服务器防火墙怎么设置(服务器配置防火墙)

服务器防火墙怎么设置(服务器配置防火墙)

一、防火墙拓扑

服务器防火墙怎么设置(服务器配置防火墙)

二、配置需求

1、通过配置实现PC1属于信任Trust区域,Server属于Dmz,PC2属于Untrust区域

2、配置防火墙安全策略实现PC1可以访问服务器及互联网PC2

3、进行测试验证

三、防火墙配置

1、防火墙安全区域接口配置

[
USG6000V1-GigabitEthernet1/0/1] ip address 172.16.10.254 255.255.255.0//dmz区域网关

[
USG6000V1-GigabitEthernet1/0/2] ip address 202.202.202.254 255.255.255.0//出口互联

interface GigabitEthernet1/0/0

ip address 192.168.10.254 255.255.255.0 //trust区域PC1的网关

service-manage https permit//接口允许ping,默认接口禁止ping

[USG6000V1]firewall zone trust //配置防火墙区域trust将接口0/0/0和0/0/1加入trust

[USG6000V1-zone-trust]add interface GigabitEthernet 0/0/0

[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0

[USG6000V1]firewall zone dmz//将G1/0/1接口加入dmz区域

[USG6000V1-zone-dmz] add interface GigabitEthernet1/0/1

[USG6000V1]firewall zone untrust//将G1/0/2接口加入untrust区域

[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/2

注意事项:

涉及到防火墙,如果防火墙接口没有加入安全区域同时放行ping,则接口无法ping通

防火墙接口G1/0/0既加入安全区域Trust,又同时放行ping,因此PC1可以正常ping通接口

2、防火墙安全策略配置

此时PC1只可以ping通自己的网关,但是无法ping通服务器和互联网

服务器防火墙怎么设置(服务器配置防火墙)

防火墙默认安全策略是禁止区域间访问,因此我们需要配置允许区域间访问

1)、配置允许Trust区域ping通DMZ服务器区域

我们通过安全策略配置使用源目IP方式进行配置:

[USG6000V1]security-policy //安全策略配置

[USG6000V1-policy-security] rule name trust_dmz//创建访问规则

[USG6000V1-policy-security-rule-trust_dmz] source-address 192.168.10.1 0.0.0.0

//配置安全策略的源地址

[USG6000V1-policy-security-rule-trust_dmz] destination-address 172.16.10.0 mask

255.255.255.0 //配置安全策略的目的地址段

[
USG6000V1-policy-security-rule-trust_dmz] service icmp //配置服务为icmp

[
USG6000V1-policy-security-rule-trust_dmz] action permit//配置执行动作为permit

2)、测试PC1可以ping通服务器

服务器防火墙怎么设置(服务器配置防火墙)

3)、配置允许Trust区域ping通Untrust互联网区域

我们通过安全策略配置使用源目安全区域的方式进行配置:

[USG6000V1]security-policy //配置安全策略

[
USG6000V1-policy-security-rule-trust_dmz] rule name tust_untrust//配置规则名字

[
USG6000V1-policy-security-rule-tust_untrust] source-zone trust//配置安全策略源安全区域

[
USG6000V1-policy-security-rule-tust_untrust] destination-zone untrust//配置安全策略目的安全区域

[
USG6000V1-policy-security-rule-tust_untrust] service icmp//配置服务

[
USG6000V1-policy-security-rule-tust_untrust] action permit//配置执行服务为允许

4)、测试PC1可以ping通互联网

服务器防火墙怎么设置(服务器配置防火墙)

5)、查看防火墙会话表项

[USG6000V1]display firewall session table//可以查看PC1与Dmz和Untrust通信会话表项

icmp VPN: public --> public 192.168.10.1:65381 --> 172.16.10.1:2048

icmp VPN: public --> public 192.168.10.1:64101 --> 202.202.202.1:2048

总结: 以上配置演示我们通过两种方式实现基本的防火墙安全策略配置

第一种我们通过安全策略配置源目IP方式实现

第二种我们通过安全策略配置源目安全区域方式实现

更多服务器知识文章推荐:
分享到 :
相关推荐

HawkHost老鹰主机一键安装WordPress图文教程

HawkHost对于大多数站长来说都是不陌生的。但是作为美国主机商。控制面板和国内的...

asp虚拟主机搭建(如何建立asp服务器)

PageAdmin建站系统最大的特点就是扩展灵活,加上可以免费下载,没有版权信息,国...

IIS7/IIS8安装Symantec证书的图文教程

如何在IIS上配置SSL证书呢?本文美国渲大师主要为大家介绍IIS7/IIS8下。安...

DirectAdmin面板怎么样 DirectAdmin面板有哪些特点(DirectAdmin面板)

DirectAdmin面板是一套基于Linux系统的虚拟主机在线管理软件。使用该面板...

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注