基于IP地址的转发策略

步骤一：

 system-view

[USG6000V1]interface GigabitEthernet 0/0/0

[USG6000V1-GigabitEthernet0/0/0]display this

步骤二：配置防火墙两边接口的IP地址

 [USG6000V1-GigabitEthernet0/0/0]undo ip binding -instance default

[USG6000V1-GigabitEthernet0/0/0]dis this

[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.5.1 24

[USG6000V1-GigabitEthernet0/0/0]interface GigabitEthernet 1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address 1.1.1.1 24

[USG6000V1-GigabitEthernet1/0/0]q

步骤三：将 GigabitEthernet 0/0/0 端口添加到trust区域，将 GigabitEthernet 1/0/0添加到untrust区域

[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface GigabitEthernet 0/0/0 

[USG6000V1-zone-trust]q
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/0

[USG6000V1-zone-untrust]q

步骤四：配置名称为ip_deny的地址集，将几个不允许通过防火墙的IP地址加入地址集。

创建名称为ip_deny的地址集
[USG6000V1]ip address-set ip_deny type object

将不允许通过防火墙的IP地址加入ip_deny地址集

[USG6000V1-object-address-set-ip_deny]address 192.168.5.2 0
[USG6000V1-object-address-set-ip_deny]address 192.168.5.3 0
[USG6000V1-object-address-set-ip_deny]address 192.168.5.6 0 

 [USG6000V1-object-address-set-ip_deny]q

步骤五：创建不允许通过防火墙IP地址的转发策略，就是说加入ip_deny地址集的几个IP地址将不允许通过防火墙

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name policy_deny
[USG6000V1-policy-security-rule-policy_deny]source-address address-set ip_deny 

[USG6000V1-policy-security-rule-policy_deny]action deny

[USG6000V1-policy-security-rule-policy_deny]q
[USG6000V1-policy-security]q

步骤六：创建允许其他属于192.168.5.0/24这个网段的IP地址通过防火墙的转发策略。

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name policy_permit
[USG6000V1-policy-security-rule-policy_permit]source-address 192.168.5.0 24

[USG6000V1-policy-security-rule-policy_permit]action permit
[USG6000V1-policy-security-rule-policy_permit]q 

步骤七：测试，因为pc1和pc2的IP地址（192.168.5.2和192.168.5.3）被添加到不允许访问防火墙IP地址的转发策略，而pc3（192.168.5.4）没有被添加到不允许访问防火墙IP地址的转发策略，所以pc1和pc2无法ping通，pc3成功ping通目标主机，实验成功

 

 开始忘记标记图片啦，不过步骤我已经写了，图片只是一个辅助而已。