前面大概了解了防火墙的基本原理与应用,今天通过模拟器来实现一下效果。
一、实验配置
拓扑图:
前期准备:配置正常IP地址和路由。但是正常情况下没有配置策略的情况下是无法ping通防火墙接口地址的。
防火墙默认账号密码为:缺省用户名为:admin,缺省密码为:Admin@123。设备型号:USG6000V,默认管理口G0/0/0,IP地址:192.168.0.1/24
1.1 地址配置
开始配置前建议规划好地址及网段。
[FW]dis ip int b2024-02-20 01:51:10.350 *down: administratively down^down: standby(l): loopback(s): spoofing(d): Dampening Suppressed(E): E-Trunk downThe number of interface that is UP in Physical is 5The number of interface that is DOWN in Physical is 5The number of interface that is UP in Protocol is 5The number of interface that is DOWN in Protocol is 5Interface IP Address/MaskPhysical ProtocolGigabitEthernet0/0/0192.168.0.1/24 down downGigabitEthernet1/0/0192.168.1.254/24 up upGigabitEthernet1/0/1192.168.80.254/24up upGigabitEthernet1/0/2183.12.1.2/24up upGigabitEthernet1/0/3unassigned down downGigabitEthernet1/0/4unassigned down downGigabitEthernet1/0/5unassigned down downGigabitEthernet1/0/6unassigned down downNULL0 unassigned up up(s) Virtual-if0 unassigned up up(s)
没有配置安全策略前是无法进行ping通的。
1.2 安全域与接口配置
将对应的物理接口加入对应的安全域,如trust、dmz、untrust等等。
firewall zone local set priority 100#firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 add interface GigabitEthernet1/0/0#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/2#firewall zone dmz set priority 50 add interface GigabitEthernet1/0/1
1.3 安全策略配置
分配好区域之后还是不能进行通信,需要配置域间策略,现在这个实验都是不同区域间通信,因此域内策略不需要,实际情况需要实际考虑。
# 进入安全策略视图,安全策略视图下是安全策略,可以配置多条策略,以名称区分,在策略进行五元组、用户、时间段等配置[FW]security-policy [FW-policy-security]# 配置一条Local到any的策略,允许防火墙本身访问所有区域,在安全策略视图下通过rule配置# 源区域local,目的区域any表示所有区域,service icmp表示允许ping,还有其它如http\dns\telnet等等,action动作为允许 rule name local-anysource-zone localservice icmpaction permit# 配置trust到untrust区域的放通策略 rule name trust-untrustsource-zone trustdestination-zone untrustaction permit# 配置trust到dmz的放通策略 rule name trust-dmzsource-zone trustdestination-zone dmzaction permit# 配置untrust到Local,需要允许外网能够访问防火墙的接口地址 rule name untrust-localsource-zone untrustdestination-zone localaction permit# 配置untrust到dmz的允许ping的策略,注意实际配置中一般建议使用nat进行服务器映射,这里只做测试 rule name untrust-dmzsource-zone untrustdestination-zone dmzservice icmpaction permit
上面是简单的安全策略配置,没有涉及到用户、时间段、源主机IP,目的主机IP等等,但都是在规则里面配置的,可以自行尝试。
如果配置完成后对于防火墙的接口地址还是无法Ping通,就还需要进行接口服务的策略配置。
# 这边针对trust和untrust开启了ping的访问interface GigabitEthernet1/0/0 description to-trust undo shutdown ip address 192.168.1.254 255.255.255.0 service-manage ping permit#interface GigabitEthernet1/0/1 description to-dmz undo shutdown ip address 192.168.80.254 255.255.255.0#interface GigabitEthernet1/0/2 description to-internet undo shutdown ip address 183.12.1.2 255.255.255.0 service-manage ping permit
上面配置完成应该就差不多了。
二、Web界面配置
基础的区域间访问可以通过命令行进行配置,但是对于一些如授权、流量检测等命令行就比较麻烦了,因此实际配置中一般是开局网络配通之后通过管理口登录Web界面进行更详细的配置,像防火墙、无线控制器AC等设备。
修改G0/0/0地址为相同网段。
interface GigabitEthernet0/0/0 undo shutdown ip binding vpn-instance default ip address 192.168.5.2 255.255.255.0 alias GE0/METH service-manage http permit service-manage https permit service-manage ping permit service-manage ssh permit service-manage snmp permit service-manage telnet permit
如果是通过Web界面配置可视化配置比较直观方便,而且对于流量监控那些会比较好看点,最重要的是配置完成记得保存。
本文由 mdnice 多平台发布