实验目的
- 1掌握防火墙安全区域的配置方法
- 2掌握安全策略配置方法
实验效果
- 1 实现防火墙trust到DMZ和untrust的访问
- 2 实现防火墙tDMZ到untrust的访问
一、防火墙初始配置
USG6600防火墙默认的初始账号密码为,账号admin,密码[email protected],首次登陆时需更改密码。一般情况下,华为新一代的防火墙,默认情况下,只有0口是可以允许所有服务的,用户可根据需求开启相应的端口服务,此处我们是使用模拟器做实验,只需开启在接口模式下,使用命令service-manage ping permit开启ping服务即可
二、配置接口IP地址,开启ping服务
sys
sysn FE_A
inter g1/0/0
ip address 192.168.1.1 24
service-manage ping permit
quit
interface GigabitEthernet 1/0/1
ip address 10.1.1.1 24
service-manage ping permit
quit
interface GigabitEthernet 1/0/2
ip address 200.1.1.1 24
service-manage ping permit
quit
三、加入相应区域
firewall zone trust
add interface GigabitEthernet 1/0/0 //将端口加入trust区
quit
firewall zone dmz
add interface GigabitEthernet 1/0/1 //将端口加入DMZ区
quit
firewall zone untrust
add interface GigabitEthernet 1/0/2 //将端口加入untrust区
quit
四、制定安全策略、
security-policy //进入安全策略
rule name policy_trust_untrust //定义规则名称为policy_trust_untrust
source-zone trust //定义数据流方向的源端
destination-zone untrust //定义数据流方向的目的端
action permit //动作允许通过
quit
rule name policy_trust_dmz
source-zone dmz
destination-zone trust
action permit
quit
rule name policy_dmz_untrust
source-zone dmz
destination-zone untrust
action permit
return
五、设置PC机IP地址
DMZ区PC1 :10.1.1.2
trust区PC2:192.168.1.2
untrust区PC3:200.1.1.2
六、测试
原文地址:https://blog.51cto.com/12184141/2403119
时间: 2024-11-01 22:20:05