目录
一、配置要求
二、配置步骤
1. ping通防火墙接口IP地址的条件
2. 内网ping通外网终端的条件
3. 内网ping通DMZ(内网服务器)的条件
三、命令解析
一、配置要求
内网可以ping通防火墙;内网可以访问外网;外网可以访问内网服务器。二、配置步骤
1. ping通防火墙接口IP地址的条件
配置接口IP地址;接口添加到域(如trust);在连接终端(PC)的接口上配置接口允许ping---service-manage ping permit注:连接在防火墙允许ping接口上的终端,可以ping通防火墙所有已经连接且配置了IP地址的接口。
2. 内网ping通外网终端的条件
配置接口IP地址;接口添加到域;进入安全策略,配置内网到外网互通规则;进入nat策略,配置内网到外网互通规则;配置默认路由。3. 内网ping通DMZ(内网服务器)的条件
配置接口IP地址;接口添加到域;进入安全策略,配置内网到DMZ互通规则;USG6000V防火墙默认用户名为admin,默认密码为Admin@123system-viewinterface GigabitEthernet 1/0/1ip address 192.168.1.254 24service-manage ping permitinterface GigabitEthernet 1/0/2ip address 192.168.0.254 24interface GigabitEthernet 1/0/3ip address 8.0.0.1 27firewall zone name DMZadd interface GigabitEthernet 1/0/2firewall zone trustadd interface GigabitEthernet 1/0/1firewall zone untrustadd interface GigabitEthernet 1/0/3security-policyrule name nei-to-waisource-zone trustdestination-zone untrustaction permitnat-policyrule name nei-to-waisource-zone trustdestination-zone untrustaction source-nat easy-ipsecurity-policyrule name fuwuqisource-zone trustdestination-zone DMZaction permitip route-static 0.0.0.0 0 8.0.0.2nat server http protocol tcp global 8.0.0.1 6677 inside 192.168.0.11 80security-policyrule name dmz-waisource-zone DMZdestination-zone untrustaction permitsecurity-policyrule name wai-dmzsource-zone untrustdestination-zone DMZdestination-address 192.168.0.11 mask 255.255.255.255service ftp httpaction permit路由器:syssysname R1int gi 0/0/0ip add 6.6.6.254 24int gi 0/0/1ip add 8.0.0.2 27
三、命令解析
USG6000V防火墙默认用户名为admin,默认密码为Admin@123
system-view
interface GigabitEthernet 1/0/1
ip address 192.168.1.254 24
service-manage ping permit //此接口允许ping
interface GigabitEthernet 1/0/2
ip address 192.168.0.254 24
interface GigabitEthernet 1/0/3
ip address 8.0.0.1 27
firewall zone name DMZ //创建DMZ域
add interface GigabitEthernet 1/0/2 //给DMZ域添加接口
firewall zone trust //进trust(信任)域=内网办公区
add interface GigabitEthernet 1/0/1 //给trust域添加接口
firewall zone untrust//进untrust(非信任)域=外网
add interface GigabitEthernet 1/0/3 //给untrust域添加接口
内网访问外网:
security-policy//进安全策略
rule name nei-to-wai//创建内网到外网的规则
source-zone trust //源域为信任域
destination-zone untrust//目标域为非信任域
action permit //信任域到非信任域允许通信
nat-policy//进nat策略(网络地址转换策略)
rule name nei-to-wai//创建内网到外网的规则
source-zone trust //源域为信任域
destination-zone untrust //目标域为非信任域
action source-nat easy-ip //允许以easy-ip方式进行网络地址转换
ip route-static 0.0.0.0 0 8.0.0.2 //默认路由
内网访问DMZ:
security-policy//进安全策略
rule name trust-dmz //创建内网到DMZ(隔离区)的规则
source-zone trust //源域为信任域
destination-zone DMZ//目标域为DMZ域
action permit //信任域到DMZ域允许通信
外网访问内网服务器:
nat server http protocol tcp global 8.0.0.1 6677 inside 192.168.0.11 80
security-policy//进安全策略
rule name dmz-wai//创建DMZ域到外网的规则
source-zone DMZ //源域为DMZ域
destination-zone untrust
action permit
security-policy//进安全策略
rule name wai-dmz//创建外网到DMZ的规则
source-zone untrust //源域为非信任域
destination-zone DMZ//目标域为DMZ域
destination-address 192.168.0.11 mask 255.255.255.255//目标IP地址为192.168.0.11
service http //http服务
action permit //http协议的服务允许通信
防火墙(安全设备)默认权限都是禁止的,只有开启才能放行(本着人性本恶原则)。
