务器(由交换机开启相关服务模拟)、外网 PC。
- 网络规划:
- 外网区 (Untrust):FW 外网口
192.168.147.147/24。 - 互联区:FW 内网口与核心交换机互联,VLAN 4000,网段
10.0.255.0/30。 - 服务器区 (Trust/DMZ):VLAN 200,网关
10.0.200.254/24,服务器 IP10.0.200.200/24。
- 外网区 (Untrust):FW 外网口
二、内网模拟服务器服务与 AAA 认证配置
为方便测试,我们使用一台交换机模拟内网服务器,并开启 Telnet、SSH 及 FTP 协议。
1. 开启多协议服务
登录模拟服务器(交换机),全局开启相关服务进程:
1 | <Server> system-view |
2. 配置 AAA 本地用户与权限
为保障服务安全,必须配置强认证。我们创建一个本地用户 admin 并分配相应权限:
1 | [Server] local-user admin class manage |
- FTP 根目录指定:针对 FTP 服务,必须为其指定文件传输的根目录(通常为设备 Flash 根目录):
1
2[Server-luser-manage-admin] authorization-attribute work-directory flash:/
[Server-luser-manage-admin] quit
3. VTY 线路认证配置
进入虚拟终端线路配置,设置认证方式为 AAA:
1 | [Server] line vty 0 4 |
三、防火墙外网口配置与管理放行
要实现外部网络访问,防火墙的接口必须正确配置安全域并放行管理流量。
1. 接口与安全域配置
将防火墙外网口加入 Untrust 安全域,并配置 IP 地址:
1 | <FW> system-view |
2. 放行接口管理服务
默认情况下,防火墙外网口拒绝所有主动访问。如果需要外网 PC 能够 Ping 通接口或通过 Web 界面(HTTPS 8443 端口)管理防火墙,需在接口下放行服务:
1 | [FW] interface GigabitEthernet 1/0/6 |
(注意:在真实的生产环境中,service-manage all permit 风险极高,应替换为仅放行 HTTPS 和 Ping 等必要协议:service-manage https permit。)
四、核心交换机端口镜像(旁路监控)实战
为了对服务器区的流量进行全方位审计,我们需要在核心交换机上配置端口镜像,将流量复制给旁路的安全探针。
1. 镜像组创建与端口指定
假设核心交换机连接服务器的接口为 GE 1/0/1(源端口),连接态势感知探针的接口为 GE 1/0/2(目的端口)。
1 | <Core_SW> system-view |
注:both 参数表示同时监控入方向和出方向的流量。
2. 避免二层协议干扰
在镜像目的端口上,通常需要关闭生成树协议,避免向探针发送无用的 BPDU 报文:
1 | [Core_SW] interface GigabitEthernet 1/0/2 |
3. 流量验证
在目的端口(GE 1/0/2)接入安装了 Wireshark 的终端。当外部终端尝试 Telnet 或 Ping 服务器时,Wireshark 应能完整捕获到源端口的 ICMP 或 TCP 交互数据包。这证明旁路流量复制成功。