配置公司内网的防火墙安全区域和策略

拓扑图如下：

要求：生产区是vlan 2  ，办公区是vlan 3，生产区的安全区域是SC  ， 办公区的安全区域是BG  ，server1（ftp服务器）和server2（http服务器）在DMZ区域  ，生产区只能在9：00到18：00访问server1和server2  ， 办公区全天都可以访问server1和server2

因为防火墙要用web界面管理，先用clound1和防火墙进行连接，这样在本机的浏览器上就能访问到防火墙的web界面，可以看我上一篇文章

ensp防火墙的web界面怎么在本机上登录-CSDN博客

1.先配二层的交换机LSW7，生产区在vlan 2 ，办公区在vlan 3 ，g0/0/1 是access类型  ，g0/0/2是  access类型  ， g0/0/3是trunk类型

LSW7配置：
[Huawei]vlan batch 2 3 
[Huawei]interface GigabitEthernet 0/0/1  
[Huawei-GigabitEthernet0/0/1]port link-type access   
[Huawei-GigabitEthernet0/0/1]port default vlan 2


[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access    
[Huawei-GigabitEthernet0/0/2]port default vlan 3
 

[Huawei]interface GigabitEthernet 0/0/3  
[Huawei-GigabitEthernet0/0/3]port link-type trunk  
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 3
 

三层fw1配置：利用web界面创建子接口，配置各接口的IP地址

1.创建sc和BG的安全区域

2.创建子接口

为了方便测试，把ping选上

如上操作，在创建一个vlan Tag为3的，安全区域为BG的，IP为10.0.2.1/24的g1/0/3.2的子接口

配置g1/0/0接口IP地址为10.0.3.1/24

最终结果：

现在各个区域都可ping到自己的网关

现在做安全策略：生产区只能在9：00到18：00访问server1和server2  ， 办公区全天都可以访问server1和server2

1.SC（生产区）到DMZ（服务器）的策略

2.BG（办公区）到DMZ（服务器）的策略

3.上面的SC到DMZ的是灰的，因为防火墙的时间现在不在9：00到18：00所以没执行，就是灰的

因为sc到DMZ策略没在时间范围内，所以pc2不能ping通server2，client1也不能获取server2，server3的文件

而BG到DMZ在时间范围，所以pc5可以ping通server2，client2也能获取server2和server3的文件

完成！！！！！！