实验配置目标:
- trust区域可以访问DMZ区域
- trust区域可以访问unstrust区域
- unstrust区域可以访问DMZ区域
- trust区域可以访问防火墙,防火墙可以访问所有区域
首先把三个区域的接口地址给配置上:
Trust->R1:
sys
un in en
sysname Trust_R1
int e0/0/0
ip address 192.168.1.7 24
dis this
Unstrust->R2:
sys
un in en
sysname Unstrust_R2
int e0/0/0
ip address 177.7.7.7 24
dis this
DMZ: Server:
使用命令行终端对防火墙进行配置
首先设置好每个接口的IP地址,g0/0/0口除外,这是防火墙的本地口,默认设置192.168.0.1并且划分到Trust区域
Local->FW1:
Please configure the password:Admin@123
sys
un in en
sysname FW1
int g1/0/0
ip address 192.168.1.1 24
dis this
int g1/0/1
ip address 177.7.7.1 24
dis this
int g1/0/2
ip address 123.4.5.6 24
dis this
dis ip int brief
接下来对接口地址进行区域划分
Local->FW1:
sys
firewall zone trust
add int g1/0/0
dis this
quit
firewall zone dmz
add int g1/0/2
dis this
quit
firewall zone untrust
add int g1/0/1
dis this
接下来配置第一个要求:Trust区域可以访问DMZ区域,先需要在防火墙上建立一条Trust区域到DMZ区域的策略,后然在Trust区域的R1上配置一条缺省路由即可
Local->FW1:
sys
security-policy
rule name trust_to_dmz
source-zone trust
destination-zone dmz
action permit
dis this
Trust->R1:
sys
ip route-static 0.0.0.0 0 192.168.1.1
dis ip routing-table
验证Trust能否访问DMZ区域
接下来看第二条要求,trust区域可以访问unstrust区域
首先需要一条trust到untrust的策略,其次因为untrust是外网,不会接受内网192.168.1.7的包,需要做一个NAT源地址转换
Local->FW1:
sys
security-policy
rule name trsut_to_untrust
source-zone trust
destination-zone untrust
action permit
dis this
quit
quit
nat-policy
rule name trust_nat_untrsut
source-zone trust
egress-interface g1/0/1
action nat easy-ip
dis this
验证Trust访问untrsut
第三条要求:unstrust区域可以访问DMZ区域
Local->FW1:
sys
security-policy
rule name untrust_to_dmz
source-zone untrust
destination-zone dmz
action permit
dis this
Untrust->R2:
sys
ip route-static 0.0.0.0 0 177.7.7.1
dis this
验证untrust区域访问dmz区域
最后一个要求:trust区域可以访问防火墙,防火墙可以访问所有区域,首先,要使得Trust能访问防火墙,需要进入对应接口,允许对应服务,防火墙访问所有区域只需要一条策略允许即可
Local->FW1:
sys
int g1/0/0
service-manage ping permit
dis this
quit
security-policy
rule name local_to_any
source-zone local
destination-zone any
action permit
dis this
验证结果:
防火墙web端配置
地址设置以及区域规,在g1/0/0接口设置的勾选上允许ping服务,也就是上述要求的允许trust访问防火墙
策略在这里加就是了
NAT策略在这里
web端配置很简单看图配置就是了