防火墙也被称为防护墙,它是一种位于内部网络与外部网络之间的网络安全系统,通常,防火墙可以保护内部/私有局域网免受外部攻击,并防止重要数据泄露。它实际上是一种隔离技术。在没有防火墙的情况下,路由器会在内部网络和外部网络之间盲目传递流量且没有过滤机制,而防火墙不仅能够监控流量,还能够阻止未经授权的流量。
除了将内部局域网与外部Internet隔离之外,防火墙还可以将局域网中的普通数据和重要数据进行分离,所以也可以避免内部入侵。
1
、配置安全区域和接⼝
IP
地址
[USG6000V1]interface g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.1.254 24
[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit
[USG6000V1]interface g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 200.1.1.254 24
2
、开启接⼝的
Ping
服务【可选】
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface g1/0/0
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface g1/0/1
3、配置
trust
可以访问
untrst
4.可以成功
ping
通
web
服务也可以访问
5.但是服务器
ping
客⼾端,不通
因为我们配置的是
trust
可以访问
untrust
,⽽
untrust
不可以访问
trust
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name OUT
[USG6000V1-policy-security-rule-OUT]source-zone trust
[USG6000V1-policy-security-rule-OUT]destination-zone untrust
[USG6000V1-policy-security-rule-OUT]action permit
6.配置
EasyIP
7.抓包查看,地址发⽣了转换,转换为出接⼝地址
8.也可以配置
NAPT
,这⾥需要配置地址池
9.将
EasyIP
的启⽤的对勾去掉,或者之间删除
10.抓包查看,地址转换成了地址池中的地址
[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name EasyIP
[USG6000V1-policy-nat-rule-EasyIP]source-zone trust
[USG6000V1-policy-nat-rule-EasyIP]destination-zone untrust
[USG6000V1-policy-nat-rule-EasyIP]action nat easy-ip
[USG6000V1]nat-policy
[USG6000V1-policy-nat]undo rule name EasyIp
[USG6000V1]nat address-group pool
[USG6000V1-address-group-pool]mode pat
[USG6000V1-address-group-pool]section 200.1.1.10
[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name PNAT
[USG6000V1-policy-nat-rule-PNAT]source-zone trust
[USG6000V1-policy-nat-rule-PNAT]destination-zone untrust
[USG6000V1-policy-nat-rule-PNAT]action nat address-group pool
配置服务器发布
11将
G1/0/0
修改为
DMZ
12配置安全策略,允许
untrust
访问
dmz
13新建服务器映射,实现外⽹访问内⽹服务器