华为防火墙的基本配置(华为防火墙域间策略配置)

1.防火墙拓扑

二、配置要求

1、通过配置，PC1属于trust区，Server属于Dmz，PC2属于Untrust区

2、配置防火墙安全策略，使PC1可以访问服务器和上网PC2

3.进行测试验证

3.防火墙配置

1.防火墙安全区域接口配置

[USG6000V1-GigabitEthernet1/0/1] ip地址172.16.10.254 255.255 .255.0//dmz区域网关

[USG6000V1-GigabitEthernet1/0/2] ip address 202.202.202.254 255.255.255.0//退出互联

接口 GigabitEthernet1/0/0

IP 地址 192.168。 10.254 255.255.255.0 //信任区PC1的网关

service-manage https permit//接口允许ping，默认接口禁止ping

[USG6000V1]firewall zone trust //配置firewall zone trust给interface 0/ 0/0 and 0/0/1 add trust

[USG6000V1-zone-trust]添加接口GigabitEthernet 0/0/0

[USG6000V1-zone-trust]添加接口GigabitEthernet 1/0/0\n
[USG6000V1]防火墙all zone dmz//将接口G1/0/1加入dmz区域

[USG6000V1-zone-dmz] 添加接口GigabitEthernet1/0/1

[USG6000V1]firewall zone untrust//Add G1/0/ 2 将接口加入untrust区域

[USG6000V1-zone-untrust]添加接口GigabitEthernet 1/0/2

笔记：

涉及到防火墙，如果防火墙接口没有加入安全区域，同时允许ping，则无法ping通接口

防火墙接口G1/0/0加入安全区域Trust，同时允许ping，所以PC1可以正常ping接口

（必要的）

2.防火墙安全策略配置

此时PC1只能ping通自己的网关，无法ping通服务器和外网

防火墙默认的安全策略是禁止跨域访问的，所以我们需要配置允许跨域访问

1）配置允许Trust区域通过DMZ服务器区域ping通

我们使用源目的IP的方式通过安全策略配置来配置：

[USG6000V1]security-policy //安全策略配置

[USG6000V1-policy-security] rule name trust_dmz//创建访问规则

[USG6000V1-policy-security-rule-trust_dmz] 源地址192.168.10.1 0.0.0.0

//配置安全保单来源地址

[USG6000V1-policy-security-rule-trust_dmz] destination-address 172.16.10.0 mask

255.255.255.0 //配置安全策略的目的地址段

[USG6000V1-policy -security-rule-trust_dmz] service icmp //配置服务为icmp

[USG6000V1-policy-security-rule-trust_dmz] action permit//配置执行动作为permit

2)、测试PC1能ping通

3）配置允许Trust区域ping Untrust Internet区域

我们使用安全策略配置来配置源和目标安全区域：

[USG6000V1]security-policy //配置安全策略

[USG6000V1-policy-security-rule-trust_dmz]规则名称tust_untrust//配置规则名称

[USG6000V1-policy-security-rule-tust_untrust] source-zone trust //配置安全策略 source Security zone

[USG6000V1-policy-security-rule-tust_untrust] destination-zone untrust //配置安全策略目的安全区域

[USG6000V1-policy-security-rule-tust_untrust] service icmp //配置服务

[USG6000V1-policy-security-rule-tust_untrust] action permit //配置执行服务允许

4)、测试PC1能ping通外网

5）、查看防火墙会话条目

[USG6000V1]display firewall session table//可以查看PC1与Dmz和Untrust的通信会话表项

icmp VPN：公共 –> 公共 192.168.10.1:65381 –> 172.16.10.1:2048

icmp VPN：公共 –> 公共 192.168.10.1:64101 –> 202.202.202.1:2048

总结：以上配置演示了我们通过两种方式实现了基本的防火墙安全策略配置

第一种方式我们通过安全策略配置源IP和目的IP

第二种方式我们通过安全策略配置源和目的安全区域

您可能对以下内容感兴趣：

Cisco路由器配置示例（cisco网络示例）

华为交换机和思科交换机命令的区别（值得收藏）

华为路由器开启dhcp（华为路由器上的DHCP配置（详细步骤））

java集合有哪些（java集合有哪些类型的使用场景）

Android架构设计（Android项目架构）

How to configure the h3c switch（如何设置h3c开关）