华为模拟器eNSP防火墙综合实验

防火墙 专栏收录该内容
15 篇文章 0 订阅

在这里插入图片描述

实验配置目标:

  1. trust区域可以访问DMZ区域
  2. trust区域可以访问unstrust区域
  3. unstrust区域可以访问DMZ区域
  4. trust区域可以访问防火墙,防火墙可以访问所有区域

首先把三个区域的接口地址给配置上:

Trust->R1:
sys
un in en
sysname Trust_R1
int e0/0/0
ip address 192.168.1.7 24
dis this

Unstrust->R2:
sys 
un in en
sysname Unstrust_R2
int e0/0/0
ip address 177.7.7.7 24
dis this

DMZ: Server:
在这里插入图片描述

使用命令行终端对防火墙进行配置

首先设置好每个接口的IP地址,g0/0/0口除外,这是防火墙的本地口,默认设置192.168.0.1并且划分到Trust区域

Local->FW1:
Please configure the password:Admin@123

sys
un in en
sysname FW1
int g1/0/0
ip address 192.168.1.1 24
dis this
int g1/0/1
ip address 177.7.7.1 24
dis this
int g1/0/2
ip address  123.4.5.1 24
dis this
dis ip int brief

在这里插入图片描述
接下来对接口地址进行区域划分

Local->FW1:
sys
firewall zone trust
add int g1/0/0
dis this
quit 
firewall zone dmz
add int g1/0/2
dis this 
quit
firewall zone untrust
add int g1/0/1
dis this

接下来配置第一个要求:Trust区域可以访问DMZ区域,先需要在防火墙上建立一条Trust区域到DMZ区域的策略,后然在Trust区域的R1上配置一条缺省路由即可

Local->FW1:
sys
security-policy
rule name trust_to_dmz
source-zone trust
destination-zone dmz
action permit
dis this

Trust->R1:
sys
ip route-static 0.0.0.0 0 192.168.1.1
dis ip routing-table

验证Trust能否访问DMZ区域
在这里插入图片描述
接下来看第二条要求,trust区域可以访问unstrust区域
首先需要一条trust到untrust的策略,其次因为untrust是外网,不会接受内网192.168.1.7的包,需要做一个NAT源地址转换

Local->FW1:
sys
security-policy
rule name trsut_to_untrust
source-zone trust
destination-zone untrust
action permit
dis this
quit
quit
nat-policy
rule name trust_nat_untrsut
source-zone trust
egress-interface g1/0/1
action nat easy-ip
dis this

验证Trust访问untrsut
在这里插入图片描述
第三条要求:unstrust区域可以访问DMZ区域

Local->FW1:
sys
security-policy
rule name untrust_to_dmz
source-zone untrust
destination-zone dmz
action permit
dis this

Untrust->R2:
sys
ip route-static 0.0.0.0 0 177.7.7.1
dis this

验证untrust区域访问dmz区域
在这里插入图片描述
最后一个要求:trust区域可以访问防火墙,防火墙可以访问所有区域,首先,要使得Trust能访问防火墙,需要进入对应接口,允许对应服务,防火墙访问所有区域只需要一条策略允许即可

Local->FW1:
sys
int g1/0/0
service-manage ping permit
dis this 
quit
security-policy
rule name local_to_any
source-zone local
destination-zone any
action permit
dis this

验证结果:
在这里插入图片描述
在这里插入图片描述

防火墙web端配置

地址设置以及区域规,在g1/0/0接口设置的勾选上允许ping服务,也就是上述要求的允许trust访问防火墙
在这里插入图片描述
在这里插入图片描述
策略在这里加就是了
在这里插入图片描述
NAT策略在这里
在这里插入图片描述
web端配置很简单看图配置就是了

  • 16
    点赞
  • 3
    评论
  • 96
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

相关推荐
©️2020 CSDN 皮肤主题: 撸撸猫 设计师:马嘣嘣 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值