實驗要求
根據實驗要求配置防火牆:
- 合理部署防火牆安全策略以及安全區域
- 實現內網用戶可以訪問外網用戶,反之不能訪問
- 內網用戶和外網用戶均可以訪問公司服務器
實驗配置
步驟一:配置各個終端、防火牆端口IP地址
終端以服務器爲例:
防火牆進入配置界面,登錄密碼等問題請閱讀文章:通過網頁登錄配置華爲eNSP中USG6000V1防火牆
防火牆端口配置地址:
[USG6000V1]sy FW1 //修改名稱
[FW1]un in en //關閉提示信息
Info: Information center is disabled.
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip ad 10.0.0.254 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip ad 202.196.10.254 24
[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip ad 192.168.10.254 24
可以使用display ip interface brief
查看接口IP等信息。
步驟二:根據終端類型,給防火牆的接口合理規劃安全區域
區域規劃如下圖:
將防火牆端口添加到區域中:
[FW1]
[FW1]firewall zone trust //進入trust區域
[FW1-zone-trust]add interface g1/0/0 //將接口G1/0/0添加到trust區域中
[FW1-zone-trust]firewall zone untrust //進入untrust區域
[FW1-zone-untrust]ad interface g1/0/1
[FW1-zone-untrust]q
[FW1]
[FW1]firewall zone dmz //進入DMZ區域
[FW1-zone-dmz]ad interface g1/0/2
配置完成之後可以通過dis zone
查看區域詳細信息:
[FW1]dis zone
local
priority is 100 //信任值 100
interface of the zone is (0):
#
trust
priority is 85
interface of the zone is (2):
GigabitEthernet0/0/0
GigabitEthernet1/0/0
#
untrust
priority is 5
interface of the zone is (1):
GigabitEthernet1/0/1
#
dmz
priority is 50
interface of the zone is (1):
GigabitEthernet1/0/2
#
防火牆安全區域概念見文章:防火牆詳解(一) 網絡防火牆簡介
步驟三:根據實驗要求配置安全策略
實驗要求:
- 內網用戶可以訪問外網用戶,但是外網用戶不能訪問內網用戶
- 外網用戶和內網用戶都可以訪問公司服務器
也就是說
- Trust區域可以主動訪問Untrust區域,但是反之不行。
- untrust區域和trust區域都可以訪問DMZ區域。
注意防火牆默認不允許所有流量通過所以未配置安全策略時都不能通信。
配置安全策略,使得內網用戶可以訪問外網用戶,但是外網用戶不能訪問內網用戶;內網用戶可以訪問服務器:
[FW1]
[FW1]security-policy //進入安全策略視圖
[FW1-policy-security]rule name t2ud //創建名爲t2ud的安全規則
[FW1-policy-security-rule-t2ud]source-zone trust //設置安全規則的源安全地址爲trust
[FW1-policy-security-rule-t2ud]destination-zone untrust dmz //設置安全規則的目的安全地址爲untrust和DMZ
[FW1-policy-security-rule-t2ud]source-address 10.0.0.0 24 //設置安全規則源網段(上面設置了源、目的區域。其實網段可以不設置,但是保險起見還是設置一下)
[FW1-policy-security-rule-t2ud]destination-address 202.196.10.0 24 //設置規則目的網段
[FW1-policy-security-rule-t2ud]destination-address 192.168.10.0 24
[FW1-policy-security-rule-t2ud]action permit //設置安全規則的動作爲允許
查看:
[FW1-policy-security-rule-t2ud]dis th
#
rule name t2ud
source-zone trust
destination-zone untrust
destination-zone dmz
source-address 10.0.0.0 24
destination-address 192.168.10.0 24
destination-address 202.196.10.0 24
action permit
#
return
驗證:
PC1 ping
PC2 與 服務器 查看是否能通,發現可以,證明配置成功。
PC2不能ping
通PC1(外網用戶不能訪問內網用戶):
配置安全策略,外網用戶可以訪問公司服務器:
[FW1]security-policy
[FW1-policy-security]rule name u2d
[FW1-policy-security-rule-u2d]source-zone untrust
[FW1-policy-security-rule-u2d]destination-zone dmz
[FW1-policy-security-rule-u2d]action permit
查看:
我們可以通過dis security-policy all
查看全部安全策略:
[FW1]dis security-policy all
Total:3
RULE ID RULE NAME STATE ACTION HITTED
-------------------------------------------------------------------------------
0 default enable deny 0
1 t2ud enable permit 25
2 u2d enable permit 5
-------------------------------------------------------------------------------
也可以使用dis security-policy rule u2d
查看單個規則詳細信息:
[FW1]dis security-policy ru
[FW1]dis security-policy rule u2d
(5 times matched)
rule name u2d
source-zone untrust
destination-zone dmz
action permit
驗證:
PC2可以 ping
通服務器。
實驗成功!
防火牆配置命令(總)
#
sy FW1
#
un in en
#
int g1/0/0
ip ad 10.0.0.254 24
int g1/0/1
ip ad 202.196.10.254 24
int g1/0/2
ip ad 192.168.10.254 24
#
firewall zone trust
add interface g1/0/0
firewall zone untrust
ad interface g1/0/1
firewall zone dmz
ad interface g1/0/2
#
security-policy
rule name t2ud
source-zone trust
destination-zone untrust dmz
source-address 10.0.0.0 24
destination-address 202.196.10.0 24
destination-address 192.168.10.0 24
action permit
#
security-policy
rule name u2d
source-zone untrust
destination-zone dmz
action permit
#