实验目的1掌握防火墙安全区域的配置方法2掌握安全策略配置方法实验效果1 实现防火墙trust到DMZ和untrust的访问2 实现防火墙tDMZ到untrust的访问一、防火墙初始配置USG660
.
实验目的
- 1掌握防火墙安全区域的配置方法
- 2掌握安全策略配置方法
实验效果
- 1 实现防火墙trust到DMZ和untrust的访问
- 2 实现防火墙tDMZ到untrust的访问
一、防火墙初始配置
USG6600防火墙默认的初始账号密码为,账号admin,密码Admin@123,首次登陆时需更改密码。一般情况下,华为新一代的防火墙,默认情况下,只有0口是可以允许所有服务的,用户可根据需求开启相应的端口服务,此处我们是使用模拟器做实验,只需开启在接口模式下,使用命令service-manage ping permit开启ping服务即可
二、配置接口IP地址,开启ping服务
syssysn FE_Ainter g1/0/0ip address 192.168.1.1 24service-manage ping permitquit interface GigabitEthernet 1/0/1 ip address 10.1.1.1 24service-manage ping permit quit interface GigabitEthernet 1/0/2 ip address 200.1.1.1 24service-manage ping permit quit三、加入相应区域
firewall zone trust add interface GigabitEthernet 1/0/0 //将端口加入trust区quitfirewall zone dmzadd interface GigabitEthernet 1/0/1 //将端口加入DMZ区quitfirewall zone untrustadd interface GigabitEthernet 1/0/2 //将端口加入untrust区quit四、制定安全策略、
security-policy //进入安全策略rule name policy_trust_untrust //定义规则名称为policy_trust_untrust source-zone trust //定义数据流方向的源端destination-zone untrust //定义数据流方向的目的端action permit //动作允许通过quitrule name policy_trust_dmzsource-zone dmz destination-zone trustaction permitquitrule name policy_dmz_untrustsource-zone dmz destination-zone untrustaction permitreturn五、设置PC机IP地址
DMZ区PC1 :10.1.1.2
trust区PC2:192.168.1.2
untrust区PC3:200.1.1.2
六、测试
