| 防火墙详解(三)华为防火墙基础安全策略配置(命令行配置) | 您所在的位置:网站首页 › 防火墙配置dnat就会源进源出吗 › 防火墙详解(三)华为防火墙基础安全策略配置(命令行配置) |
防火墙详解(三)华为防火墙基础安全策略配置(命令行配置)
|
实验要求
根据实验要求配置防火墙: 合理部署防火墙安全策略以及安全区域实现内网用户可以访问外网用户,反之不能访问内网用户和外网用户均可以访问公司服务器
实验配置
步骤一:配置各个终端、防火墙端口IP地址
终端以服务器为例:
防火墙进入配置界面,登录密码等问题请阅读文章:通过网页登录配置华为eNSP中USG6000V1防火墙 防火墙端口配置地址: [USG6000V1]sy FW1 //修改名称 [FW1]un in en //关闭提示信息 Info: Information center is disabled. [FW1]int g1/0/0 [FW1-GigabitEthernet1/0/0]ip ad 10.0.0.254 24 [FW1-GigabitEthernet1/0/0]int g1/0/1 [FW1-GigabitEthernet1/0/1]ip ad 202.196.10.254 24 [FW1-GigabitEthernet1/0/1]int g1/0/2 [FW1-GigabitEthernet1/0/2]ip ad 192.168.10.254 24可以使用display ip interface brief查看接口IP等信息。 步骤二:根据终端类型,给防火墙的接口合理规划安全区域区域规划如下图: 配置完成之后可以通过dis zone 查看区域详细信息: [FW1]dis zone local priority is 100 //信任值 100 interface of the zone is (0): # trust priority is 85 interface of the zone is (2): GigabitEthernet0/0/0 GigabitEthernet1/0/0 # untrust priority is 5 interface of the zone is (1): GigabitEthernet1/0/1 # dmz priority is 50 interface of the zone is (1): GigabitEthernet1/0/2 #防火墙安全区域概念见文章:防火墙详解(一) 网络防火墙简介 步骤三:根据实验要求配置安全策略实验要求: 内网用户可以访问外网用户,但是外网用户不能访问内网用户外网用户和内网用户都可以访问公司服务器也就是说 Trust区域可以主动访问Untrust区域,但是反之不行。untrust区域和trust区域都可以访问DMZ区域。注意防火墙默认不允许所有流量通过所以未配置安全策略时都不能通信。 配置安全策略,使得内网用户可以访问外网用户,但是外网用户不能访问内网用户;内网用户可以访问服务器: [FW1] [FW1]security-policy //进入安全策略视图 [FW1-policy-security]rule name t2ud //创建名为t2ud的安全规则 [FW1-policy-security-rule-t2ud]source-zone trust //设置安全规则的源安全地址为trust [FW1-policy-security-rule-t2ud]destination-zone untrust dmz //设置安全规则的目的安全地址为untrust和DMZ [FW1-policy-security-rule-t2ud]source-address 10.0.0.0 24 //设置安全规则源网段(上面设置了源、目的区域。其实网段可以不设置,但是保险起见还是设置一下) [FW1-policy-security-rule-t2ud]destination-address 202.196.10.0 24 //设置规则目的网段 [FW1-policy-security-rule-t2ud]destination-address 192.168.10.0 24 [FW1-policy-security-rule-t2ud]action permit //设置安全规则的动作为允许查看: [FW1-policy-security-rule-t2ud]dis th # rule name t2ud source-zone trust destination-zone untrust destination-zone dmz source-address 10.0.0.0 24 destination-address 192.168.10.0 24 destination-address 202.196.10.0 24 action permit # return验证: PC1 ping PC2 与 服务器 查看是否能通,发现可以,证明配置成功。
查看: 我们可以通过dis security-policy all 查看全部安全策略: [FW1]dis security-policy all Total:3 RULE ID RULE NAME STATE ACTION HITTED ------------------------------------------------------------------------------- 0 default enable deny 0 1 t2ud enable permit 25 2 u2d enable permit 5 -------------------------------------------------------------------------------也可以使用dis security-policy rule u2d查看单个规则详细信息: [FW1]dis security-policy ru [FW1]dis security-policy rule u2d (5 times matched) rule name u2d source-zone untrust destination-zone dmz action permit验证: PC2可以 ping 通服务器。 实验成功! 防火墙配置命令(总) # sy FW1 # un in en # int g1/0/0 ip ad 10.0.0.254 24 int g1/0/1 ip ad 202.196.10.254 24 int g1/0/2 ip ad 192.168.10.254 24 # firewall zone trust add interface g1/0/0 firewall zone untrust ad interface g1/0/1 firewall zone dmz ad interface g1/0/2 # security-policy rule name t2ud source-zone trust destination-zone untrust dmz source-address 10.0.0.0 24 destination-address 202.196.10.0 24 destination-address 192.168.10.0 24 action permit # security-policy rule name u2d source-zone untrust destination-zone dmz action permit # |
将防火墙端口添加到区域中:
PC2不能ping通PC1(外网用户不能访问内网用户):
【本文地址】
公司简介
联系我们