《防火墙-安全策略配置》
安全策略应用
一、实验目的
建立一个以防火墙为基础的体系结构:财务服务器可以通信财务人员和员工的电脑,财务人员可以与财务服务器及员工电脑通信,员工可以通信财务人员的电脑,不可以访问财务服务器。
二、组网设备
防火墙USG5500一台,pc机三台,交换机S5700两台
三、实验拓扑图
四、实验内容及步骤
1.配置IP、子网掩码及网关:
pc1为财务服务器,pc2为财务人员,pc3为员工
Pc1 Pc2 Pc3
IP | 192.168.10.2 | 192.168.20.2 | 192.168.20.3 |
---|---|---|---|
子网掩码 | 255.255.255.0 | 255.255.255.0 | 255.255.255.0 |
– | – | – | – |
网关 | 192.168.10.1 | 192.168.20.1 | 182.168.20.1 |
2.配置trust和untrust区域:
首先进入系统视图,然后配置trust和untrust区域,分别进入GE 0/0/2和GE 0/0/3接口设置对应的IP
GE 0/0/2 | GE 0/0/3 |
---|---|
192.168.10.1/24 | 192.168.20.1/24 |
把GE 0/0/2接口加入trust区域,GE 0/0/3 接口加入untrust区域
FW1:
Enter system view, return user view with Ctrl+Z.
[SRG]
[SRG]firewall zone trust
[SRG-zone-trust]add interface GigabitEthernet 0/0/2
[SRG]interface GigabitEthernet 0/0/2
[SRG-GigabitEthernet0/0/2]ip address 192.168.10.1 24
[SRG]firewall zone untrust
[SRG-zone-untrust]add interface GigabitEthernet 0/0/3
[SRG]interface GigabitEthernet 0/0/3
[SRG-GigabitEthernet0/0/3]ip address 192.168.20.1 24
3.配置安全策略:
(1)流量方向为出 trust—>untrust,策略源地址来自于pc1,从而pc1可以对pc2和pc3随意访问。
[SRG]policy interzone trust untrust outbound
[SRG-policy-interzone-trust-untrust-outbound]policy 2
[SRG-policy-interzone-trust-untrust-outbound-2]action permit
[SRG-policy-interzone-trust-untrust-outbound-2]policy source 192.168.10.0 mask 2
(2)流量方向为入 trust<—untrust,策略源地址来自于pc2,从而仅允许pc2可以对pc1访问,而pc3则不可以。
[SRG]policy interzone trust untrust inbound
[SRG-policy-interzone-trust-untrust-inbound]policy 3
[SRG-policy-interzone-trust-untrust-inbound-3]action permit
[SRG-policy-interzone-trust-untrust-inbound-3]policy source 192.168.20.2 0
(3)pc2和pc3在同一个交换机下,没有过多配置,是可以互相通信的。
实验结果:
pc1通pc2(成功)
pc1通pc3(成功)
pc2通pc1(成功)
pc3通pc1(失败)