华为防火墙 入门

目录

 一，配置网关地址 

二，测试连通性

三，防火墙

3.1 安全域

3.2 安全策略

3.3 小结

3.4 c区上网

3.5 单向性

---

 一，配置网关地址 

ip  add  xxx.xxx.xxx.xxx 24 

dhcp select int  ##自动分配地址 

二，测试连通性

发现无法ping通网关地址 

这是正常现象

和交换机和路由器不通的是防火墙是禁止通行， 如果人为不做放行，则默认不通。

三，防火墙

3.1 安全域

设置接口 配置信任网络（内网）或者是不信任 网络（外网），或

[USG6000V1]firewall zone ?
  dmz      Specify dmz security zone
  local    Specify local security zone
  name     Indicate a security zone name to be created or deleted
  trust    Specify trust security zone
  untrust  Specify untrust security zone
[USG6000V1-zone-trust]add interface  g1/0/0 ##接口加入信任区域

[USG6000V1-zone-untrust]add interface g1/0/2  ##接口加入非信任区域


[USG6000V1-zone-dmz]add interface g1/0/1   ##接口加入半信任区域

将接口加入后 此时发现 还是ping不通

[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit 
##允许1/0/1接口可以ping

此时再去ping 发现可以ping通

3.2 安全策略

创建一个安全规则 使c区ping通防火墙

[USG6000V1]security-policy

[USG6000V1-policy-security]dis this
2022-10-08 02:43:58.240 
#
security-policy
 rule name c_to_local  ##安全策略的名字
  source-zone trust    ##来自trust区域
  destination-zone local ##目的地 local区域 即防火墙本身
  action permit        ##动作允许

此事用c区电脑主机 发现还是ping不通 

##安全设备的特性 默认禁止ping

[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit 
##进入接口 允许ping

3.3 小结

1.接口加入安全域

2.配置安全策略

3.接口允许ping 

3.4 c区上网

1.允许trunst到untrunst

2.NAT转化成公网ip

3.默认路由

安全策略
[USG6000V1-policy-security-rule-c_to_gongwang]dis this
2022-10-08 03:11:56.070 
#
 rule name c_to_gongwang
  source-zone trust
  destination-zone untrust
  action permit

NAT
[USG6000V1]nat-policy
[USG6000V1-policy-nat-rule-huawei]dis this
2022-10-08 03:14:20.980 
#
 rule name huawei
  source-zone trust
  destination-zone untrust
  action source-nat easy-ip ##转化成外网口的ip

默认路由
[USG6000V1]ip route-static 0.0.0.0 0 64.1.1.2
[USG6000V1]

 查看nat情况

3.5 单向性

c区可以去b区，b区不允许去c区

[USG6000V1-policy-security-rule-c_to_b]dis this
2022-10-08 03:34:02.410 
#
 rule name c_to_b
  source-zone trust
  destination-zone dmz
  action permit