拓扑图如下:
小实验一:
trust区域设备可以访问dmz区域设备,而dmz区域设备不能访问trust区域设备
首先,第一步,将端口加入对应的区域
接下来,将对应的IP加入对应的端口
R1:
FW:
测试下是否正常:
科普下,第一个包老报错是因为ARP,第一个包去请求MAC地址了
、
这里再说一点华为和思科的不同之处,思科你防火墙IP什么的配置完之后,PC能ping到FW,FW也能ping到PC;然而,华为思科当中,低安全级别默认都不能访问高安全级别,但华为FW的端口都属于local区域,local区域安全级别默认100,trust默认85;所以,从终端pingFWping不通,但是同区域的不同设备是可以互通的
我们再输入这条命令来查看FW的区间过程,有图中可以得知从优先级高到低是默认允许的
接下来,对区间过程进行修改
注意,dmz和trust顺序无所谓,主要是outbound或inbound,前者代表从高(安全级别)到低;后者代表从低到高
验证:
这个表这有在icmp使用的时候,才会产生,是一个临时的FW会话表,且不同的协议存在的时间也不一样,例如ICMP协议大约只有一两秒
原文地址:http://blog.51cto.com/13555507/2068312
时间: 2024-10-09 19:46:56