一、防火墙拓扑
二、配置需求
1、通过配置实现PC1属于信任Trust区域,Server属于Dmz,PC2属于Untrust区域
2、配置防火墙安全策略实现PC1可以访问服务器及互联网PC2
3、进行测试验证
三、防火墙配置
1、防火墙安全区域接口配置
[
USG6000V1-GigabitEthernet1/0/1] ip address 172.16.10.254 255.255.255.0//dmz区域网关
[
USG6000V1-GigabitEthernet1/0/2] ip address 202.202.202.254 255.255.255.0//出口互联
interface GigabitEthernet1/0/0
ip address 192.168.10.254 255.255.255.0 //trust区域PC1的网关
service-manage https permit//接口允许ping,默认接口禁止ping
[USG6000V1]firewall zone trust //配置防火墙区域trust将接口0/0/0和0/0/1加入trust
[USG6000V1-zone-trust]add interface GigabitEthernet 0/0/0
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0
[USG6000V1]firewall zone dmz//将G1/0/1接口加入dmz区域
[USG6000V1-zone-dmz] add interface GigabitEthernet1/0/1
[USG6000V1]firewall zone untrust//将G1/0/2接口加入untrust区域
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/2
注意事项:
涉及到防火墙,如果防火墙接口没有加入安全区域同时放行ping,则接口无法ping通
防火墙接口G1/0/0既加入安全区域Trust,又同时放行ping,因此PC1可以正常ping通接口
2、防火墙安全策略配置
此时PC1只可以ping通自己的网关,但是无法ping通服务器和互联网
防火墙默认安全策略是禁止区域间访问,因此我们需要配置允许区域间访问
1)、配置允许Trust区域ping通DMZ服务器区域
我们通过安全策略配置使用源目IP方式进行配置:
[USG6000V1]security-policy //安全策略配置
[USG6000V1-policy-security] rule name trust_dmz//创建访问规则
[USG6000V1-policy-security-rule-trust_dmz] source-address 192.168.10.1 0.0.0.0
//配置安全策略的源地址
[USG6000V1-policy-security-rule-trust_dmz] destination-address 172.16.10.0 mask
255.255.255.0 //配置安全策略的目的地址段
[
USG6000V1-policy-security-rule-trust_dmz] service icmp //配置服务为icmp
[
USG6000V1-policy-security-rule-trust_dmz] action permit//配置执行动作为permit
2)、测试PC1可以ping通服务器
3)、配置允许Trust区域ping通Untrust互联网区域
我们通过安全策略配置使用源目安全区域的方式进行配置:
[USG6000V1]security-policy //配置安全策略
[
USG6000V1-policy-security-rule-trust_dmz] rule name tust_untrust//配置规则名字
[
USG6000V1-policy-security-rule-tust_untrust] source-zone trust//配置安全策略源安全区域
[
USG6000V1-policy-security-rule-tust_untrust] destination-zone untrust//配置安全策略目的安全区域
[
USG6000V1-policy-security-rule-tust_untrust] service icmp//配置服务
[
USG6000V1-policy-security-rule-tust_untrust] action permit//配置执行服务为允许
4)、测试PC1可以ping通互联网
5)、查看防火墙会话表项
[USG6000V1]display firewall session table//可以查看PC1与Dmz和Untrust通信会话表项
icmp VPN: public --> public 192.168.10.1:65381 --> 172.16.10.1:2048
icmp VPN: public --> public 192.168.10.1:64101 --> 202.202.202.1:2048
总结: 以上配置演示我们通过两种方式实现基本的防火墙安全策略配置
第一种我们通过安全策略配置源目IP方式实现
第二种我们通过安全策略配置源目安全区域方式实现
本文地址:https://gpu.xuandashi.com/4779.html,转载请说明来源于:渲大师
声明:本站部分内容来自网络,如无特殊说明或标注,均为本站原创发布。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。分享目的仅供大家学习与参考,不代表本站立场!
