華為eNSP防火墻USG5500基本配置

• 實驗設備

防火墻采用eNSP自帶USG5500，不需要導入操作系統(tǒng)；eNSP同時提供防火墻USG6000，它不能打開，提示需要導入防火墻系統(tǒng)。交換機采用的是5700，交換機上創(chuàng)建了3個VLan，Vlan5用來連接防火墻，Vlan10是PC13所在的網(wǎng)絡，Vlan20是PC14所在的網(wǎng)絡。

• 實驗拓撲

圖 1 ?實驗拓撲

三、實驗步驟

1. 交換機上的配置

sys

? vlan batch 10 20 5

? int g 0/0/2

? port link-type access

? port default vlan 10

? int g 0/0/3

? p l access

? p default vlan 20

??int g 0/0/4

? p l access

? p default vlan 5

? int vlan 10

? ip add 192.168.1.1 24

? undo shut

? int vlan 20

? ip add 192.168.2.1 24

? undo shut

? int vlan 5

? ip add 192.168.5.1 24

quit

2. 配置各個PC的地址和網(wǎng)關，采用靜態(tài)地址。

3. 配置防火墻端口地址，并定義Trust、DMZ、Untrust區(qū)域，把接口分配到三個不同的區(qū)域，需注意Local區(qū)域沒有定義，但是代表防火墻本身，192.168.0.1是防火墻自帶的管理地址，192.168.5.1、192.168.6.1、192.168.7.1都是防火墻Local內(nèi)的地址。

***? fhq ***

? system-view?

? interface GigabitEthernet0/0/1

? ip address 192.168.5.2 255.255.255.0

? undo shut

? interface GigabitEthernet0/0/3

? ip address 192.168.6.1 255.255.255.0

? undo shut

? interface GigabitEthernet0/0/2

? ip address 192.168.7.1 255.255.255.0

? undo shut

?

? firewall zone untrust

? add int gi 0/0/3

? quit

? firewall zone trust

? add int gi 0/0/1

? add int gi 0/0/0

? quit

? firewall zone dmz

? add int gi 0/0/2

? quit?

? ????ip route-static 192.168.0.0 16 192.168.5.1 配置防火墻到內(nèi)部trust區(qū)域的靜態(tài)路由

4. 三層交換機上靜態(tài)路由配置

ip route-static 0.0.0.0 0.0.0.0 ?192.168.5.2

5. 測試

1）從三層交換機出發(fā)，192.168.5.2連通，192.168.6.1連通，192.168.7.1連通，但是192.168.6.11不能連通，192.168.7.11不能連通。

2）從PC13出發(fā)，進行ping測試，結果跟三層交換機相同，192.168.5.2連通，192.168.6.1連通，192.168.7.1連通，但是192.168.6.11不能連通，192.168.7.11不能連通。

圖 2 從三層交換機進行ping測試，防火墻通，PC15不通

圖 3 從PC13進行ping測試，防火墻通，PC15不通

3）從防火墻出發(fā)，進行ping測試，三個本地的地址都能連通，192.168.5.1連通，192.168.6.1連通，192.168.7.1連通；防火墻也能到達三個PC，192.168.1.11能連通，192.168.7.11能連通，192.168.6.11也能連通。

4）從dmz內(nèi)部主機出發(fā)，發(fā)現(xiàn)PC15無法連通自己網(wǎng)關，也就是防火墻的192.168.7.1地址不能連通。

5）從untrust內(nèi)部主機出發(fā)，發(fā)現(xiàn)PC16無法連通自己網(wǎng)關，也就是防火墻的192.168.6.1地址不能連通。

圖 4 從防火墻進行ping測試，PC13、PC15、PC16都能連通

圖 5 PC16不能連通自己的網(wǎng)關

圖 6 PC15不能連通自己的網(wǎng)關

6. 查詢防火墻配置文件，使用命令dis cu，找到數(shù)據(jù)包過濾部分的配置，local到trust區(qū)域的數(shù)據(jù)包允許進也允許出，所以防火墻-PC13、防火墻-PC14之間彼此都能ping通。防火墻到dmz區(qū)域的報文，只允許出，防火墻-PC15的報文能發(fā)出，但是PC15-防火墻的報文，不允許進，防火墻收不到，所以PC15ping 192.168.7.1不能連通。同理PC16 ping 防火墻的報文，也不允許進，防火墻不能收到，所以也不能連通。

圖 7 防火墻自帶策略

7. 修改防火墻的策略，使得DMZ區(qū)域的主機能進行ping測試。防火墻上添加1個策略，允許local-dmz之間的報文進入。

圖 8 填加新策略，允許dmz區(qū)域的報文進行到local區(qū)域

8．再次進行測試

1）PC15能連通防火墻了，PC15-PC13不能連通，也是說dmz不能連通trust區(qū)域；但是PC16在untrust區(qū)域，還是不能連通防火墻，因為沒有添加untrust到local的策略。

圖 9 填加新策略，允許dmz區(qū)域的報文進行到local區(qū)域

2）trust主機 到 dmz區(qū)域沒有配置策略，PC13還是不能ping通PC15，PC13-PC15不能連通.

圖 10 PC13不能連通PC15

9．防火墻繼續(xù)添加策略，使得trust到dmz能互相進行ping測試，分兩步進行。

?? 1） policy interzone trust dmz inbound *允許dmz內(nèi)的主機訪問trust區(qū)域

? ?????policy 0

action permit

結果PC15-PC13能連通，但是PC13-PC15不能連通。

圖 11? PC15-PC13能連通，但是PC13-PC15不能連通

2）policy interzone trust dmz outbound *允許trust區(qū)域訪問dmz內(nèi)的主機

policy 0

action permit

結果PC13-PC15能ping通了。

圖 12 ?PC15-PC13能連通， PC13-PC15也能連通文章來源地址http://www.zghlxwxcb.cn/news/detail-447321.html

到了這里，關于華為eNSP防火墻USG5500基本配置的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！