USG6000v防火墙的基本使用:制定安全策略让不同安全区域的设备进行访问

16 篇文章 2 订阅
11 篇文章 0 订阅

目录

一、首先配置环境:

二、实验拓扑及说明

拓扑:

 PC1和PC2配置ip地址:​编辑​编辑

 r4路由器配置ip:

 进行防火墙的设置:

1、创建trust1区域和untrust1区域

 2、制定防火墙的策略:

3、为防火墙增加可以到达PC2的路由:

 三、测试

1、PC1pingPC2:

2、PC2pingPC1:


 

一、首先配置环境:

1、下载并且设置USG6000v的一个镜像包:

链接:USG6000v镜像
提取码:6000

2、打开ensp开启已经配置好的USG6000v防火墙

拖拽出一个Cloud与防火墙连接

注意:防火墙必须使用 GE 0/0/0口进行连接

3、配置CLoud:

cee7738db69f4b8bac2f87c4688004c6.png

4、将防火墙的接口ip设置为与虚拟网卡一个网段:

[USG6000V1]int gi 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.159.100 24

5、由于防火墙默认关闭了所有的功能,这里还需要开启功能:

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 

6、浏览器输入你为防火墙配置的id进入图形化的防火墙配置页面:
fe92bb20eb1747d49aa91febc3c0785b.png

 7、数据账号密码登录进入

8、完成防火墙上其他需要使用到的接口的ip地址配置,并且开启该接口的所有功能:

[USG6000V1]int gi 1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 10.1.1.2 24
[USG6000V1-GigabitEthernet1/0/0]int gi 1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 20.1.1.1 24
[USG6000V1]int gi1/0/0	
[USG6000V1-GigabitEthernet1/0/0]service-manage all permit 
[USG6000V1]int gi1/0/1	
[USG6000V1-GigabitEthernet1/0/1]service-manage all permit 

二、实验拓扑及说明

拓扑:

0f6d731baaba4e4bbe7f919ca18ff403.png

 PC1和PC2配置ip地址:
f7c2b40b83c643f7bef7a2ed71201b56.png182a6fe7cc4c4aa6abefe5f73fc939dc.png

 r4路由器配置ip:

[r4]int gi 0/0/0
[r4-GigabitEthernet0/0/0]ip add 20.1.1.2 24
[r4-GigabitEthernet0/0/0]int gi 0/0/1
[r4-GigabitEthernet0/0/1]ip add 30.1.1.1 24

注意:这里还需要在r4上写一条缺省到防火墙,目的是让pc1访问pc2的流量可以正常返回:

[r4]ip route-static 0.0.0.0 0 20.1.1.1

 进行防火墙的设置:

1、创建trust1区域和untrust1区域

3b96d4ca44a74cd4bbd637cb34353b12.png

 25ad06b7a1be40a1803211511b3cbaf1.png

 2、制定防火墙的策略:

300e1f72b0cf48ae8b1d4434671302a3.png

3、为防火墙增加可以到达PC2的路由:

dcc87d115bab4746a09e31af7d77a668.png

 三、测试

1、PC1pingPC2:

7836f8b80dba46ae846fac38e2db5868.png

 成功!

2、PC2pingPC1:

b73a0913c14146ad94ce48a99258e81e.png

失败! 

失败的原因:因为策略是只匹配第一条,然而第一条中只写了从pc1到pc2的没有pc2到pc1的;

 

  • 11
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 12
    评论
USG6000v安全策略配置可以通过以下步骤实现: 1. 首先,你可以使用默认的安全区域(local、trust、dmz、untrust),它们的安全级别分别为100、85、50、5。当然,你也可以自己手动创建安全区域并定义安全等级。 2. 其次,将防火墙g口加入相应的安全区域。可以使用以下命令将g1/0/0加入trust区域:firewall zone trust,然后使用add int g1/0/0命令添加接口。 3. 接下来,需要配置域间包过滤,以保证网络基本通信正常。你可以配置trust区域到local区域安全策略,以允许telnet流量通过。可以使用以下命令进行配置: - 进入trust区域:[USG6000V1-zone-trust]quit - 进入安全策略配置模式:[USG6000V1]security-policy - 创建规则名称为allow_telnet的规则:[USG6000V1-policy-security]rule name allow_telnet - 设置源安全区域为trust:[USG6000V1-policy-security-rule-allow_telnet]source-zone trust - 设置目标安全区域为local:[USG6000V1-policy-security-rule-allow_telnet]destination-zone local - 设置动作为允许:[USG6000V1-policy-security-rule-allow_telnet]action permit - 退出安全策略配置模式:[USG6000V1-policy-security-rule-allow_telnet]quit - 退出安全策略配置模式:[USG6000V1-policy-security]quit 以上就是USG6000v安全策略配置步骤。如果你还有其他相关问题,请告诉我。 相关问题: 1. 如何添加防火墙接口到dmz区域? 2. 怎样配置USG6000v安全策略来限制特定IP访问? 3. 如何修改USG6000v安全区域安全级别?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

未知百分百

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值