防火墙实验1

实验使用的拓扑结构：

进入防火墙

1、云如何配置：先增加一个UDP口，再增加一个虚拟网卡的口，然后将这两个进行端口映射

 2、进入防火墙，先使用原用户名和密码登录，第一次会强制修改密码

原用户名：admin

原密码：Admin@123

 3、给防火墙的g0/0/0接口配上地址(该接口默认有地址，为192.168.0.1)，再开启管理（因为使用的模拟器需要手动开启，真实设备默认开启）

system-view 
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.112.145 24	
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

可以查看我们开启的服务有哪些：

4、 进入浏览器输入我们在g0/0/0端口设置的IP加上8443端口号进入防火墙web页面

区域划分

1、首先我们查看默认的区域有哪些

 2、我们可以新建区域

3、我们给区域划分接口：将g1/0/0划分到trust区域

1）第一种方法，在区域部分直接划分

 2）在接口处划分

配置接口地址

交换机上的配置：

1、划分VLAN2、3、10

 2、配置IP地址

interface Vlanif2
 ip address 172.16.2.1 255.255.255.0

interface Vlanif3
 ip address 172.16.3.1 255.255.255.0

interface Vlanif10
 ip address 172.16.1.2 255.255.255.0

server1配置IP：

 R1路由器上的配置：

R2路由器上的配置：

此时要注意在路由器和交换机上加上缺省路由

[r1]ip route-static 0.0.0.0 0 100.1.1.1

[r2]ip route-static 0.0.0.0 0 172.16.2.1

[sw]ip route-static 0.0.0.0 0 172.16.1.1

防火墙的地址配置：

 在防火墙上写一个回程路由 （ 回程路由：路由器将用户的报文发到外网，外网回应的报文到路由器后，路由器需要根据回程路由将报文再发给用户。）

将防火墙的安全策略设置为允许，测试内网到外网能否ping通

防火墙策略1：设置内网能访问外网

1）选中新建安全策略

2）新建地址组

 3）策略完成

4）测试可以从内网ping通外网

5）查看策略可以看见有一个命中数

 PS：有一个命中数的原因：首包原则

6）可以查看会话表

防火墙策略2：外网用户要访问DMZ区域的服务器 

1、开启服务器的HTTPserver服务

 2、建立安全策略

 3、测试是否可以连接，客户端设置的IP地址是100.1.1.3/24

4、检查会话表

防火墙策略3：内网用户可以使用FTP访问文件

1、server服务器开启FTPserver服务

2、建立安全策略

3、在客户机上测试

4、查看会话表

5、可以使用防火墙命令行界面查看