实验拓扑:
要求:DMZ区内的服务器,办公区(9:00-18:00)可以访问
课堂笔记:
进入到防火墙配置界面后
先配置公网部分的,先不管他是移动还是电信,对外的就先设为untrust区
进入GE1/0/1接口,以后用作电信。这里网关要写,相当于给它配一条缺省路由。
记得把ping选项也勾选一下
同理进入GE1/0/2接口,以后用作移动
记得把ping选项也勾选一下
接下来配GE1/0/0接口,其作为DMZ区的网关
记得把ping选项也勾选一下
接下来配GE1/0/3接口,其对应的是生产区和办公区两个区,而且我们希望这两个区分开管理,所以不能将他们都放在trust区,我们去建两个新区域,一个办公区一个生产区。
然后我们去新创建子接口,其实就是GE1/0/3.1和GE1/0/3.2, 记得把ping选项也勾选一下
可以看到GE1/0/3下已经分成两个子接口分别通往办公区和生产区
我们可以看到这两个区域对应的网关
测试全网可达:
好,我们现在按照拓扑完成生产区和办公区PC端的配置,并试着在命令行选项框中ping一下。
再看一下DMZ区的服务器Server2
我们让它ping网关5次,全部成功
以上测试证明我们在各个单区域内网络没问题,现在开始实现它的需求
要求:DMZ区内的服务器,办公区(9:00-18:00)可以访问
我们先试一下,把DMZ的服务器2的HTTP服务开一下,点启动
用办公区的电脑访问一下
没做策略之前通不了,意料之中。来吧,我们来把它整通
进入防火墙配置界面,选择策略,点击安全策略,点击新建安全策略
温馨提示:点进去后最顶上的小字【选择策略模板】可以帮助你快速创建想要的安全策略
比如我们选择第3项
它就自动给你创好了,它这里有点东西你可以自己改一下,比如这个时间段:worktime,我们要求的是(9:00-18:00),我们看看它这个参数是几点到几点,像这种策略里面所用到的参数我们去顶上主菜单栏中的对象里面找
我们可以看到 它是8:00-18:00
好了,言归正传,我们可是立志要成为资深高级网络工程师的人,我们不需要新手教程,我们选择自己写
老样子,选择策略,点击安全策略,点击新建安全策略
一个创建标签的流程,没什么大用,接下来的才是重头戏
以上截取的选项,所有匹配项之间的关系是“与”,什么意思呢?也就是说以上的选项都要同时满足才是我们这条策略所针对的对象。
其中一条选项中可以多选,则多个选择之间为“或”关系
题外话,不用理会:上面这些选项里的这个应用选项,很高级,可以抓取通过的流量包里的数据,看看是不是有你设定的不让通过的部分,对其整个流量进行拦截
按照下面的图来配置,时间段自己新建一个
好嘞,那我们就创好了这条策略,我们看上图,这条策略如果呈现灰色状态,那说明不在其生效时间内,我们可以去系统-时钟配置里手动改变时间
可以看到,这条策略开始生效
重点提醒一点,视图里这些策略是可以拖动的,它们的匹配规则是从上到下逐一匹配。
好,现在我们再来像之前一样在(9:00-18:00)里用办公区的设备访问一下DMZ区内的服务器。
呐,现在就可以通了,完美
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
