USG6000V防火墙基础配置实验

目录

防火墙 - 含义和定义

什么是防火墙？

状态防火墙工作原理

USG6000V防火墙基础配置实验

实验拓扑

图形化页面的搭建

防火墙的配置

测试

---

防火墙 - 含义和定义

防火墙是一种计算机网络安全系统，可限制进出专用网络或专用网络内的互联网流量。

此类软件防火墙或专用的软硬件防火墙的主要功能是选择性地阻止或允许数据包。防火墙通常用于帮助阻止恶意活动并防止专用网络内外的任何人进行未经授权的 Web 活动。

什么是防火墙？

防火墙可以被视为门控边界或网关，用于管理被允许和被禁止的 Web 活动在专用网络中的传播。该术语源于物理墙的概念，即在紧急救援人员将其扑灭之前用于减缓火势蔓延的屏障。而网络安全领域的防火墙用于 Web 流量管理，通常旨在减缓 Web 威胁的传播。

防火墙创建“阻塞点”来限制输送 Web 流量，然后根据一组编程参数对这些流量进行审查并据此采取相应的行动。有些防火墙还在审计日志中跟踪流量和连接，以便用户了解被允许或被阻止的内容。

防火墙通常用于在专用网络或其主机设备的边界设置门控。因此，防火墙属于更广泛的用户访问控制类的一种安全工具。这些屏障通常设置在两个位置上——网络上的专用计算机（即用户计算机）和其他端点本身（主机）。

状态防火墙工作原理

状态防火墙 --- 会话追踪技术 --- 三层、四层

在包过滤（ ACL 表）的基础上增加一个会话表，数据包需要查看会话表来实现匹配。

会话表可以用 hash 来处理形成定长值，使用 CAM 芯片处理，达到交换机的处理速度。

首包机制,细颗粒度 ,速度快

USG6000V防火墙基础配置实验

实验拓扑

实验分为三个区域：trust、untrust、dmz区域，通过搭建云进入图形化页面进行设计。

图形化页面的搭建

进入云进行端口的创建

 之后进去防火墙的登陆，进行密码的修改。默认名称是admin，默认密码是Admin@123

 设置IP地址，并打开所有服务

[USG6000V1]interface g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.233.33 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 

 之后在网页中输入你设置的IP地址进行登录，并输入用户名和你修改后的密码就登录进去了

 

 

防火墙的配置

相应接口进行IP的配置，划分到相应的区域。

 路由的配置：

 策略的配置：

 untrust区域的配置：

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 100.1.1.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 1.1.1.2 24
[Huawei]ip route-static 0.0.0.0 0.0.0.0 100.1.1.1

trust区域的配置：

[sw1]vlan 2
[sw1-vlan2]q
[sw1]int vlan 2
[sw1-Vlanif2]ip address 10.1.1.2 24
[sw1-Vlanif2]q
[sw1]int g0/0/1	
[sw1-GigabitEthernet0/0/1]port link-type access 
[sw1-GigabitEthernet0/0/1]port default vlan 2
[sw1]vlan 3
[sw1-vlan3]q
[sw1]int vlan 3
[sw1-Vlanif3]ip address 2.2.2.2 24
[sw1-Vlanif3]q
[sw1]int g0/0/2
[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 3
[sw1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1

DMZ区域的配置：

[dmz]int Eth-Trunk 1
[dmz-Eth-Trunk1]trunkport g0/0/1
[dmz-Eth-Trunk1]trunkport g0/0/2
[dmz-Eth-Trunk1] q
[dmz]int Eth-Trunk 1
[dmz-Eth-Trunk1]port link-type trunk 
[dmz-Eth-Trunk1]port trunk allow-pass vlan 10 to 11
[dmz-Eth-Trunk1]q
[dmz]vlan 11
[dmz-vlan11]vlan 10
[dmz-vlan10]q
[dmz]int g0/0/3
[dmz-GigabitEthernet0/0/3]port link-type access
[dmz-GigabitEthernet0/0/3]port default vlan 10
[dmz-GigabitEthernet0/0/3]int g0/0/4
[dmz-GigabitEthernet0/0/4]port link-type access 
[dmz-GigabitEthernet0/0/4]port default vlan 11

测试

trust访问untrust

trust访问dmz

untrust访问dmz中server1

不能访问dmz中的server2