本次實驗用防火牆是USG6000V,拓撲圖如下:
步驟一:
按上面配好PC1、2、3以及WWW服務器的IP地址、子網掩碼以及網關;
步驟二:
進入防火牆的CLI命令模式下,按一下命令配置:
配置各個接口的IP 地址,並加入相應的安全區域。
<USG6000V1>system-view
[USG6000V1]int g 1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.5.1 24
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]int g 1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 1.1.1.1 24
[USG6000V1-GigabitEthernet1/0/1]quit
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int g 1/0/0
[USG6000V1-zone-trust]quit
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add int g 1/0/1
[USG6000V1-zone-untrust]quit
配置名稱為ip_deny的地址集,將幾個不允許上網的IP地址加入地址集。
[USG6000V1]ip address-set ip_deny type object
[USG6000V1-object-address-set-ip_deny]address 192.168.5.2 0
[USG6000V1-object-address-set-ip_deny]quit
創建拒絕特殊的幾個IP地址訪問Internet的轉發策略。
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name policy_deny
[USG6000V1-policy-security-rule-policy_deny]source-address address-set ip_deny
[USG6000V1-policy-security-rule-policy_deny]action deny
[USG6000V1-policy-security-rule-policy_deny]quit
創建允許其他屬於192.168.5.0/24這個網段的PC訪問Internet的轉發策略。
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name policy_permit
[USG6000V1-policy-security-rule-policy_permit]source-address 192.168.5.0 24
[USG6000V1-policy-security-rule-policy_permit]action permit
[USG6000V1-policy-security-rule-policy_permit]quit
打開指定端口(華為新一代的防火牆,默認情況下,只有0口是可以允許所有服務)
[USG6000V1]int g 1/0/0
[USG6000V1-GigabitEthernet1/0/0]service-manage http permit
[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]int g 1/0/1
[USG6000V1-GigabitEthernet1/0/1]service-manage http permit
[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit
[USG6000V1-GigabitEthernet1/0/1]quit
防火牆安全轉發策略教程到此結束,如果還有地方不懂得請加QQ群:489218121