根据实验要求配置防火墙:
合理部署防火墙安全策略和安全区域,使内网用户可以访问外网用户,反过来内部网用户和外网用户都可以访问公司的服务器
实验配置步骤1 :配置各终端、防火墙端口IP地址终端,以服务器为例:
防火墙进入配置界面,登录密码等问题请阅读文章:通过网页登录配置华为eNSP中USG6000V1防火墙
防火墙配置地址:
[USG6000V1]sy FW1 //修改名称[fw1]uninen//off提示信息info : informationcenterisdisabled.[ fw1 ] int G1/0/0 [ fw1-gigigagigagabled 0/0 ] int G1/0/1 [ fw1 -千兆以太网1/0/1 ] ipad 202.196.102[ fw1 -千兆以太网1/0/2 ] ipad 192.168
步骤二:根据终端类型,在防火墙接口上合理规划安全区域规划,如下图所示。
要将防火墙端口添加到区域:
进入[ fw1 ] [ fw1 ] firewallzonetrust//trust区域[ fw1-zone-trust ] addinterfaceg1/0///接口G1/0/0 进入adinterfaceg1/0/1[ fw1-zone-untrust ] q [ fw1 ] [ fw1 ] firewallzonedmz///dmz区域
[ fw1 ] 3360千兆以太网0/0/0千兆以太网1/0/0 # untrustpriorityis 5接口以太网zoneis (1) :千兆以太网0 dmzpriorityis 50界面(1) :千兆以太网1/0/2 #防火墙安全区域概念文章:防火墙详细信息1 )网络防火墙
步骤3 :根据实验要求配置安全策略实验要求:
内联网用户可以访问外联网用户,但是外联网用户并不是内联网用户的外联网用户和内联网用户都可以访问公司的服务器
Trust区域可以主动访问Untrust区域,反之亦然。 untrust和trust区域都可以访问DMZ区域。 因为是注意防火墙默认不允许所有流量通过,所以如果没有设定安全策略的话就无法通信。
内联网用户可以访问外联网用户,但设置安全策略以防止外联网用户访问内联网用户。内联网用户可以访问服务器。 进入[ fw1 ] [ fw1 ]安全策略//安全策略视图。 创建名为“fw1-policy-security”rulenamet 2ud//t2ud的安全规则。 [fw1-policy-security] /要设置安全规则的源安全地址为trust [ fw1-policy-security-rule-t2ud ] destination-zoneunts 但是,以防万一,预先设定([ fw1-policy-security-rule-t2ud ] ) destination-address 202.196.10.024//设置规则的目标网段(fw1-policy-security )的estination-address 192.168.10.024 [ fw1-policy-security-rule-ttte ]
[ fw1-policy-security-rule-t2ud ] disth # 规则2 ud source-zonetrustdestination-zoneuntrustdestination-zonedmzsource-address 10.0.0.0.024 destination-destion
pc1 ping pc2和服务器,调查是否畅通,发现可以,证明配置成功。
PC2无法ping pc1 (外部网用户无法访问内部网用户) :
设置安全策略,外网用户可以访问公司的服务器。 [ fw1 ] security-policy [ fw1-policy-security ] rulenameu 2d [ fw1-policy-security-rule-u2d ] source-2d destinatinatid
可以在dis security-policy all中检查所有安全策略。
[ fw1 ] dissecurity---- policyalltotal :3 ruleidrulenamestateactionhitted---------------- policyallllltotal :3 ----0 defaultenabledeny 01 T2 udenablepermit 252 U2 denablepermit5--------------- -?
[ fw1 ] dissecurity-policy ru [ fw1 ] dissecurity-policyruleu 2d (5times matched ) rulenameu 2d source-zoneuntrustdestination
PC2可以ping服务器。
实验成功!
防火墙配置命令(总) syfw1# un inen # int G1/0/0 ipad 10.0.0.25424 intg1/0/1ipad 202.196.10.25424 intg1/0/2ipad 0 firewallzoneuntrustadinterfaceg1/0/1firewallzonedmzadinterfaceg1/0/2# security-policyrulenamet2ud source-zonetrustdestination-zoneuntrustdmzsource-address 10.0.0.0.024目标# security-policyrulenameu 2d source-zoneuntrustdestination-zonedmzactionpermision