本期呢我们来说说安全策略这个东西
在usg6000v中,系统安全策略有4种分别是local、trust、dmz、untrust,他们的安全级别分别为100、85、50、5;当然,我们也可以自己手动创建安全区域并定义安全等级,话不多说,开整。
可以看到,我在这里做了4个安全区,那么先来点简单的,我想让trust->untrust区域可以ping通,反过来untrust->trust可以通的。这里先配下防火墙g1/0/0和g1/0/2的ip,以及将这两个端口划到相应的区域
现在咱做一下ping测试
可以看到,我用pc1去ping pc3并不能ping通,这时我们创建一个安全策略命名为t-u
可能有小伙伴要问了,那么这些命令是什么意思?我待会再细细讲解,现在咱们在做下ping测试,同样是pc1->pc3,结果如下
可以看到,这就ping通了 ,但是现在有一个问题,现在pc3不能成功访问pc1,那我让pc3访问pc1,可以吗?当然可以,这时同样是配置安全策略来达到我们的目标
上图为pc3ping通pc1
我们创建另一个安全策略,并命名为u-t
此时在做测试,
可以看到,pc3->pc1成功,
现在加点难度,让trust->dmz成功,但是反过来dmz->trust失败
我们创建两条安全策略,一条为t-d,另一条为d-t(记得将dmz对应的端口添加到相应的区域)
此时我们做下测试,发现trust->dmz可以成功ping通,反过来就不行了
上图为pc1->pc2 成功
上图为pc2->pc1 失败
现在我们规定,自定义安全区soda可以访问所有区域,而这些区域却不能访问soda区
首先,在防火墙中创建一个安全区命名为soda并将相应端口划到该区域
然后设置一下安全级别
接下来就是策略配置,这里我会配置两条策略一条为s1,一条为s2
接下来做下测试 pc4->pc1 成功
pc4->pc2 成功
pc4->pc3 成功
其他区域ping soda区的主机,失败。
总结一下安全策略就是允许(或不允许)源区域的数据包到达目的区域,source-zone trust 这条命令的意思就是-------源区域为trust 。destination-zone dmz----------目的区域为dmz。action permit
-------允许该动作。反之,如果是action deny就是不允许(拒绝)该动作。
在防火墙中,当数据包经过时,防火墙会根据数据包的源区域和目标区域来决定是否放行该数据包。在配置安全策略中,还有source-addres。和destination-address的配置方法,意思就是源ip和目标ip,在本案例中未使用。
本期就先到这,下次咱说说NAT