ensp實戰之防火牆安全轉發策略

時間 2019-11-06

標籤 ensp 實戰防火牆安全轉發策略欄目系統安全简体版

原文原文鏈接

本次實驗用防火牆是USG6000V，拓撲圖以下：安全

步驟一：服務器

按上面配好PC一、二、3以及WWW服務器的IP地址、子網掩碼以及網關；ui

步驟二：spa

進入防火牆的CLI命令模式下，按一下命令配置：blog

配置各個接口的IP 地址，並加入相應的安全區域。教程

<USG6000V1>system-view接口

[USG6000V1]int g 1/0/0ip

[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.5.1 24it

[USG6000V1-GigabitEthernet1/0/0]quitio

[USG6000V1]int g 1/0/1

[USG6000V1-GigabitEthernet1/0/1]ip add 1.1.1.1 24

[USG6000V1-GigabitEthernet1/0/1]quit

[USG6000V1]firewall zone trust

[USG6000V1-zone-trust]add int g 1/0/0

[USG6000V1-zone-trust]quit

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add int g 1/0/1

[USG6000V1-zone-untrust]quit

配置名稱爲ip_deny的地址集，將幾個不容許上網的IP地址加入地址集。

[USG6000V1]ip address-set ip_deny type object

[USG6000V1-object-address-set-ip_deny]address 192.168.5.2 0

[USG6000V1-object-address-set-ip_deny]quit

建立拒絕特殊的幾個IP地址訪問Internet的轉發策略。

[USG6000V1]security-policy

[USG6000V1-policy-security]rule name policy_deny

[USG6000V1-policy-security-rule-policy_deny]source-address address-set ip_deny

[USG6000V1-policy-security-rule-policy_deny]action deny

[USG6000V1-policy-security-rule-policy_deny]quit

建立容許其餘屬於192.168.5.0/24這個網段的PC訪問Internet的轉發策略。

[USG6000V1]security-policy

[USG6000V1-policy-security]rule name policy_permit

[USG6000V1-policy-security-rule-policy_permit]source-address 192.168.5.0 24

[USG6000V1-policy-security-rule-policy_permit]action permit

[USG6000V1-policy-security-rule-policy_permit]quit

打開指定端口（華爲新一代的防火牆，默認狀況下，只有0口是能夠容許全部服務）

[USG6000V1]int g 1/0/0

[USG6000V1-GigabitEthernet1/0/0]service-manage http permit

[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit

[USG6000V1-GigabitEthernet1/0/0]quit

[USG6000V1]int g 1/0/1

[USG6000V1-GigabitEthernet1/0/1]service-manage http permit

[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit

[USG6000V1-GigabitEthernet1/0/1]quit

防火牆安全轉發策略教程到此結束，若是還有地方不懂得請加QQ羣：489218121

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。