tft每日頭條

 > 生活

 > 防火牆配置實例華為

防火牆配置實例華為

生活 更新时间:2024-08-28 16:19:25
一、防火牆拓撲

防火牆配置實例華為(防火牆基礎配置)1

二、配置需求

1、通過配置實現PC1屬于信任Trust區域,Server屬于Dmz,PC2屬于Untrust區域

2、配置防火牆安全策略實現PC1可以訪問服務器及互聯網PC2

3、進行測試驗證

三、防火牆配置

1、防火牆安全區域接口配置

[USG6000V1-GigabitEthernet1/0/1] ip address 172.16.10.254 255.255.255.0//dmz區域網關

[USG6000V1-GigabitEthernet1/0/2] ip address 202.202.202.254 255.255.255.0//出口互聯

interface GigabitEthernet1/0/0

ip address 192.168.10.254 255.255.255.0 //trust區域PC1的網關

service-manage https permit//接口允許ping,默認接口禁止ping

[USG6000V1]firewall zone trust //配置防火牆區域trust将接口0/0/0和0/0/1加入trust

[USG6000V1-zone-trust]add interface GigabitEthernet 0/0/0

[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0

[USG6000V1]firewall zone dmz//将G1/0/1接口加入dmz區域

[USG6000V1-zone-dmz] add interface GigabitEthernet1/0/1

[USG6000V1]firewall zone untrust//将G1/0/2接口加入untrust區域

[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/2

注意事項:

涉及到防火牆,如果防火牆接口沒有加入安全區域同時放行ping,則接口無法ping通

防火牆接口G1/0/0既加入安全區域Trust,又同時放行ping,因此PC1可以正常ping通接口

(缺一不可的)

防火牆配置實例華為(防火牆基礎配置)2

2、防火牆安全策略配置

此時PC1隻可以ping通自己的網關,但是無法ping通服務器和互聯網

防火牆配置實例華為(防火牆基礎配置)3

防火牆默認安全策略是禁止區域間訪問,因此我們需要配置允許區域間訪問

1)、配置允許Trust區域ping通DMZ服務器區域

我們通過安全策略配置使用源目IP方式進行配置:

[USG6000V1]security-policy //安全策略配置

[USG6000V1-policy-security] rule name trust_dmz//創建訪問規則

[USG6000V1-policy-security-rule-trust_dmz] source-address 192.168.10.1 0.0.0.0

//配置安全策略的源地址

[USG6000V1-policy-security-rule-trust_dmz] destination-address 172.16.10.0 mask

255.255.255.0 //配置安全策略的目的地址段

[USG6000V1-policy-security-rule-trust_dmz] service icmp //配置服務為icmp

[USG6000V1-policy-security-rule-trust_dmz] action permit//配置執行動作為permit

2)、測試PC1可以ping通服務器

防火牆配置實例華為(防火牆基礎配置)4

3)、配置允許Trust區域ping通Untrust互聯網區域

我們通過安全策略配置使用源目安全區域的方式進行配置:

[USG6000V1]security-policy //配置安全策略

[USG6000V1-policy-security-rule-trust_dmz] rule name tust_untrust//配置規則名字

[USG6000V1-policy-security-rule-tust_untrust] source-zone trust//配置安全策略源安全區域

[USG6000V1-policy-security-rule-tust_untrust] destination-zone untrust//配置安全策略目的安全區域

[USG6000V1-policy-security-rule-tust_untrust] service icmp//配置服務

[USG6000V1-policy-security-rule-tust_untrust] action permit//配置執行服務為允許

4)、測試PC1可以ping通互聯網

防火牆配置實例華為(防火牆基礎配置)5

5)、查看防火牆會話表項

[USG6000V1]display firewall session table//可以查看PC1與Dmz和Untrust通信會話表項

icmp VPN: public --> public 192.168.10.1:65381 --> 172.16.10.1:2048

icmp VPN: public --> public 192.168.10.1:64101 --> 202.202.202.1:2048

總結: 以上配置演示我們通過兩種方式實現基本的防火牆安全策略配置

第一種我們通過安全策略配置源目IP方式實現

第二種我們通過安全策略配置源目安全區域方式實現

,

更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
查看全部
上一页 下一页
真假美猴王假悟空是被...
大天使之劍h5各角色...

相关生活资讯推荐

热门生活资讯推荐

网友关注

關于
條款和條件 隱私政策 Cookie 設置
服務
登陸 注冊 聯系我們
tft每日頭條 美食 生活 職場 母嬰 時尚 科技 汽車
友情鏈接
zpostcode Recruit weather mreligion Yellowpages sport constellation shopping name game directory literature Word tour furnish Lottery tftnews lyrics News digital car dir Edu Finance
Copyright 2023-2024 - www.tftnews.com All Rights Reserved