1.配置基本转发配置
将接口添加到untrust和trust区域
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add int g1/0/1
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int g1/0/0
配置基本的安全转发策略
[USG6000V1]security-policy #安全策略配置
[USG6000V1-policy-security]rule name to_internet #对安全策略进行命名
[USG6000V1-policy-security-rule-to_internet]source-zone trust #定义源区域
[USG6000V1-policy-security-rule-to_internet]destination-zone untrust #定义目标区域
[USG6000V1-policy-security-rule-to_internet]source-address 192.168.100.0 24 #定义
源地址
[USG6000V1-policy-security-rule-to_internet]destination-address any #定义目标地址
[USG6000V1-policy-security-rule-to_internet]action permit #执行策略
配置默认路由
[USG6000V1]ip route-static 0.0.0.0 0 192.168.200.100
配置基本的NAT(Easy_IP)策略
[USG6000V1]nat-policy #NAT策略配置
[USG6000V1-policy-nat]rule name to_internet #对NAT策略进行命名
[USG6000V1-policy-nat-rule-to_internet]action source-nat easy-ip #执行动作为easy-ip
2.配置基于IP地址的转发策略
配置拒绝访问的IP地址
[USG6000V1]ip address-set deny_ip type object #进入对象配置
[USG6000V1-object-address-set-deny_ip]address 192.168.100.101 0 #配置单个IP地址
配置拒绝访问互联网的安全策略
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name deny-internet
[USG6000V1-policy-security-rule-deny-internet]source-address address-set deny_ip
#调用拒绝访问的IP地址
[USG6000V1-policy-security-rule-deny-internet]action deny #执行动作为deny
配置允许访问互联网的安全策略
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name permit-internet
[USG6000V1-policy-security-rule-deny-internet]source-address 192.168.100.100 24
[USG6000V1-policy-security-rule-deny-internet]action permit