计算机网络-防火墙简单配置实验

前面大概了解了防火墙的基本原理与应用，今天通过模拟器来实现一下效果。

一、实验配置

拓扑图：

前期准备：配置正常IP地址和路由。但是正常情况下没有配置策略的情况下是无法ping通防火墙接口地址的。

防火墙默认账号密码为：缺省用户名为：admin，缺省密码为：Admin@123。设备型号：USG6000V，默认管理口G0/0/0，IP地址：192.168.0.1/24

1.1 地址配置

开始配置前建议规划好地址及网段。

[FW]dis ip int b
2024-02-20 01:51:10.350 
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
(d): Dampening Suppressed
(E): E-Trunk down
The number of interface that is UP in Physical is 5
The number of interface that is DOWN in Physical is 5
The number of interface that is UP in Protocol is 5
The number of interface that is DOWN in Protocol is 5

Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              192.168.0.1/24       down       down      
GigabitEthernet1/0/0              192.168.1.254/24     up         up        
GigabitEthernet1/0/1              192.168.80.254/24    up         up        
GigabitEthernet1/0/2              183.12.1.2/24        up         up        
GigabitEthernet1/0/3              unassigned           down       down      
GigabitEthernet1/0/4              unassigned           down       down      
GigabitEthernet1/0/5              unassigned           down       down      
GigabitEthernet1/0/6              unassigned           down       down      
NULL0                             unassigned           up         up(s)     
Virtual-if0                       unassigned           up         up(s)     
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

没有配置安全策略前是无法进行ping通的。

1.2 安全域与接口配置

将对应的物理接口加入对应的安全域，如trust、dmz、untrust等等。

firewall zone local
 set priority 100
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/1
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

1.3 安全策略配置

分配好区域之后还是不能进行通信，需要配置域间策略，现在这个实验都是不同区域间通信，因此域内策略不需要，实际情况需要实际考虑。

# 进入安全策略视图，安全策略视图下是安全策略，可以配置多条策略，以名称区分，在策略进行五元组、用户、时间段等配置
[FW]security-policy 
[FW-policy-security]

# 配置一条Local到any的策略，允许防火墙本身访问所有区域，在安全策略视图下通过rule配置
# 源区域local，目的区域any表示所有区域，service icmp表示允许ping，还有其它如http\dns\telnet等等，action动作为允许
 rule name local-any
  source-zone local
  service icmp
  action permit
  
# 配置trust到untrust区域的放通策略
 rule name trust-untrust
  source-zone trust
  destination-zone untrust
  action permit

# 配置trust到dmz的放通策略
 rule name trust-dmz
  source-zone trust
  destination-zone dmz
  action permit
  
# 配置untrust到Local，需要允许外网能够访问防火墙的接口地址
 rule name untrust-local
  source-zone untrust
  destination-zone local
  action permit

# 配置untrust到dmz的允许ping的策略，注意实际配置中一般建议使用nat进行服务器映射，这里只做测试
 rule name untrust-dmz
  source-zone untrust
  destination-zone dmz
  service icmp
  action permit
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

上面是简单的安全策略配置，没有涉及到用户、时间段、源主机IP，目的主机IP等等，但都是在规则里面配置的，可以自行尝试。

如果配置完成后对于防火墙的接口地址还是无法Ping通，就还需要进行接口服务的策略配置。

# 这边针对trust和untrust开启了ping的访问
interface GigabitEthernet1/0/0
 description to-trust
 undo shutdown
 ip address 192.168.1.254 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/1
 description to-dmz
 undo shutdown
 ip address 192.168.80.254 255.255.255.0
#
interface GigabitEthernet1/0/2
 description to-internet
 undo shutdown
 ip address 183.12.1.2 255.255.255.0
 service-manage ping permit
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

上面配置完成应该就差不多了。

二、Web界面配置

基础的区域间访问可以通过命令行进行配置，但是对于一些如授权、流量检测等命令行就比较麻烦了，因此实际配置中一般是开局网络配通之后通过管理口登录Web界面进行更详细的配置，像防火墙、无线控制器AC等设备。

修改G0/0/0地址为相同网段。

interface GigabitEthernet0/0/0
 undo shutdown
 ip binding vpn-instance default
 ip address 192.168.5.2 255.255.255.0
 alias GE0/METH
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit
1
2
3
4
5
6
7
8
9
10
11
12

如果是通过Web界面配置可视化配置比较直观方便，而且对于流量监控那些会比较好看点，最重要的是配置完成记得保存。