FW防火墙的配置

FW工作原理与路由器配置上的区别：

1. FW接口配IP地址 + 接口加入到安全区域

   默认防火墙接口不属于任何安全区域

防火墙安全区域类型：

Trust：信任区域，优先级85，常用于连接内网设备

Untrust：非信任区域，优先级5，常用于连接外网

DMZ：非军事管理区，优先级50，用于连接服务器的接口

Local：本地区域，默认优先级100，代表防火墙本身

防火墙安全区域之间默认动作是禁止访问的

防火墙同一个安全区域下，默认是允许访问的

防火墙接口默认是禁止ping、telnet、http

防火墙 FW 当前关键配置：

接口配置：

interface GigabitEthernet1/0/0          // 市场部
 ip address 192.168.1.254 255.255.255.0
 service-manage ping permit
interface GigabitEthernet1/0/1          // 生产部
 ip address 192.168.2.254 255.255.255.0
 service-manage ping permit
interface GigabitEthernet1/0/2          // 服务器区
 ip address 172.16.1.254 255.255.255.0

全安区域：把"市场部 / 生产部"两个内网口加入 trust （优先级 85）

把"服务器"口加入 dmz（优先级 50）

   firewall zone trust
    add interface GigabitEthernet1/0/0
    add interface GigabitEthernet1/0/1
   firewall zone dmz
    add interface GigabitEthernet1/0/2

安全策略：

• 方向：trust → dmz（inbound，默认拒绝，必须显式放行）。

• 源地址：192.168.1.0/24、192.168.2.0/24（市场+生产）。

• 目的地址：172.16.1.1/32（Server1）。

• 服务：http(80)、icmp(ping)。

• 动作：permit。

   security-policy
    rule name t_d_icmp
     source-zone trust
     destination-zone dmz
     source-address 192.168.1.0 24
     source-address 192.168.2.0 24
     destination-address 172.16.1.1 32
     service http
     service icmp
     action permit