防火墙基础配置（二）

拓补图：

方案一（子接口的形式）

实验目的：解决防火墙上的接口不足以为其他区域服务的问题，比方说防火墙上只有两个接口，但是有三个区域，那这个实验的目的为了解决防火墙上的接口不足以为多区域提供服务的问题

实验思路：1.防火墙上的g1/0/0接口继续为trust区域提供服务

2.g1/0/1划分两个子接口分别为DMZ和untrush区域提供服务

3.交换机上除了g0/0/5接口配置成trunk接口以外，其他接口都配置成access口

4.根据需求新建防火墙的安全策略

1. 配置代码

1.1 IP地址的配置忽略，注意防火墙的1/0/0接口需要配置IP地址，但是1/0/1是要划分子接口的所以不需要配置地址，是在子接口里面去配置IP地址

int g1/0/1.20

ip add 10.1.2.2 24

int g1/0/1.30

ip add 100.1.1.2 24

1.2 交换机划分接口

[SW]port-group group-member g0/0/1 g0/0/4

[SW-port-group]port link-type access

[SW-port-group]port default vlan 10

[SW]int g0/0/2

[SW-GigabitEthernet0/0/2]port link-type access

[SW-GigabitEthernet0/0/2]port default vlan 20

[SW]int g0/0/3

[SW-GigabitEthernet0/0/3]port link-type access

[SW-GigabitEthernet0/0/3]port default vlan 30

[SW]int g0/0/5

[SW-GigabitEthernet0/0/3]port link-type trunk

[SW-GigabitEthernet0/0/3]port default vlan 20 30

1.3 防火墙划分安全区域

[USG6000V1]firewall zone trust

[USG6000V1-zone-trust]add interface g1/0/0

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add interface g1/0/1.30

[USG6000V1]firewall zone dmz

[USG6000V1-zone-dmz]add interface g1/0/1.20

1.4 新建安全策略

[USG6000V1]security-policy

[USG6000V1-policy-security]default action permit //默认放行所有的流量

rule name huawei //新建名字为huawei的安全策略
source-zone trust //设置源区域
destination-zone untrust //设置目标区域
source-address 10.1.1.0 mask 255.255.255.0 //设置源地址
destination-address 100.1.1.0 mask 255.255.255.0 //设置目标地址
service icmp //应用的服务类型
action permit //做出的动作，一定要这条命令才能够生效

1.5 在子接口封装dot1q的数据

[USG6000V1]int g1/0/1.20

[USG6000V1-GigabitEthernet1/0/1.20]vlan-type dot1q 20

[USG6000V1]int g1/0/1.30

[USG6000V1-GigabitEthernet1/0/1.30]vlan-type dot1q 30

1.6 别忘了还有路由的问题

[R1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.2

[R2]ip route-static 0.0.0.0 0 10.1.2.2

[R3]ip route-static 0.0.0.0 0 100.1.1.2

验证效果：R1ping所有区域都能通

方案二（trunk接口）

配置思路：

1. 我们只需要在防火墙上新建两个vlan相同于trust和untrust区域，专门服务于这两个区域，然后在vlan的三层接口配置IP地址保证防火墙跟这两个区域可以进行通信，然后再把vlan的三层接口划分进防火墙的区域里面即可，注意是把g1/0/1划分为trunk口，允许vlan20、30通过

1.1 防火墙划分接口

[USG6000V1]int g1/0/1

[USG6000V1-GigabitEthernet1/0/1]portswitch //防火墙的接口默认是三层接口，一定要换成二层接口才行

[USG6000V1-GigabitEthernet1/0/1]port link-type trunk

[USG6000V1-GigabitEthernet1/0/1]port trunk allow-pass vlan 20 30

1.2 给vlan的三层接口划分IP地址

[USG6000V1]int Vlanif 20

[USG6000V1-Vlanif20]ip add 10.1.2.2 24

[USG6000V1]int Vlanif 30

[USG6000V1-Vlanif30]ip add 100.1.1.2 24

1.3 防火墙划分区域

[USG6000V1]firewall zone trust

[USG6000V1-zone-trust]add interface g1/0/0

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add interface Vlanif 30

[USG6000V1]firewall zone dmz

[USG6000V1-zone-dmz]add interface Vlanif 20

1.4 防火墙新建安全策略

[USG6000V1]security-policy

[USG6000V1-policy-security]default action permit //这里我就简单的写允许全部了，可以根据自己的需求自己写

验证效果：

防火墙基础配置（二）相关推荐

详解USG5500防火墙基础配置
详解USG5500防火墙基础配置Trust.DMZ.Untrust 组网要求: 1.本实验中的防火墙为USG5500系列防火墙: 2. 防火墙三个接口的IP地址按照上图所示进行配置:将这三个接口划入相 ...
第29节天融信Topgate防火墙基础配置案例
防火墙配置目录 1 实验拓扑图及实验要求 1.1 网络拓扑图 1.2 实验1:验证防火墙的区域隔离及策略编写 1.3 实验2:做源转换SNAT 1.4 实验3:目标转换DNAT 1.5 实验4:应用层 ...
无线路由器的基础配置(二)
完成无线路由器基础配置(一)中的配置之后,我们的无线路由器就已经能够访问互联网了,接下来还需要做进一步配置来允许无线客户端接入并让路由器能够代理更多的有线或无线客户端上网-- 单击"无线设置 ...
天融信防火墙基础配置步骤
第一步.配置PC地址,使用https://192.168.1.254登录设备 system config reset 恢复出厂配置第二步.熟悉主菜单第三步.设置登录超时时间以及密码长度第四步. ...
H3C防火墙基础配置3-配置对象策略
1.对象策略简介对象策略基于全局进行配置,基于安全域间实例进行应用.在安全域间实例上应用对象策略可实现对报文流的检查,并根据检查结果允许或拒绝其通过.对象策略通过配置对象策略规则实现. 一个对象策略 ...
H3C防火墙基础配置2-配置安全策略
1 安全策略简介安全策略对报文的控制是通过安全策略规则实现的,规则中可以设置匹配报文的过滤条件,处理报文的动作和对于报文内容进行深度检测等功能. (1)规则的名称和编号安全策略中的每条规则都由唯一 ...
H3C防火墙基础配置操作
之前部署了一个虚拟防火墙,后面预计会出一个V7防火墙配置的系列专题.我一直在跟设备打交道,操作变更后都是要写入到配置文件的,简单操作也会花样出现问题,在此先介绍一下设备配置相关的基本操作. 本文中所用 ...
ensp防火墙基础配置
实验拓扑配置Cloud模块,进行配置,绑定虚拟网卡即可进入防火墙,与cloud模块相连的端口进行如下配置,之后登录防火墙配置防火墙端口IP 在web界面中,找到策略->安全策略,新建策略,配 ...
玩转termux之基础配置二
1. qqbot实现qq机器人 qqbot 是一个用 python 实现的.基于腾讯 SmartQQ 协议的 QQ 机器人框架,可运行在 Linux . Windows 和 Mac OSX 平台下. ...