前面大概了解了防火墙的基本原理与应用,今天通过模拟器来实现一下效果。
一、实验配置
拓扑图:
拓扑图
前期准备:配置正常IP地址和路由。但是正常情况下没有配置策略的情况下是无法ping通防火墙接口地址的。
防火墙默认账号密码为:缺省用户名为:admin,缺省密码为:Admin@123。设备型号:USG6000V,默认管理口G0/0/0,IP地址:192.168.0.1/24
1.1 地址配置
开始配置前建议规划好地址及网段。
[FW]dis ip int b
2024-02-20 01:51:10.350
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
(d): Dampening Suppressed
(E): E-Trunk down
The number of interface that is UP in Physical is 5
The number of interface that is DOWN in Physical is 5
The number of interface that is UP in Protocol is 5
The number of interface that is DOWN in Protocol is 5
Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/0 192.168.0.1/24 down down
GigabitEthernet1/0/0 192.168.1.254/24 up up
GigabitEthernet1/0/1 192.168.80.254/24 up up
GigabitEthernet1/0/2 183.12.1.2/24 up up
GigabitEthernet1/0/3 unassigned down down
GigabitEthernet1/0/4 unassigned down down
GigabitEthernet1/0/5 unassigned down down
GigabitEthernet1/0/6 unassigned down down
NULL0 unassigned up up(s)
Virtual-if0 unassigned up up(s)
没有配置安全策略前是无法进行ping通的。 
1.2 安全域与接口配置
将对应的物理接口加入对应的安全域,如trust、dmz、untrust等等。
firewall zone local
set priority 100
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/2
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/1
1.3 安全策略配置
分配好区域之后还是不能进行通信,需要配置域间策略,现在这个实验都是不同区域间通信,因此域内策略不需要,实际情况需要实际考虑。
# 进入安全策略视图,安全策略视图下是安全策略,可以配置多条策略,以名称区分,在策略进行五元组、用户、时间段等配置
[FW]security-policy
[FW-policy-security]
# 配置一条Local到any的策略,允许防火墙本身访问所有区域,在安全策略视图下通过rule配置
# 源区域local,目的区域any表示所有区域,service icmp表示允许ping,还有其它如http\dns\telnet等等,action动作为允许
rule name local-any
source-zone local
service icmp
action permit
# 配置trust到untrust区域的放通策略
rule name trust-untrust
source-zone trust
destination-zone untrust
action permit
# 配置trust到dmz的放通策略
rule name trust-dmz
source-zone trust
destination-zone dmz
action permit
# 配置untrust到Local,需要允许外网能够访问防火墙的接口地址
rule name untrust-local
source-zone untrust
destination-zone local
action permit
# 配置untrust到dmz的允许ping的策略,注意实际配置中一般建议使用nat进行服务器映射,这里只做测试
rule name untrust-dmz
source-zone untrust
destination-zone dmz
service icmp
action permit
上面是简单的安全策略配置,没有涉及到用户、时间段、源主机IP,目的主机IP等等,但都是在规则里面配置的,可以自行尝试。
如果配置完成后对于防火墙的接口地址还是无法Ping通,就还需要进行接口服务的策略配置。
# 这边针对trust和untrust开启了ping的访问
interface GigabitEthernet1/0/0
description to-trust
undo shutdown
ip address 192.168.1.254 255.255.255.0
service-manage ping permit
#
interface GigabitEthernet1/0/1
description to-dmz
undo shutdown
ip address 192.168.80.254 255.255.255.0
#
interface GigabitEthernet1/0/2
description to-internet
undo shutdown
ip address 183.12.1.2 255.255.255.0
service-manage ping permit
上面配置完成应该就差不多了。 
二、Web界面配置
基础的区域间访问可以通过命令行进行配置,但是对于一些如授权、流量检测等命令行就比较麻烦了,因此实际配置中一般是开局网络配通之后通过管理口登录Web界面进行更详细的配置,像防火墙、无线控制器AC等设备。
通过云桥接到物理网卡
修改G0/0/0地址为相同网段。
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 192.168.5.2 255.255.255.0
alias GE0/METH
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
Web登录 
首页 
面板 
监控 
策略 
配置安全策略 
面板配置 
对象 
网络 
系统
如果是通过Web界面配置可视化配置比较直观方便,而且对于流量监控那些会比较好看点,最重要的是配置完成记得保存。
本文由mdnice多平台发布