ensp防火墙配置_ensp防火墙基本配置

一、防火墙的配置

1. 主机IP
2. 防火墙ip
3. 接口区域
4. 安全策略

例子：

实验要求：

1、pc4所在网段主机可以ping通pc1所在网段的主机

2、pc3可以ping通pc2

3、trust 区域所在网段可以访问pc3

4、禁止PC2ping PC3

1.配置主机IP

2.配置防火墙IP

interface  GigabitEthernet 1/0/0
ip address 10.10.1.254 24
interface  GigabitEthernet 1/0/1
ip address 10.20.1.254 24   
interface  GigabitEthernet 1/0/2
ip address 10.30.1.254 24
interface  GigabitEthernet 1/0/3
ip address 10.40.1.254 24
查看
display ip interface brief 

3.配置区域zone

firewall zone trust
add interface  GigabitEthernet 1/0/1
add interface  GigabitEthernet 1/0/3
firewall zone untrust
add interface  GigabitEthernet 1/0/2
firewall zone dmz
add interface  GigabitEthernet 1/0/0
查看
display zone 

注意：不同区域不能互访，相同区域可以访问，要实现互通，要配置安全策略（规则）

4.配置安全策略

条件：源IP，目的IP，源zone，目的zone,协议（五原组）

规则：允许/拒绝

策略一：pc4所在网段主机可以ping通pc1所在网段的主机

security-policy
 rule name 1
 source-zone trust
 destination-zone dmz
 source-address 10.40.1.0 24
 destination-address 10.10.1.0 24
 service icmp
 action permit

策略二：pc3可以ping通pc2

 rule name 2
 source-zone untrust
 destination-zone trust
 source-address 10.30.1.1 32             ###允许这台主机而不是这个网段，所以是10.30.1.1  32
 destination-address 10.20.1.1 32
 service icmp
 action permit

策略三：trust 区域所在网段可以访问pc3   ###任意协议可以不写service

 rule name 3
 source-zone trust
 destination-zone untrust
 source-address 10.20.1.0 24
 source-address 10.40.1.0 24
 destination-address 10.30.1.1 32
 action permit

策略四：禁止PC2ping PC3

 rule name 4
 source-zone trust
 destination-zone untrust
 source-address 10.20.1.1 32
 destination-address 10.30.1.1 32
 service icmp
 action deny
查看
display security-policy rule all

但是，PC2任然可疑ping得通PC3，这是因为第三条规则是网段而第四条规则是精切到某个主机网络，不符合安全策略匹配原则。安全策略匹配原则就是是从上到下，命中即执行，所以应该把更加精细的放在前面

移动策略
rule move 4 before 3