四个安全区域:trust(85)、untrust(5)、dmz(50)、local(100)里面的为优先级,固定好的
注意:
系统自带的 上述的安全区域不可删除和更改优先级
同时2个区域不能配置相同的优先级
防火墙接口想使用,必须加入到安全区域
一个安全区域内可以有多个接口
一个接口只能属于一个安全区域
环回口不需要加入安全区域,也不能加入
eg:主机去ping通防火墙连接云服务器的接口地址(100.1.1.2)
[USG6000V1-GigabitEthernet0/0/0]ip address 100.1.1.2 24
//允许所有的协议通信
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
R1:
[Huawei-GigabitEthernet0/0/0]ip address 100.1.1.4 24
云的配置:
结果:主机电脑去ping通 防火墙连通云服务器的接口地址能通
dis zone //查看防火墙安全区域
firewall zone name xxx //创造防火墙安全区域
//进行区域的配置更改
firewall zone xxx //进入该区域
set priority //更改优先级
add int g1/0/0 //接口加入安全区域
//进入untrust安全区域,配置这个接口进去
firewall zone untrust
add interface GigabitEthernet 1/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manag all permit //开启全允许的服务
//也可以在web网页上配置安全策略
6000防火墙配置安全策略:
security-policy //进入安全策略视图
rule name test
source-zone trust
destination-zone untrust
source-address 192.168.1.0 mask 255.255.255.0
action permi
5000防火墙配置安全策略:
policy interzone trust untrust outbound
policy 1
description test
policy source 192.168.1.0 0.0.0.255
action permit
trust untrust //顺序没关系,区域的流向靠的不是顺序,是outbound/inbound
inbound 低优先级到高优先级 outbound 高优先级到低优先级
例子2:
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip ad 192.168.2.254 24
[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface g1/0/1
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/1]ip ad 192.168.1.254 24
[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit
[USG6000V1]firewall zone trust
[USG6000V1-zone-untrust]add interface g1/0/0
//防火墙对应云服务器的那个接口也要配置安全区域
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet1/0/1]ip ad 100.1.1.2 24
[USG6000V1-GigabitEthernet1/0/1]service-manage all permit
[USG6000V1]firewall zone trust
[USG6000V1-zone-untrust]add interface g0/0/0 //g0口默认配置安全区域trust
再配置PC1和PC2的源目ip策略(安全策略),这样PC1就可以ping通PC2了
(记得加上这一步,不然无法ping通)
防火墙的查看icmp
[USG6000V1]dis firewall session table verbose protocol icmp
//防火墙整体丢包统计
[USG6000V1]display firewall statistics system discard
icmp
丢包统计:
Packet default filter packets discarded: 20(一次ping丢包5个)
local区域: