【拓?fù)洹?/span>

【任務(wù)】

一、劃分trust、untrust、dmz區(qū)域；

二、配置安全策略、靜態(tài)路由或OSPF等實(shí)現(xiàn)兩兩區(qū)域之間的安全互訪。

內(nèi)網(wǎng)可以ping通服務(wù)器、外網(wǎng)；

服務(wù)器ping內(nèi)網(wǎng)主機(jī)、外網(wǎng)不通；

外網(wǎng)可以ping通服務(wù)器，不可以ping通內(nèi)網(wǎng)。

【步驟】

（1）Web頁面登錄配置：

Cloud1相關(guān)配置：先增加一個(gè)端口，邦定信息為UDP；再加一個(gè)端口，邦定信息為配置好的虛擬網(wǎng)卡，端口映射設(shè)置雙向通道。連接Cloud和防火墻的0/0/0端口，在防火墻上配置IP，此時(shí)IP和Cloud上綁定的網(wǎng)卡為同一網(wǎng)段。注意不要綁到公網(wǎng)網(wǎng)卡上，可以做個(gè)虛擬環(huán)回或者綁到vm1、vm8上都可以。

啟動(dòng)防火墻的CLI界面，默認(rèn)賬號為admin，密碼為Admin@123，登錄后需要修改密碼。

<USG6000V1>sys? #進(jìn)入系統(tǒng)視圖

[USG6000V1]sys FW1?? #配置設(shè)備名稱

[FW1]dis ip int brief?? #顯示虛擬接口對應(yīng)的IP地址與使用狀態(tài)

[FW1]int g0/0/0??? #進(jìn)入端口GE0/0/0

[FW1-GigabitEthernet0/0/0]ip add 192.168.166.254 24? ?#端口配置IP地址

[FW1-GigabitEthernet0/0/0]service-manage? all permit? #開啟服務(wù)器管理員權(quán)限

（2）在物理機(jī)上執(zhí)行ping命令測試連通性，然后通過瀏覽器輸入：https://192.168.166.254:8443/，訪問防火墻的Web頁面。

（3）配置untrust區(qū)域：在路由器上為兩個(gè)接口配置IP地址—>為untrust區(qū)域的PC配置IP、掩碼和網(wǎng)關(guān)—>在防火墻上配置1/0/2為untrust區(qū)域。

untrust區(qū)域的PC沒有至防火墻的路由，所以需要手動(dòng)添加一條靜態(tài)路由

[FW1]firewall zone untrust #進(jìn)入非信任域。

[FW1-zone-untrust]add interface g1/0/2 #添加外網(wǎng)接口。

[USG6000V1-GigabitEthernet1/0/2]service-manage ping permit#允許untrust區(qū)域能ping通防火墻本地

（4）配置trust區(qū)域：在防火墻上將1/0/0接口加入trust區(qū)域，并配置IP地址?！?/span>>在trust區(qū)域的交換機(jī)上創(chuàng)建vlan，配置IP地址—>在trust區(qū)域的PC上配置IP，掩碼，網(wǎng)關(guān)—>PC到防火墻之間缺少路由，所以需要手動(dòng)添加一條靜態(tài)路由。

[FW1]firewall zone trust #進(jìn)入信任域。

[FW1-zone-trust]add in g1/0/0 #添加內(nèi)網(wǎng)接口。

[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit#允許trust區(qū)域能ping通防火墻本地

（5）配置DMZ區(qū)域：在防火墻上將1/0/1接口加入dmz區(qū)域，并配置IP地址?！?/span>>在DMZ區(qū)域的交換機(jī)上創(chuàng)建vlan，配置IP—>在trust區(qū)域的服務(wù)器上配置IP地址，掩碼，網(wǎng)關(guān)。

[FW1]firewall zone dmz #進(jìn)入服務(wù)器區(qū)域。

[FW1-zone-dmz]add in g1/0/1 #添加接口。

[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit#允許dmz區(qū)域能ping通防火墻本地

（6）編寫安全策略。此時(shí)整個(gè)拓?fù)渲械娜齻€(gè)區(qū)域內(nèi)互通、區(qū)域間不通，所以需要按照實(shí)際需求編寫安全策略來實(shí)現(xiàn)區(qū)域間的通信。可選網(wǎng)頁或命令行配置！?。?/span>

trust-untrust區(qū)域的安全策略：

[FW1]security-policy #進(jìn)入安全策略的配置。

[FW1-policy-security]rule name trust-untrust#定義策略名稱為trust-untrust。

[FW1-policy-security-rule-shangwang]source-zone trust #源區(qū)域?yàn)閮?nèi)網(wǎng)區(qū)域。

[FW1-policy-security-rule-shangwang]destination-zone untrust #目的區(qū)域?yàn)橥饩W(wǎng)區(qū)域。

[FW1-policy-security-rule-shangwang]action permit #動(dòng)作放行。

trust-DMZ區(qū)域的安全策略：

[FW1]security-policy #進(jìn)入安全策略的配置。

[FW1-policy-security]rule name trust-dmz#定義策略名稱為trust-dmz。

[FW1-policy-security-rule-fwq]source-zone trust #源區(qū)域?yàn)閮?nèi)網(wǎng)區(qū)域。

[FW1-policy-security-rule-fwq]destination-zone dmz #目的區(qū)域?yàn)榉?wù)器區(qū)域。

[FW1-policy-security-rule-fwq]action permit #動(dòng)作放行。

untrust-DMZ區(qū)域的安全策略：

[FW1]security-policy #進(jìn)入安全策略的配置。

[FW1-policy-security]rule name untrust-dmz#定義策略名稱為untrust-dmz。

[FW1-policy-security-rule-fwq]source-zone untrust #源區(qū)域?yàn)閮?nèi)網(wǎng)區(qū)域。

[FW1-policy-security-rule-fwq]destination-zone dmz #目的區(qū)域?yàn)榉?wù)器區(qū)域。

service ftp? #FTP請求被放行

service icmp #ICMP請求被放行

[FW1-policy-security-rule-fwq]action permit #動(dòng)作放行。

防火墻是個(gè)安全設(shè)備，沒有放行的包一律禁止通過。所以無需配置外網(wǎng)訪問內(nèi)網(wǎng)、dmz訪問外網(wǎng)的策略。

（7）在防火墻、交換機(jī)和路由器上配置靜態(tài)路由實(shí)現(xiàn)互通：

[FW1]ip route-static 100.1.1.0 255.255.255.0 10.1.3.2

[FW1]ip route-static 172.16.1.0 255.255.255.0 10.1.1.2

[FW1]ip route-static 192.168.1.0 255.255.255.0 10.1.2.2

[LSW1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1

[LSW2] ip route-static 0.0.0.0 0.0.0.0 10.1.2.1

[AR1]ip route-static 0.0.0.0 0.0.0.0 10.1.3.1

（8）驗(yàn)證。文章來源地址http://www.zghlxwxcb.cn/news/detail-861669.html

到了這里，關(guān)于eNSP防火墻配置實(shí)驗(yàn)（trust、DMZ、untrust）的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！