防火牆配置實例華為-tft每日頭條

一、防火牆拓撲

防火牆配置實例華為（防火牆基礎配置）1

二、配置需求

1、通過配置實現PC1屬于信任Trust區域，Server屬于Dmz,PC2屬于Untrust區域

2、配置防火牆安全策略實現PC1可以訪問服務器及互聯網PC2

3、進行測試驗證

三、防火牆配置

1、防火牆安全區域接口配置

[USG6000V1-GigabitEthernet1/0/1] ip address 172.16.10.254 255.255.255.0//dmz區域網關

[USG6000V1-GigabitEthernet1/0/2] ip address 202.202.202.254 255.255.255.0//出口互聯

interface GigabitEthernet1/0/0

ip address 192.168.10.254 255.255.255.0 //trust區域PC1的網關

service-manage https permit//接口允許ping，默認接口禁止ping

[USG6000V1]firewall zone trust //配置防火牆區域trust将接口0/0/0和0/0/1加入trust

[USG6000V1-zone-trust]add interface GigabitEthernet 0/0/0

[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0

[USG6000V1]firewall zone dmz//将G1/0/1接口加入dmz區域

[USG6000V1-zone-dmz] add interface GigabitEthernet1/0/1

[USG6000V1]firewall zone untrust//将G1/0/2接口加入untrust區域

[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/2

注意事項：

涉及到防火牆，如果防火牆接口沒有加入安全區域同時放行ping，則接口無法ping通

防火牆接口G1/0/0既加入安全區域Trust,又同時放行ping，因此PC1可以正常ping通接口

（缺一不可的）

防火牆配置實例華為（防火牆基礎配置）2

2、防火牆安全策略配置

此時PC1隻可以ping通自己的網關，但是無法ping通服務器和互聯網

防火牆配置實例華為（防火牆基礎配置）3

防火牆默認安全策略是禁止區域間訪問，因此我們需要配置允許區域間訪問

1）、配置允許Trust區域ping通DMZ服務器區域

我們通過安全策略配置使用源目IP方式進行配置：

[USG6000V1]security-policy //安全策略配置

[USG6000V1-policy-security] rule name trust_dmz//創建訪問規則

[USG6000V1-policy-security-rule-trust_dmz] source-address 192.168.10.1 0.0.0.0

//配置安全策略的源地址

[USG6000V1-policy-security-rule-trust_dmz] destination-address 172.16.10.0 mask

255.255.255.0 //配置安全策略的目的地址段

[USG6000V1-policy-security-rule-trust_dmz] service icmp //配置服務為icmp

[USG6000V1-policy-security-rule-trust_dmz] action permit//配置執行動作為permit

2)、測試PC1可以ping通服務器

防火牆配置實例華為（防火牆基礎配置）4

3）、配置允許Trust區域ping通Untrust互聯網區域

我們通過安全策略配置使用源目安全區域的方式進行配置：

[USG6000V1]security-policy //配置安全策略

[USG6000V1-policy-security-rule-trust_dmz] rule name tust_untrust//配置規則名字

[USG6000V1-policy-security-rule-tust_untrust] source-zone trust//配置安全策略源安全區域

[USG6000V1-policy-security-rule-tust_untrust] destination-zone untrust//配置安全策略目的安全區域

[USG6000V1-policy-security-rule-tust_untrust] service icmp//配置服務

[USG6000V1-policy-security-rule-tust_untrust] action permit//配置執行服務為允許

4)、測試PC1可以ping通互聯網

防火牆配置實例華為（防火牆基礎配置）5

5）、查看防火牆會話表項

[USG6000V1]display firewall session table//可以查看PC1與Dmz和Untrust通信會話表項

icmp VPN: public --> public 192.168.10.1:65381 --> 172.16.10.1:2048

icmp VPN: public --> public 192.168.10.1:64101 --> 202.202.202.1:2048

總結: 以上配置演示我們通過兩種方式實現基本的防火牆安全策略配置

第一種我們通過安全策略配置源目IP方式實現

第二種我們通過安全策略配置源目安全區域方式實現