服务器防火墙怎么设置(服务器配置防火墙)

服务器防火墙怎么设置(服务器配置防火墙)

一、防火墙拓扑

服务器防火墙怎么设置(服务器配置防火墙)

二、配置需求

1、通过配置实现PC1属于信任Trust区域,Server属于Dmz,PC2属于Untrust区域

2、配置防火墙安全策略实现PC1可以访问服务器及互联网PC2

3、进行测试验证

三、防火墙配置

1、防火墙安全区域接口配置

[
USG6000V1-GigabitEthernet1/0/1] ip address 172.16.10.254 255.255.255.0//dmz区域网关

[
USG6000V1-GigabitEthernet1/0/2] ip address 202.202.202.254 255.255.255.0//出口互联

interface GigabitEthernet1/0/0

ip address 192.168.10.254 255.255.255.0 //trust区域PC1的网关

service-manage https permit//接口允许ping,默认接口禁止ping

[USG6000V1]firewall zone trust //配置防火墙区域trust将接口0/0/0和0/0/1加入trust

[USG6000V1-zone-trust]add interface GigabitEthernet 0/0/0

[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0

[USG6000V1]firewall zone dmz//将G1/0/1接口加入dmz区域

[USG6000V1-zone-dmz] add interface GigabitEthernet1/0/1

[USG6000V1]firewall zone untrust//将G1/0/2接口加入untrust区域

[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/2

注意事项:

涉及到防火墙,如果防火墙接口没有加入安全区域同时放行ping,则接口无法ping通

防火墙接口G1/0/0既加入安全区域Trust,又同时放行ping,因此PC1可以正常ping通接口

2、防火墙安全策略配置

此时PC1只可以ping通自己的网关,但是无法ping通服务器和互联网

服务器防火墙怎么设置(服务器配置防火墙)

防火墙默认安全策略是禁止区域间访问,因此我们需要配置允许区域间访问

1)、配置允许Trust区域ping通DMZ服务器区域

我们通过安全策略配置使用源目IP方式进行配置:

[USG6000V1]security-policy //安全策略配置

[USG6000V1-policy-security] rule name trust_dmz//创建访问规则

[USG6000V1-policy-security-rule-trust_dmz] source-address 192.168.10.1 0.0.0.0

//配置安全策略的源地址

[USG6000V1-policy-security-rule-trust_dmz] destination-address 172.16.10.0 mask

255.255.255.0 //配置安全策略的目的地址段

[
USG6000V1-policy-security-rule-trust_dmz] service icmp //配置服务为icmp

[
USG6000V1-policy-security-rule-trust_dmz] action permit//配置执行动作为permit

2)、测试PC1可以ping通服务器

服务器防火墙怎么设置(服务器配置防火墙)

3)、配置允许Trust区域ping通Untrust互联网区域

我们通过安全策略配置使用源目安全区域的方式进行配置:

[USG6000V1]security-policy //配置安全策略

[
USG6000V1-policy-security-rule-trust_dmz] rule name tust_untrust//配置规则名字

[
USG6000V1-policy-security-rule-tust_untrust] source-zone trust//配置安全策略源安全区域

[
USG6000V1-policy-security-rule-tust_untrust] destination-zone untrust//配置安全策略目的安全区域

[
USG6000V1-policy-security-rule-tust_untrust] service icmp//配置服务

[
USG6000V1-policy-security-rule-tust_untrust] action permit//配置执行服务为允许

4)、测试PC1可以ping通互联网

服务器防火墙怎么设置(服务器配置防火墙)

5)、查看防火墙会话表项

[USG6000V1]display firewall session table//可以查看PC1与Dmz和Untrust通信会话表项

icmp VPN: public --> public 192.168.10.1:65381 --> 172.16.10.1:2048

icmp VPN: public --> public 192.168.10.1:64101 --> 202.202.202.1:2048

总结: 以上配置演示我们通过两种方式实现基本的防火墙安全策略配置

第一种我们通过安全策略配置源目IP方式实现

第二种我们通过安全策略配置源目安全区域方式实现

分享到 :
相关推荐

浅述HostGator快速安装WordPress教程

我们大家都知道HostGator的服务器是放在美国得克萨斯州东部城市的达拉斯Thep...

linux服务器连接ssh很慢怎么解决(linux服务器ssh连接不上)

如果Linux服务器连接SSH很慢。可以尝试以下几个解决方法:1。检查网络连接首[&...

cdn加速一般多少钱(cdn加速一般多少钱)

大家好,今天来介绍cdn加速一般多少钱(cdn怎么收费的)的问题,以下是渲大师小编对...

双线高防服务器具有什么样的优势

双线高防服务器的优势有:1。双线高防服务器具有高强度。高精准度的防御能力。能够抵御网...

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注