防火墙安全区域及安全策略配置

• 掌握防火墙安全区域的配置方法
• 掌握安全策略的配置方法

你是公司的网络管理员公司总部的网络分成了三个区域，包括内部区域（trust),外部區域（untrust）和服务器区域（DMZ）你设计通过防火墙来实现对数据的控制，确保公司内部网络安全并通过DMZ区域对外网提供服务器。

步骤二、根据拓扑图对设备进行基本配置与IP编址

给路由器和防火墙配置地址并配置静态路由，在交换机上配置vlan

防火墙默认会启用GigabitEthernet0/0/0接口的IP地址为避免干扰可以删除。

在FW上配置明确的静态路由实现三个loopback0接口网段之间路由畅通

FW1配置IP和路由如下：

交换机上需要按照需求定义VLAN

步骤三、配置防火墙区域

实验中我们使用到trust、untrust、dmz三个区域，分别将对应接口加入各安全区域由于默认配置将

g0/0/0加入了trust区域为避免干扰，将其删除；

FW1上配置脚本如下：

检查各接口所在的区域：

可以看到三个接口已经被划分到相应的区域内默认情况 下不同区域是不可互通的，因此此时各路由器之间流量是无法通过的，需要配置区域间的安全策略放行允许通过的流量

USG6000默认情况下只有0口是可以允许所有服务的那么如果想茬其他端口开启相应的服务，需要在相应端口下面输入相应命令

配置前测试从local区域到trust区域连通性：

3.2、配置策略允许trust区域能ping通防火墙本地

配置前从trust区域ping防火墙：

• 掌握登陆USG防火墙的方法

• 掌握修改防火墙设备名的方法

• 掌握对防火墙的时间、时区进行修改的方法

• 掌握修改防火墙登陆标语信息的方法

• 掌握修改防火墙登陆密码的方法

• 掌握查看、保存和删除防火墙配置的方法

• 掌握在防火墙上配置vlan、地址接口、测试基本连通性的方法

步骤一.登陆缺省配置的防火墙并修改防火墙嘚名称

防火墙和路由器一样有一个Console接口。使用console线缆将console接口和计算机的com口连接在一块使用windows操作系统自带的超级终端软件，即可连接到防吙墙

         另外需要注意的是，由于防火墙和路由器同样使用了VRP平台操作系统所以在命令级别、命令帮助等，与路由器上相应操作相同

保存配置，并查看以保存的配置信息

将G0/0/0、G0/0/1、G0/0/2添加到trust区。在测试三口的连通性（在添加到trust区以前先确认这些端口不在untrust区）

本文出自 “” 博客请务必保留此出处