防火墙命令行放行
三种区域: DMZ区域是非军事化区域,外网流量要先访问DMZ区域,DMZ从而进行更好的阻拦 trust区域是内部区域,俗称内网 untrust区域是外部区域,俗称外网 内网需要做安全策略才能访问外网,外网是不能访问内网的
准备工作: 所有设备修改名称 配置IP地址
防火墙默认阻挡所有流量通过
配置IP地址: LSW1配置: vlan 10 int vlan 10 undo shutdown port-group group-member eth0/0/1 eth0/0/2 port link-type access port default vlan 10 AR1配置: int gi0/0/0 ip add 10.1.1.2 24 undo shutdown int loopback 0 ip add 1.1.1.1 32 FW1配置: vlan 10 int vlan 10 ip add 192.168.10.254 24 undo shutdown int gi1/0/2 portswitch #转换成二层接口 port link-type access port default vlan 10 undo shutdown int gi1/0/1 ip add 10.2.2.2 24 undo shutdown int gi1/0/0 ip add 10.1.1.1 24 undo shutdown
添加安全区域,放行流量
FW1配置: firewall zone trust #进入安全区域 add int vlan 10 #把安全区域的接口或者vlan划分进去 quit firewall zone untrust #进入外网区域,这个区域是不能访问内网的 add int gi1/0/0 #添加这个区域的接口 quit firewall zone dmz #进入dmz区域,这个区域是非军事区域,也就是相当于防火墙里面的第二道防火墙 add int gi1/0/1 #添加这个区域的接口 quit
默认防火墙所有接口都是在local区域的,所以我们要放行local区域
FW1配置: security-policy #建立安全策略 rule name local #起个名字为local source-zone local #默认所有接口的区域在local action permit #放行流量通过
这样还不算完,这些都做了之后,其它设备还是ping不通防火墙,需要开启连接防火墙的三个接口
FW1配置: int gi1/0/2 #进入gi1/0/2接口 service-manager ping permit #在接口上允许ping,如果不开这个ping,就算策略做了也不能与防火墙通信 quit int gi1/0/1 service-manager ping permit quit int gi1/0/0 service-manager ping permit quit
内网的PC1去ping通防火墙的192.168.10.254
外网的R1路由器去ping通防火墙
DMZ服务器去ping通防火墙