防火墙策略配置

拓扑

任务一 c2 ping c1 ，c1 not ping c2

首先我们要做的就是配置接口、网关、子网掩码，使得c1与c2可以互ping
如上图，我们先开启两个客户机，为方便测试。

命令

sys

sysname FW

dis ip int br 查看状态

int g0/0/1

ip add 192.168.2.1 24

int g0/0/2

ip add 192.168.1.1 24

dis ip int br  //查看状态是否添加成功


firewall zone trust

add int g0/0/1

add int g0/0/2


q  退出

若c1与c2可以互ping，说明配置成功

然后配置防火墙策略，使得c2可以ping c1，c1不能ping c2。

命令

policy zone trust

dis this

policy 1   创建策略1

action deny 

policy service service-set  icmp 服务在set中  icmp  查看服务内容


//policy sou
policy destination 192.168.2.0 mask 255.255.255.0

配置成功后，会发现c2可以ping c1，c1不再能ping c2

任务二 ping通并可访问两台服务器http服务

首先开启两台服务器，配置ip、掩码、网关，拓扑图在上面，如上配置即可，然后配置域名服务 ，dns解析服务

server1

server2


网络拓扑图：

域间策略
untrus区配置
int g0/03
ip add 100.1.1.1 24
int g0/0/4
ip add 202.1.1.1 24

dis ip int br 查看

划分区域
firewall zone untrust
add interface g0/0/3
add interface g0/0/4

trust 区域的优先级高于untrust区域

trust 访问 untrust 需要在outside做策略
untrust 访问 trust 需要在inside做策略

client ping 202.1.1.2  不通
client ping 202.1.1.1 通
因为防火墙所有接口都在local区

现在配置让c机ping通服务器

policy interzone trust untrust outbound
policy 1
action permit
policy service service-set icmp  允许协议
policy source 192.168.1.0 mask 255.255.255.0
dis this
policy source 192.168.2.0 mask 255.255.255.0

quit
dis this

可以看到客户机已经可以ping 通 两台服务器

接下来配置http服务和dns，让客户机可访问http

policy interzone trust untrust outbound

policy 2
action permit
policy service service-set http
policy source 192.168.1.0 mask 255.255.255.0
policy source 192.168.2.0 mask 255.255.255.0
##配置dns前只能用ip访问，配置后可用域名访问
policy service service-set dns

使用域名访问

任务三地址映射

nat-policy interzone trust untrust outbound

policy 1
action source-nat


dis this
policy source 192.168.1.0 mask 255.255.255.0
policy source 192.168.2.0 mask 255.255.255.0
easy-ip g0/0/4
dis this

quit

dis firewall session table  //访问服务器后出现映射内容