【案例分享】华为防火墙基于应用协议的策略路由配置
发布作者:微思网络 发布时间:2022-11-04 浏览量:0次
通过配置策略路由实现不同应用协议的数据通过不同的链路转发。
如图1所示,在企业内部网络出口处部署一台FW,FW分别通过与ISP-A的Router_A、ISP-B的Router_B互连的两条链路连接到Internet。ISP-A上网速度快、网络速度稳定但费用较高,ISP-B上网费用低廉,但是网速相对慢一些。 要求业务类流量由接口GE0/0/2发出,通过ISP-A到达Internet,休闲娱乐类流量由接口GE0/0/4发出,通过ISP-B到达Internet。 图1 基于应用协议的策略路由组网图 1、配置接口IP地址和安全区域,完成网络基本参数配置。 2、配置IP-Link功能,检测链路状态。 3、配置安全策略。 4、创建策略路由规则“pbr_1”和“pbr_2”,使内部网络与业务相关的流量都由接口GE0/0/2发出,通过ISP-A到达Internet;内部网络休闲娱乐类流量都由接口GE0/0/4发出,通过ISP-B到达Internet[FW] interface GigabitEthernet 0/0/2
[FW-GigabitEthernet0/0/2] ip address 10.10.1.1 255.255.255.0
[FW-GigabitEthernet0/0/2] quit
[FW] interface GigabitEthernet 0/0/3
[FW-GigabitEthernet0/0/3] ip address 10.1.1.1 255.255.255.0
[FW-GigabitEthernet0/0/3] quit
[FW] interface GigabitEthernet 0/0/4
[FW-GigabitEthernet0/0/4] ip address 10.20.1.1 255.255.255.0
[FW-GigabitEthernet0/0/4] quit
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 0/0/3
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 0/0/2
[FW-zone-untrust] add interface GigabitEthernet 0/0/4
[FW-zone-untrust] quit[FW] ip-link check enable
[FW] ip-link name pbr_1
[FW-iplink-pbr_1] destination 10.10.1.2 interface GigabitEthernet 0/0/2
[FW-iplink-pbr_1] quit
[FW] ip-link name pbr_2
[FW-iplink-pbr_2] destination 10.20.1.2 interface GigabitEthernet 0/0/4
[FW-iplink-pbr_2] quit# 配置Trust区域和Untrust区域之间的安全策略,允许企业内网用户访问外网资源。假设内部用户网段为10.1.1.0/24。
[FW] security-policy
[FW-policy-security] rule name policy_sec_trust_untrust
[FW-policy-security-rule-policy_sec_trust_untrust] source-zone trust
[FW-policy-security-rule-policy_sec_trust_untrust] destination-zone untrust
[FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.1.1.0 24
[FW-policy-security-rule-policy_sec_trust_untrust] action permit
[FW-policy-security-rule-policy_sec_trust_untrust] quit
[FW-policy-security] quit[FW] policy-based-route
[FW-policy-pbr] rule name pbr_1
[FW-policy-pbr-rule-pbr_1] description pbr_1
[FW-policy-pbr-rule-pbr_1] source-zone trust
[FW-policy-pbr-rule-pbr_1] application category Business_Systems
[FW-policy-pbr-rule-pbr_1] track ip-link pbr_1
[FW-policy-pbr-rule-pbr_1] action pbr egress-interface GigabitEthernet 0/0/2 next-hop 10.10.1.2
[FW-policy-pbr-rule-pbr_1] quit
[FW-policy-pbr] rule name pbr_2
[FW-policy-pbr-rule-pbr_2] description pbr_2
[FW-policy-pbr-rule-pbr_2] source-zone trust
[FW-policy-pbr-rule-pbr_2] application category Entertainment
[FW-policy-pbr-rule-pbr_2] track ip-link pbr_2
[FW-policy-pbr-rule-pbr_2] action pbr egress-interface GigabitEthernet 0/0/4 next-hop 10.20.1.2
[FW-policy-pbr-rule-pbr_2] quit
配置脚本interface GigabitEthernet0/0/2
ip address 10.10.1.1 255.255.255.0
#
interface GigabitEthernet0/0/3
ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/4
ip address 10.20.1.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/3
#
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/2
add interface GigabitEthernet0/0/4
#
security-policy
rule name policy_sec_trust_untrust
source-zone trust
destination-zone untrust
source-address 10.1.1.0 24
action permit
#
ip-link check enable
ip-link name pbr_1
destination 10.10.1.2 interface GigabitEthernet 0/0/2
ip-link name pbr_2
destination 10.20.1.2 interface GigabitEthernet 0/0/4
#
policy-based-route
rule name pbr_1
description pbr_1
source-zone trust
application category Business_Systems
track ip-link pbr_1
action pbr egress-interface GigabitEthernet0/0/2 next-hop 10.10.1.2
rule name pbr_2
description pbr_2
source-zone trust
application category Entertainment
track ip-link pbr_2
action pbr egress-interface GigabitEthernet0/0/4 next-hop 10.20.1.2