计算机网络之防火墙和Wlan配置

一.防火墙

防火墙（firewall）是一种安全设备，它的位置一般处于企业网络边界与外网交界的地方，用于隔离不信任的数据包

准确点讲，它就是隔离外网和内网的一道屏障，用于保护内部资源信息安全的一种策略

防火墙的工作是基于一切不可信建立起来的，以前有一道判断题,“ 问的是防止病毒入侵最好的方式是不上网 ”，虽然我们都知道这是不理性的，不可取的，但是换一种思维，这是不是可以隔绝病毒呢？

答案是肯定的，的确可以做到，所以我们的防火墙就沿用了这一点，它不信任任何数据包，来了之后就直接丢弃，如果想要经过防火墙，我们必须要完善它的策略

这个策略决定了防火墙是否允许，或者说允许那些数据包经过，这个策略我们需要描述的就是那些数据包可以进出防火墙，描述的单位一般是，地址段、地址、端口号等

由于防火墙的默认策略是【拒绝所有】，所以没有配置允许的数据包，都会丢弃掉，这使得防火墙对于未知的攻击性数据包有很好的抵御功能，因为内部网络根本收不到这类数据包，怎么会被入侵呢

防火墙的四个区域：local，trust，untrust，dmz

local区域指的是防火墙的本地，也是可信任度最高的一个区域，也就是和防火墙直连的接口，在初始的防火墙设备中，它们是默认丢弃数据包的，在抓取数据包的时候，我们会发现，数据包到了本地接口，但是防火墙没有回应

trust区域指的是安全的，可信任的；它的可信任度仅次于本地，一般装载的都是一些内部资源数据用户，比如企业内部和公司内部，一般这个区域的用户可以有权去外部网络，但是外部网络是进不来的

dmz区域是指非军事化区，它的可信度低于trust，主要存放的就是可供内网访问的服务资源，并且也提供一部分服务给外网访问，如www服务

untrust指的是不可信任区，也就是外网所在的区域，如果没有策略或特定要求，是不能让这个区域的网络进来的

知道了这四个区域，就来了解下防火墙的配置方面，首先，防火墙也是具有路由功能的，也就是说，它是一个三层设备，所以，可以把它当作出口路由来连接，也可以作为直连路由，不管怎么连，都是需要配置IP地址的

防火墙的配置和不同的路由器又不一样，它是需要让接口进入区域的，也就是上述的那四个区域，在区域内的接口才会生效，默认是不会进入任何区域的，都需要手动加入

二.防火墙的配置（eNSP）

实操目标：

1. 配置防火墙的四个区域
2. 允许trust区域访问untrust
3. 允许trust区域访问dmz
4. 允许untrust访问dmz的www服务

trust区域对应内网，untrust对应外网，dmz对应服务器区，local就是防火墙自己的接口

在配置防火墙时，需要保证除了local区域，其它区域都是内部可通信的

防火墙的配置：

第一步：由于防火墙是三层设备，所以依旧先给接口配置地址

interface GigabitEthernet1/0/0
 ip address 192.168.40.2 255.255.255.0
 service-manage ping permit
interface GigabitEthernet1/0/1
 ip address 202.202.100.1 255.255.255.0
interface GigabitEthernet1/0/2
 ip address 172.16.37.254 255.255.255.0

第二步：让防火墙的各自接口进入自己的区域

firewall zone trust
 add interface GigabitEthernet1/0/0
firewall zone untrust
 add interface GigabitEthernet1/0/1
firewall zone dmz
 add interface GigabitEthernet1/0/2

第三步：依旧需要宣告各个网段，但是注意，外网使用rip，内部网络使用ospf

真正的网络构建时，我们也只是考虑内网，外网是不需要我们管的，在出外网时，只需要使用默认路由将数据包丢到外部，实验环境只是保证untrust是通的才使用rip宣告

ospf 1
 default-route-advertise always
 area 0.0.0.0
  network 172.16.37.0 0.0.0.255
  network 192.168.40.0 0.0.0.255
rip 1
 default-route originate
 network 202.202.100.0

第四步：制定策略

• 允许trust访问untrust区域

 rule name 1
  source-zone trust
  destination-zone untrust
  action permit

• 允许trust访问dmz区域

 rule name 2
  source-zone trust
  destination-zone dmz
  action permit

• 允许untrust访问dmz区域的www服务

 rule name 3
  source-zone untrust
  destination-zone dmz
  service http
  action permit

第五步：优化三个网络的访问部分

• 内网去外网需要将私有地址转为公有地址

nat-policy
 rule name nat1
  source-zone trust
  destination-zone untrust
  action source-nat easy-ip

• www服务映射到防火墙的出口地址，避免外网数据进入到dmz区域

 nat server 1 protocol tcp global 202.202.100.1 www inside 172.16.37.1 www

三.抓包分析

• 首先看看防火墙的默认配置，也就是不加策略

如上图：

在不加策略的情况下，防火墙是可以收到数据包的，但是它会直接丢弃掉，不会回应

这就是防火墙的默认拒绝所用报文，以防范未知危险

• 允许trust区域访问untrust

• 允许untrust访问dmz的www服务

四.wlan

WLAN是Wireless Local Area Networks的缩写，即无线局域网。它利用无线通信技术在一定的局部范围内建立的网络，其范围通常在几十米到几公里以内

配置无线wlan的模式有两种，一种是胖AP，一种是AC+瘦AP

胖AP，即信号发射器自己即需要发射无线信号，还需要实现主机IP地址分配和相关信息配置

AC+瘦AP，即AC负责AP的配置和主机地址分配，AP负责从AC拿取已经配置好的模板，并且发射无线信号

这里我么使用的是AC+瘦AP模式

配置交换机LSW4：

sysname LSW4
vlan batch 100 to 101
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk pvid vlan 100
 port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/24
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094

AP不需要配置，模板由AC下发

配置AC：

 sysname AC
#配置vlan
vlan batch 100 to 101
interface Vlanif100
 ip address 192.168.100.2 255.255.255.0
#配置接口信息
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#AP上线
wlan
 traffic-profile name default
 security-profile name default
 security-profile name password
  security wpa psk pass-phrase %^%#&#:^:j;QkREIW'Lx^@;D|cy;2s{;%M2)=#NC/"'V%^%#
aes
 security-profile name default-wds
 security-profile name default-mesh
 ssid-profile name wlan1
  ssid wlan1
 ssid-profile name default
 vap-profile name model1
  forward-mode tunnel
  service-vlan vlan-id 101
  ssid-profile wlan1
  security-profile password
 vap-profile name default
 wds-profile name default
 mesh-handover-profile name default
 mesh-profile name default
 regulatory-domain-profile name cn1
 regulatory-domain-profile name default
 air-scan-profile name default
 rrm-profile name default
 radio-2g-profile name default
 radio-5g-profile name default
 wids-spoof-profile name default
 wids-profile name default
 wireless-access-specification
 ap-system-profile name default
 port-link-profile name default
 wired-port-profile name default
 serial-profile name preset-enjoyor-toeap
 ap-group name ap-100
  regulatory-domain-profile cn1
  radio 0
   vap-profile model1 wlan 1
  radio 1
   vap-profile model1 wlan 1
  radio 2
   vap-profile model1 wlan 1
 ap-group name default
 ap-id 0 type-id 69 ap-mac 00e0-fc57-3c20 ap-sn 210235448310DE31A007
  ap-name ap0
  ap-group ap-100
 provision-ap

有关AP上线的部分就是一个模板，下面是AP上线的详解

配置AP上线
1.配置域管理模板，由系统模式进入wlan视图，首先绑定时区，我们在中国，就绑定中国的时区

[AC1]wlan
[AC1-wlan-view]regulatory-domain-profile name domain1
[AC1-wlan-regulate-domain-domain1]country-code CN

2.创建AP组，这是一个AP组用于集中管理一些AP，并且把刚刚的时区给绑定这个组内

[AC1-wlan-view]ap-group name ap-group1
[AC1-wlan-ap-group-ap-group1]regulatory-domain-profile domain1

3.配置AC源接口，配置管理Vlan，只要是这个vlan发送的数据包，都是AP和AC维持稳定的报文
需要在AC的系统模式下配置

[AC1]capwap source interface Vlanif 14

4.配置AP认证
在AC上导入AP，采用默认的mac认证，将AP加入AP组

[AC1]wlan
[AC1-wlan-view]ap auth-mode mac-auth
[AC1-wlan-view]ap-mac 00e0-fcae-2560 ap-id 0
[AC1-wlan-ap-0]ap-group ap-group1
[AC1-wlan-ap-0]ap-name ap0

5.配置WLAN业务
（1）配置安全模板，也就是连接wlan的密码

[AC1-wlan-view]security-profile name employee1
[AC1-wlan-sec-prof-employee1]security wpa psk pass-phrase 12345678 aes

（2）配置SSID模板，配置wlan的名称，连接的时候区分

[AC1-wlan-view]ssid-profile name wlanName
[AC1-wlan-ssid-prof-employee1]ssid wlanName

（3）配置vap模板，将模板都装配在vap上，由AC统一下发到范围内的AP中

[AC1-wlan-view]vap-profile name employee1
[AC1-wlan-vap-prof-employee1]forward-mode tunnel //业务转发模式为隧道模式
[AC1-wlan-vap-prof-employee1]security-profile employee1 //引用安全模板
[AC1-wlan-vap-prof-employee1]service-vlan vlan-id 16 //配置业务vlan，连接无线所在的Vlan
[AC1-wlan-vap-prof-employee1]ssid-profile wlanName //引用ssid模板

（4）配置AP组引用vap模板，ap射频0和1都使用vap模板的配置
进入一个组内，下发vap模板

[AC1-wlan-view]ap-group name ap-group1
[AC1-wlan-ap-group-ap-group1]vap-profile employee1 wlan 1 radio all

radio all：
0：2.4Ghz
1：5Ghz
2：备用5Ghz
all = 0，1，2