zoukankan      html  css  js  c++  java
  • ensp实战之防火墙安全转发策略

    本次实验用防火墙是USG6000V,拓扑图如下:

     

    步骤一:

          按上面配好PC1、2、3以及WWW服务器的IP地址、子网掩码以及网关;

    步骤二:

          进入防火墙的CLI命令模式下,按一下命令配置:

    配置各个接口的IP 地址,并加入相应的安全区域。      

    <USG6000V1>system-view

    [USG6000V1]int g 1/0/0

    [USG6000V1-GigabitEthernet1/0/0]ip add 192.168.5.1 24

    [USG6000V1-GigabitEthernet1/0/0]quit

    [USG6000V1]int g 1/0/1

    [USG6000V1-GigabitEthernet1/0/1]ip add 1.1.1.1 24

    [USG6000V1-GigabitEthernet1/0/1]quit

    [USG6000V1]firewall zone trust

    [USG6000V1-zone-trust]add int g 1/0/0

    [USG6000V1-zone-trust]quit

    [USG6000V1]firewall zone untrust

    [USG6000V1-zone-untrust]add int g 1/0/1

    [USG6000V1-zone-untrust]quit

    配置名称为ip_deny的地址集,将几个不允许上网的IP地址加入地址集。

    [USG6000V1]ip address-set ip_deny type object

    [USG6000V1-object-address-set-ip_deny]address 192.168.5.2 0

    [USG6000V1-object-address-set-ip_deny]quit

    创建拒绝特殊的几个IP地址访问Internet的转发策略。

    [USG6000V1]security-policy

    [USG6000V1-policy-security]rule name policy_deny

    [USG6000V1-policy-security-rule-policy_deny]source-address address-set ip_deny

    [USG6000V1-policy-security-rule-policy_deny]action deny

    [USG6000V1-policy-security-rule-policy_deny]quit

    创建允许其他属于192.168.5.0/24这个网段的PC访问Internet的转发策略。

    [USG6000V1]security-policy

    [USG6000V1-policy-security]rule name policy_permit

    [USG6000V1-policy-security-rule-policy_permit]source-address 192.168.5.0 24

    [USG6000V1-policy-security-rule-policy_permit]action permit

    [USG6000V1-policy-security-rule-policy_permit]quit

    打开指定端口(华为新一代的防火墙,默认情况下,只有0口是可以允许所有服务)

    [USG6000V1]int g 1/0/0  

    [USG6000V1-GigabitEthernet1/0/0]service-manage http permit

    [USG6000V1-GigabitEthernet1/0/0]service-manage ping permit

    [USG6000V1-GigabitEthernet1/0/0]quit

    [USG6000V1]int g 1/0/1

    [USG6000V1-GigabitEthernet1/0/1]service-manage http permit

    [USG6000V1-GigabitEthernet1/0/1]service-manage ping permit

    [USG6000V1-GigabitEthernet1/0/1]quit

    防火墙安全转发策略教程到此结束,如果还有地方不懂得请加QQ群:489218121

  • 相关阅读:
    Goahead 3.1.0 发布,嵌入式 Web 服务器
    jdao 1.0.2 发布,轻量级的orm工具包
    pythonbitstring 3.1.0 发布
    JavaScript 搜索引擎 lunr.js
    Difeye 1.1.4 版本发布
    Chronon 3.5 发布,支持 Java 7
    性能扩展的那些事儿:一味增加硬件并不能解决响应时间问题
    Eclipse SDK 4.2.2/Equinox 3.8.2 发布
    Linux Kernel 3.8.1 发布
    Armadillo C++ Library 3.800 发布
  • 原文地址:https://www.cnblogs.com/linux130/p/6269125.html
Copyright © 2011-2022 走看看