實驗配置目標:
- trust區域可以訪問DMZ區域
- trust區域可以訪問unstrust區域
- unstrust區域可以訪問DMZ區域
- trust區域可以訪問防火牆,防火牆可以訪問所有區域
首先把三個區域的接口地址給配置上:
Trust->R1:
sys
un in en
sysname Trust_R1
int e0/0/0
ip address 192.168.1.7 24
dis this
Unstrust->R2:
sys
un in en
sysname Unstrust_R2
int e0/0/0
ip address 177.7.7.7 24
dis this
DMZ: Server:
使用命令行終端對防火牆進行配置
首先設置好每個接口的IP地址,g0/0/0口除外,這是防火牆的本地口,默認設置192.168.0.1並且劃分到Trust區域
Local->FW1:
Please configure the password:Admin@123
sys
un in en
sysname FW1
int g1/0/0
ip address 192.168.1.1 24
dis this
int g1/0/1
ip address 177.7.7.1 24
dis this
int g1/0/2
ip address 123.4.5.6 24
dis this
dis ip int brief
接下來對接口地址進行區域劃分
Local->FW1:
sys
firewall zone trust
add int g1/0/0
dis this
quit
firewall zone dmz
add int g1/0/2
dis this
quit
firewall zone untrust
add int g1/0/1
dis this
接下來配置第一個要求:Trust區域可以訪問DMZ區域,先需要在防火牆上建立一條Trust區域到DMZ區域的策略,後然在Trust區域的R1上配置一條缺省路由即可
Local->FW1:
sys
security-policy
rule name trust_to_dmz
source-zone trust
destination-zone dmz
action permit
dis this
Trust->R1:
sys
ip route-static 0.0.0.0 0 192.168.1.1
dis ip routing-table
驗證Trust能否訪問DMZ區域
接下來看第二條要求,trust區域可以訪問unstrust區域
首先需要一條trust到untrust的策略,其次因爲untrust是外網,不會接受內網192.168.1.7的包,需要做一個NAT源地址轉換
Local->FW1:
sys
security-policy
rule name trsut_to_untrust
source-zone trust
destination-zone untrust
asction permit
dis this
quit
quit
nat-policy
rule name trust_nat_untrsut
source-zone trust
egress-interface g1/0/1
action nat easy-ip
dis this
驗證Trust訪問untrsut
第三條要求:unstrust區域可以訪問DMZ區域
Local->FW1:
sys
security-policy
rule name untrust_to_dmz
source-zone untrust
destination-zone dmz
action permit
dis this
Untrust->R2:
sys
ip route-static 0.0.0.0 0 177.7.7.1
dis this
驗證untrust區域訪問dmz區域
最後一個要求:trust區域可以訪問防火牆,防火牆可以訪問所有區域,首先,要使得Trust能訪問防火牆,需要進入對應接口,允許對應服務,防火牆訪問所有區域只需要一條策略允許即可
Local->FW1:
sys
int g1/0/0
service-manage ping permit
dis this
quit
security-policy
rule name local_to_any
source-zone local
destination-zone any
action permit
dis this
驗證結果:
防火牆web端配置
地址設置以及區域規,在g1/0/0接口設置的勾選上允許ping服務,也就是上述要求的允許trust訪問防火牆
策略在這裏加就是了
NAT策略在這裏
web端配置很簡單看圖配置就是了