1. 叁肆数码首页
  2. 手机

华为防火墙区域划分(安全策略配置)

华强北-小王 手机 阅读 1655

一、防火墙拓扑

华为防火墙区域划分(安全策略配置)

二、配置需求

1、通过配置实现PC1属于信任Trust区域,Server属于Dmz,PC2属于Untrust区域

2、配置防火墙安全策略实现PC1可以访问服务器及互联网PC2

3、进行测试验证

三、防火墙配置

1、防火墙安全区域接口配置

[

USG6000V1-GigabitEthernet1/0/1] ip address 172.16.10.254 255.255.255.0//dmz区域网关

[

USG6000V1-GigabitEthernet1/0/2] ip address 202.202.202.254 255.255.255.0//出口互联

interface GigabitEthernet1/0/0

ip address 192.168.10.254 255.255.255.0 //trust区域PC1的网关

service-manage https permit//接口允许ping,默认接口禁止ping

[USG6000V1]firewall zone trust//配置防火墙区域trust将接口0/0/0和0/0/1加入trust

[USG6000V1-zone-trust]add interface GigabitEthernet 0/0/0

[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0

[USG6000V1]firewall zone dmz//将G1/0/1接口加入dmz区域

[USG6000V1-zone-dmz] add interface GigabitEthernet1/0/1

[USG6000V1]firewall zone untrust//将G1/0/2接口加入untrust区域

[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/2

注意事项:

涉及到防火墙,如果防火墙接口没有加入安全区域同时放行ping,则接口无法ping通

防火墙接口G1/0/0既加入安全区域Trust,又同时放行ping,因此PC1可以正常ping通接口

(缺一不可的)

华为防火墙区域划分(安全策略配置)

2、防火墙安全策略配置

此时PC1只可以ping通自己的网关,但是无法ping通服务器和互联网

华为防火墙区域划分(安全策略配置)

防火墙默认安全策略是禁止区域间访问,因此我们需要配置允许区域间访问

1)、配置允许Trust区域ping通DMZ服务器区域

我们通过安全策略配置使用源目IP方式进行配置:

[USG6000V1]security-policy //安全策略配置

[USG6000V1-policy-security] rule name trust_dmz//创建访问规则

[USG6000V1-policy-security-rule-trust_dmz] source-address 192.168.10.1 0.0.0.0

//配置安全策略的源地址

[USG6000V1-policy-security-rule-trust_dmz] destination-address 172.16.10.0 mask

255.255.255.0 //配置安全策略的目的地址段

[

USG6000V1-policy-security-rule-trust_dmz] service icmp//配置服务为icmp

[

USG6000V1-policy-security-rule-trust_dmz] action permit//配置执行动作为permit

2)、测试PC1可以ping通服务器

华为防火墙区域划分(安全策略配置)

3)、配置允许Trust区域ping通Untrust互联网区域

我们通过安全策略配置使用源目安全区域的方式进行配置:

[USG6000V1]security-policy//配置安全策略

[

USG6000V1-policy-security-rule-trust_dmz] rule name tust_untrust//配置规则名字

[

USG6000V1-policy-security-rule-tust_untrust] source-zone trust//配置安全策略源安全区域

[

USG6000V1-policy-security-rule-tust_untrust] destination-zone untrust//配置安全策略目的安全区域

[

USG6000V1-policy-security-rule-tust_untrust] service icmp//配置服务

[

USG6000V1-policy-security-rule-tust_untrust] action permit//配置执行服务为允许

4)、测试PC1可以ping通互联网

华为防火墙区域划分(安全策略配置)

5)、查看防火墙会话表项

[USG6000V1]display firewall session table//可以查看PC1与Dmz和Untrust通信会话表项

icmp ***: public –> public 192.168.10.1:65381 –> 172.16.10.1:2048

icmp ***: public –> public 192.168.10.1:64101 –> 202.202.202.1:2048

总结: 以上配置演示我们通过两种方式实现基本的防火墙安全策略配置

第一种我们通过安全策略配置源目IP方式实现

第二种我们通过安全策略配置源目安全区域方式实现

华为防火墙区域划分(安全策略配置)

专栏

新版华为HCIA 防火墙入门到精通

作者:全球网络工程师实验室

99币

6人已购

查看

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至QQ邮箱:3628405936@qq.com 举报,本站将立刻删除。
(0)
华强北-小王华强北-小王
0

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注