赞
踩
前面大概了解了防火墙的基本原理与应用,今天通过模拟器来实现一下效果。
拓扑图:
前期准备:配置正常IP地址和路由。但是正常情况下没有配置策略的情况下是无法ping通防火墙接口地址的。
防火墙默认账号密码为:缺省用户名为:admin,缺省密码为:Admin@123。设备型号:USG6000V,默认管理口G0/0/0,IP地址:192.168.0.1/24
开始配置前建议规划好地址及网段。
[FW]dis ip int b 2024-02-20 01:51:10.350 *down: administratively down ^down: standby (l): loopback (s): spoofing (d): Dampening Suppressed (E): E-Trunk down The number of interface that is UP in Physical is 5 The number of interface that is DOWN in Physical is 5 The number of interface that is UP in Protocol is 5 The number of interface that is DOWN in Protocol is 5 Interface IP Address/Mask Physical Protocol GigabitEthernet0/0/0 192.168.0.1/24 down down GigabitEthernet1/0/0 192.168.1.254/24 up up GigabitEthernet1/0/1 192.168.80.254/24 up up GigabitEthernet1/0/2 183.12.1.2/24 up up GigabitEthernet1/0/3 unassigned down down GigabitEthernet1/0/4 unassigned down down GigabitEthernet1/0/5 unassigned down down GigabitEthernet1/0/6 unassigned down down NULL0 unassigned up up(s) Virtual-if0 unassigned up up(s)
没有配置安全策略前是无法进行ping通的。
将对应的物理接口加入对应的安全域,如trust、dmz、untrust等等。
firewall zone local
set priority 100
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/2
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/1
分配好区域之后还是不能进行通信,需要配置域间策略,现在这个实验都是不同区域间通信,因此域内策略不需要,实际情况需要实际考虑。
# 进入安全策略视图,安全策略视图下是安全策略,可以配置多条策略,以名称区分,在策略进行五元组、用户、时间段等配置 [FW]security-policy [FW-policy-security] # 配置一条Local到any的策略,允许防火墙本身访问所有区域,在安全策略视图下通过rule配置 # 源区域local,目的区域any表示所有区域,service icmp表示允许ping,还有其它如http\dns\telnet等等,action动作为允许 rule name local-any source-zone local service icmp action permit # 配置trust到untrust区域的放通策略 rule name trust-untrust source-zone trust destination-zone untrust action permit # 配置trust到dmz的放通策略 rule name trust-dmz source-zone trust destination-zone dmz action permit # 配置untrust到Local,需要允许外网能够访问防火墙的接口地址 rule name untrust-local source-zone untrust destination-zone local action permit # 配置untrust到dmz的允许ping的策略,注意实际配置中一般建议使用nat进行服务器映射,这里只做测试 rule name untrust-dmz source-zone untrust destination-zone dmz service icmp action permit
上面是简单的安全策略配置,没有涉及到用户、时间段、源主机IP,目的主机IP等等,但都是在规则里面配置的,可以自行尝试。
如果配置完成后对于防火墙的接口地址还是无法Ping通,就还需要进行接口服务的策略配置。
# 这边针对trust和untrust开启了ping的访问 interface GigabitEthernet1/0/0 description to-trust undo shutdown ip address 192.168.1.254 255.255.255.0 service-manage ping permit # interface GigabitEthernet1/0/1 description to-dmz undo shutdown ip address 192.168.80.254 255.255.255.0 # interface GigabitEthernet1/0/2 description to-internet undo shutdown ip address 183.12.1.2 255.255.255.0 service-manage ping permit
上面配置完成应该就差不多了。
基础的区域间访问可以通过命令行进行配置,但是对于一些如授权、流量检测等命令行就比较麻烦了,因此实际配置中一般是开局网络配通之后通过管理口登录Web界面进行更详细的配置,像防火墙、无线控制器AC等设备。
修改G0/0/0地址为相同网段。
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 192.168.5.2 255.255.255.0
alias GE0/METH
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
如果是通过Web界面配置可视化配置比较直观方便,而且对于流量监控那些会比较好看点,最重要的是配置完成记得保存。
本文由 mdnice 多平台发布
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。