在ensp当中使用防火墙需要安装额外的插件:
网址:https://forum.huawei.com/enterprise/zh/thread/580934378039689216
防火墙在企业网是一个硬件设备,部署在不同的区域之间,外网和内网之间,互联网和专网之间,目的是为了安全
防火墙的接口类型:
1.路由模式(三层) 物理口可以直接配ip
2.交换模式(二层) 物理口不能直接配ip,类似交换机可以配vlan trunk
防火墙的安全域:
1.信任区域:内网
2.非信任区域:外网
3.dmz区域:中间区域,服务器区
配置防火墙的安全域:
c
firewall zone trust//进人防火墙的信任区域
add int g1/0/1//把串口添加至信任区域,g1/0/1是内网口
firewall zone untrust//进人非信任区域
add int g1/0/2 //外网口配置防火墙的安全策略:
允许从信任区域到非信任区域
c
[USG6000V1]security-policy //进人安全策略
[USG6000V1-policy-securitylrule name shangwang //创建一个名为shangwang的规则
[USG6000V1-policy-security-rule-shangwang]source-zone trust
[USG6000V1-policy-security-rule-shangwang]destination-zone untrust
[USG6000V1-policy-security-rule-shangwang]action permit使用nat把私网ip转为公网ip
c
nat-policy //进入nat配置
rule name shangwang //新建一个nat配置,名字叫shangwang
source-zone trust
destination-zone untrust
action source-nat easy-ip //easy-ip ,做地址转换的时候,自动转成设备出接口的地址