防火墙安全策略例外情况演示()
原创
缺省情况下,安全策略仅对单播报文进行控制,对广播和组播报文不做控制,直接转发。但是还存在一些特殊情况:
下表中的协议均为网络互联互通协议,为了安全起见,这些协议的单播报文默认受安全策略和缺省安全策略控制,如果希望设备能够快速接入网络,可以配置undo firewall packet-filter basic-protocol enable命令,使这些协议的单播报文不受安全策略和缺省安全策略控制。
协议类型 | 经过FW的报文 | 到FW自身的报文/从FW发出的报文 | 说明 |
|---|---|---|---|
BFD | 单播报文:受控组播报文:不受控 | 单播报文:受控组播报文:不受控 | 可以依据目的IP地址来区分是单播报文或组播报文。 |
BGP | 受控 | 受控 | BGP只存在单播报文。 |
DHCPv4 | 单播报文(UDP端口号67/68):受控广播报文(UDP端口号67/68):不受控 | 单播报文(UDP端口号67/68):受控广播报文(UDP端口号67/68):不受控 | 可以依据目的IP地址来区分是单播报文或组播报文。 |
DHCPv6 | 单播报文(UDP端口号546/547):受控组播报文(UDP端口号546/547):不受控 | 单播报文(UDP端口号546/547):受控组播报文(UDP端口号546/547):不受控 | 可以依据目的IP地址来区分是单播报文或组播报文。 |
LDP | 单播报文(TCP端口号:646):受控组播报文(UDP端口号:646):不受控 | 单播报文(TCP端口号:646):受控组播报文(UDP端口号:646):不受控 | - |
OSPF | 单播报文:受控 | 单播报文(协议号:89):受控组播报文(协议号:89):不受控 | 经过防火墙的OSPF报文只有配置虚连接时才会出现,且该场景下只存在OSPF单播报文。可以依据目的IP地址来区分是单播报文或组播报文。 |
任务1:配置防火墙策略,观察OSPF邻居建立状态,理解防火墙受控规则。
#验证1:查看OSFP邻居协商过程,通过修改防火墙策略验证例外情况。
#在FW6和R2上配置ospf同时在接口上抓包。
[FW6]inter GigabitEthernet 1/0/0
[FW6-GigabitEthernet1/0/0]ip add 192.168.1.6 24
[FW6]ospf
[FW6]ospf 1
[FW6-ospf-1]area 0
[FW6-ospf-1-area-0.0.0.0]network 192.168.1.6 0.0.0.0
[R2]inter GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip add 192.168.1.2 24
[R2]ospf
[R2-ospf-1]
[R2-ospf-1]are 0
[R2-ospf-1-area-0.0.0.0]network 192.168.1.2 0.0.0.0
#查看邻居状态,一直在Exstart中。
[FW6]dis ospf peer brief
OSPF Process 1 with Router ID 192.168.1.6
Peer Statistic Information
----------------------------------------------------------------------------
Area Id Interface Neighbor id State
0.0.0.0 GigabitEthernet1/0/0 192.168.1.2 ExStart
----------------------------------------------------------------------------
Total Peer(s): 1
通过转包只能收到OSPF hello报文的组播报文
# 配置如下使OSPF的单播报文不受安全策略和缺省安全策略控制。
[FW6]undo firewall packet-filter basic-protocol enable
[FW6]undo firewall packet-filter basic-protocol enable
#在FW6上配置安全策略:
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0 //默认存在
add interface GigabitEthernet1/0/0 //需要配置
#
#
security-policy
rule name ospf
source-zone local
destination-zone trust
source-address 192.168.1.6 mask 255.255.255.255
destination-address 192.168.1.2 mask 255.255.255.255
service ospf
action permit
#
[FW6-zone-trust]
Sep 5 2022 07:05:36 FW6 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.191.3
.1 configurations have been changed. The current change number is 14, the change
loop count is 0, and the maximum number of records is 4095.
Sep 5 2022 07:05:36 FW6 %%01OSPF/4/NBR_CHANGE_E(l)[8]:Neighbor changes event: n
eighbor status changed. (ProcessId=1, NeighborAddress=192.168.1.2, NeighborEvent
=NegotiationDone, NeighborPreviousState=ExStart, NeighborCurrentState=Exchange)
Sep 5 2022 07:05:36 FW6 %%01OSPF/4/NBR_CHANGE_E(l)[9]:Neighbor changes event: n
eighbor status changed. (ProcessId=1, NeighborAddress=192.168.1.2, NeighborEvent
=ExchangeDone, NeighborPreviousState=Exchange, NeighborCurrentState=Loading)
Sep 5 2022 07:05:36 FW6 %%01OSPF/4/NBR_CHANGE_E(l)[10]:Neighbor changes event:
neighbor status changed. (ProcessId=1, NeighborAddress=192.168.1.2, NeighborEven
t=LoadingDone, NeighborPreviousState=Loading, NeighborCurrentState=Full)
#此时OSPF邻居full,已经正常建立。
[FW6-zone-trust]dis ospf peer brief
2022-09-05 07:07:51.980
OSPF Process 1 with Router ID 192.168.1.6
Peer Statistic Information
----------------------------------------------------------------------------
Area Id Interface Neighbor id State
0.0.0.0 GigabitEthernet1/0/0 192.168.1.2 Full
----------------------------------------------------------------------------
此时OSPF协议单播报文通过,并开始协商。
任务2:配置防火墙策略,观察BGP邻居建立状态,理解防火墙受控规则。(保留上面配置)
#FW6和R2上配置简单的bgp邻居。
[FW6]bgp 100
[FW6-bgp]peer 192.168.1.2 as-number 100
[R2]bgp 100
[R2-bgp]peer 192.168.1.6 as-number 100
#邻居状态直接Established。
[FW6-bgp]dis bgp peer
BGP local router ID : 192.168.1.6
Local AS number : 100
Total number of peers : 1 Peers in established state : 1
Peer V AS MsgRcvd MsgSent OutQ Up/Down State Pre
fRcv
192.168.1.2 4 100 2 3 0 00:00:47 Established 
此时发现BGP邻居直接建立成功
尝试配置firewall packet-filter basic-protocol enable命令,观察下现象。
#配置默认协议包过滤策略命令。
[FW6-bgp]firewall packet-filter basic-protocol enable
[FW6]quit
<FW6>
<FW6>reset bgp all //重启BGP进程,观察协商情况。
<FW6>
Sep 5 2022 07:22:13 FW6 %%01BGP/3/STATE_CHG_UPDOWN(l)[12]:The status of the pee
r 192.168.1.2 changed from ESTABLISHED to IDLE. (InstanceName=Public, StateChang
eReason=CEASE/Administrative Reset)
#此时R2收到系统消息,Notification Message Received。
[R2-bgp]
Sep 5 2022 15:22:16-08:00 R2 %%01BGP/3/STATE_CHG_UPDOWN(l)[1]:The status of the
peer 192.168.1.6 changed from ESTABLISHED to IDLE. (InstanceName=Public, StateC
hangeReason=Notification Message Received)
此时GBP无法发送单播报文,BGP的TCP三次握手无法建立。
#再次尝试配置undo命令,观察下现象,BGP邻居迅速建立:
[FW6-bgp]undo firewall packet-filter basic-protocol enable
[FW6]undo firewall packet-filter basic-protocol enable
[FW6]dis bgp peer
BGP local router ID : 192.168.1.6
Local AS number : 100
Total number of peers : 1 Peers in established state : 1
Peer V AS MsgRcvd MsgSent OutQ Up/Down State Pre
fRcv
192.168.1.2 4 100 2 2 0 00:00:16 Established 0原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
登录后参与评论
推荐阅读
腾讯云开发者
