防火墙策略设置
打开防火墙命令行–设置安全区域和非安全区域–设置web配置
sys
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.10.1 24
[USG6000V1-GigabitEthernet1/0/1]service-manage http permit
[USG6000V1-GigabitEthernet1/0/0]service-manage https permit
[USG6000V1-GigabitEthernet1/0/0]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 61.139.1.1
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add int g1/0/1
[USG6000V1]web-manager enable
[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add int g1/0/2
在浏览器输入192.168.1.1 --输入账户密码
一、设置如何接入互联网
1.1进入快速向导–下一步
1.2设置防火墙名称
1.3选择本地系统配置时间(也可以手工配置)
1.4 选择静态ip
1.5 配置接入互联网静态ip参数
1.6 设置内网接口
1.7 核对置信息–应用
二、配置内网访问外网
2.1 策略–新建安全策略(设置公司访问外网的)
2.2 配置URL过滤 内网员工不能访问购物网站
对象–URL分类–购物网站勾选提交
2.3 设置网络限速 每ip上行最大4m,下行最大4m
2.4 配置内网访问外网 NAT(easy ip)转换
已经转换成功
三、设置内网访问外网需要身份验证
3.1 打开对象—找到用户–default
3.2 新建用户组
3.3 在行政组下将行政部的张三添加到组里,默认密码Admin@123
3.4 设置认证策略
3.5查看认证选项本地portal 8887 是否开启
3.6 还需添加安全区域到本地的策略,才能实现内网访问外网身份认证
3.7 服务需要新建一个目的为8887 端口
现在访问外网时需要身份认证了
四、VPN远程访问配置
4.1网络–L2TP 勾选启用(一定要选择启用)
4.2新建L2TP
4.3在用户地址池–新建用户地址池
4.4 对象–用户–选择VPN连接
4.5策略–安全策略–新建untrust访问local的策略选择L2TP服务
4.6 打开远程登录设备中的secoClient远程登录工具–新建连接–选择L2TP/IP
4.7 登录
4.8 网络适配器会出现一个以太网并且有网络
并且ip为172.16.1.82,是设置VPN里面的地址池的ip
4.9查看防火墙的路由也有172.16.16.1网段到防火墙的路由
4.10 这时候能访问到防火墙但是还不能访问内网,需要加一条安全策略
4.11 新建地址池
4.12 添加一条untrust到dmz服务器区域的安全策略
4.12 在外网用户测试是否能ping通内网192.168.10.1