ensp防火墙模拟配置-采用ping命令逐步分析
按如图所示配置好各个设备对应的IP地址。
注意点:
1.图中cloud2云处需要关联电脑上对应的虚拟网卡。
2.实验中我使用的是华为USG6000V防火墙,需要下载软件包,进入之后还需要改名改密码才能使用,不允许不改。
软件下载地址:
链接:https://pan.baidu.com/s/1jY9TeUwVX0_GJH657Ybv8g
提取码:7czu
system-view
[FW1] web-manager enable // 开启图形管理界面
[FW1] interface GigabitEthernet 0/0/0
[FW1-GigabitEthernet0/0/0] ip address 192.168.0.1 24 // 给接口配置IP地址
[FW1-GigabitEthernet0/0/0] service-manage all permit // 放行该端口的请求
[FW1-GigabitEthernet0/0/0] display this
配置好之后,我们就可以在自己的电脑主机ping通192.168.0.1
并且可以访问web管理页面。
sys
un in en //禁止弹出的信息
sysname Trust_R1
int e0/0/0
ip address 192.168.1.7 24
dis this
sys
un in en
sysname Untrust_R2
int e0/0/0
ip address 177.7.7.7 24
dis this
Local->FW1:
Please configure the password:admin@123
sys
un in en
sysname FW1
int g1/0/0
ip address 192.168.1.1 24
dis this
int g1/0/1
ip address 177.7.7.1 24
dis this
int g1/0/2
ip address 123.4.5.1 24
dis this
dis ip int brief
注意,在这里配置各IP地址,但是各区域间还是不能ping通(除了管理接口),例如r1和r2路由器ping不通防火墙,接下来咱们需要配置区域,以及配置策略。
配置目标(目的):
Local->FW1:
sys
firewall zone trust
add int g1/0/0
dis this
quit
firewall zone dmz
add int g1/0/2
dis this
quit
firewall zone untrust
add int g1/0/1
dis this
此时虽然配置了区域,但是互相之间还是ping不通
1.在防火墙上建立一条Trust区域到DMZ区域的策略
2.在Trust区域的R1上配置一条缺省路由
(未配以上策略时候r1 ping 不通server1)
Local->FW1:
sys
security-policy
rule name trust_to_dmz
source-zone trust
destination-zone dmz
action permit
dis this
Trust->R1:
sys
ip route-static 0.0.0.0 0 192.168.1.1 //这个表示不知道下一跳的路由都从192.168.1.1转发出去
//例如ping 123.4.5.6 ,查看路由表没有下一跳,那么就从192.168.1.1转发出去
//主要原因还是因为这个路由器只有一个外出接口,所以直接这样写就可以。
dis ip routing-table
验证Trust
能否访问DMZ
区域
能ping通
未配之前 trust区域无法ping通untrust区域
1.做一条trust到untrust的策略
2.nat源地址转换(因为untrust是外网,不会接受内网192.168.1.7的包)
Local->FW1:
sys
security-policy
rule name trsut_to_untrust
source-zone trust
destination-zone untrust
action permit
dis this
quit
quit
nat-policy
rule name trust_nat_untrsut
source-zone trust
egress-interface g1/0/1
action source-nat easy-ip
dis this
验证trust访问untrust
Local->FW1:
sys
security-policy
rule name untrust_to_dmz
source-zone untrust
destination-zone dmz
action permit
dis this
Untrust->R2:
sys
ip route-static 0.0.0.0 0 177.7.7.1
dis this
sys
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]service-manage ping permit
[FW1-GigabitEthernet1/0/0]dis this
3).防火墙ping 服务器 ping不通
[FW1]security-policy
[FW1-policy-security]rule name local_to_any
[FW1-policy-security-rule-local_to_any]source-zone local
[FW1-policy-security-rule-local_to_any]destination-zone any
[FW1-policy-security-rule-local_to_any]action permit