防火墙中区域的作用:
安全策略都基于安全区域实施。在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略。 3.在防火墙中,同一个接口所连网络的所有网络设备一定位于同一安全区域中,而一个安全区域可以 包含多个接口所连的网络。
防火墙缺省保留的四个安全区域相关说明如下:
非受信区域Untrust:低安全级别的安全区域,安全级别为5。非军事化区域DMZ:中等安全级别的安全区域,安全级别为50。受信区域Trust:较高安全级别的安全区域,安全级别为85。本地区域Local:最高安全级别的安全区域,安全级别为100。 用户也可以自定以安全区域。
入方向(inbound): 数据由低安全级别的安全区域向高安全级别的安全区域传输的方向; 出方向(outbound): 数据由高安全级别的安全区域向低安全级别的安全区域传输的方向; 高优先级与低优先级是相对的。
文章目录
实验目的:实验设备:实验拓扑:实验编址:实验步骤:验证结果:
配置trust和untrust区域,并使之通信。配置步骤:验证结果:
实验目的:
使用电脑里的浏览器访问ensp中的防火墙。配置trust和untrust区域,并使之通信。
实验设备:
1台防火墙,2台pc,一个cloud设备。
实验拓扑:
实验编址:
设备接口IP地址子网掩码
FW1G1/0/0192.168.64.124FW1G1/0/110.1.1.25424FW1G1/0/210.1.2.25424
实验步骤:
1.对cloud配置如下:cloud的配置在ensp中按F1,搜索云设备可以看到详细的配置步骤。 2. 为usg6000防火墙导入配置并开启后,账号密码分别为admin,Admin@123。为每个接口配置对应的IP 地址。与cloud相连的接口IP 地址要与cloud中虚拟网卡的IP地址在同一个网段。且要注意防火墙g0/0/0接口为配置接口,一般配置防火墙的时候才使用。 3. 进入与g1/0/0接口上配置如下命令: 4.把g1/0/0接口加入trust区域。
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add inter g1/0/0
验证结果:
在浏览器上输入为g1/0/0接口IP地址。http:x.x.x.x:8443。
配置trust和untrust区域,并使之通信。
配置步骤:
使用如下命令把g1/0/1接口加入trust区域,把g1/0/2接口加入untrust区域。
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add inter g1/0/1
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add inter g1/0/2
在防火墙上配置如下安全策略
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name pc1to2 /进入安全策略,并把规则名命名为pc1to2。
详细安全策略配置如下:
[USG6000V1-policy-security-rule-pc1to2]dis th
2020-10-03 11:26:25.650
#
rule name pc1to2 /规则名
source-zone trust /源安全区域
destination-zone untrust /目标安全区域
source-address 10.1.1.1 mask 255.255.255.255 /源IP地址,也可以配置成一个网段
destination-address 10.1.2.1 mask 255.255.255.255 /目标IP地址,也可以配成网段
service icmp /所放行的协议类型
action permit /应用许可规则
#
验证结果:
此时pc1可以ping通pc2: 此时在防火墙的web界面里查看策略: 并且会发现pc1向pc2发送的ping被pc1to2策略命中了,并且命中了10次,是由于我ping了2次pc2.
