《防火墙-安全策略配置2.0》

《防火墙-安全策略配置》

安全策略应用

一、实验目的

建立一个以防火墙为基础的体系结构:财务服务器可以通信财务人员和员工的电脑,财务人员可以与财务服务器及员工电脑通信,员工可以通信财务人员的电脑,不可以访问财务服务器。

二、组网设备

防火墙USG5500一台,pc机三台,交换机S5700两台

三、实验拓扑图

在这里插入图片描述

四、实验内容及步骤

1.配置IP、子网掩码及网关:
pc1为财务服务器,pc2为财务人员,pc3为员工
Pc1 Pc2 Pc3

IP192.168.10.2192.168.20.2192.168.20.3
子网掩码255.255.255.0255.255.255.0255.255.255.0
网关192.168.10.1192.168.20.1182.168.20.1

2.配置trust和untrust区域:
首先进入系统视图,然后配置trust和untrust区域,分别进入GE 0/0/2和GE 0/0/3接口设置对应的IP

GE 0/0/2GE 0/0/3
192.168.10.1/24192.168.20.1/24

把GE 0/0/2接口加入trust区域,GE 0/0/3 接口加入untrust区域
FW1:
Enter system view, return user view with Ctrl+Z.
[SRG]
[SRG]firewall zone trust
[SRG-zone-trust]add interface GigabitEthernet 0/0/2
[SRG]interface GigabitEthernet 0/0/2
[SRG-GigabitEthernet0/0/2]ip address 192.168.10.1 24
[SRG]firewall zone untrust
[SRG-zone-untrust]add interface GigabitEthernet 0/0/3
[SRG]interface GigabitEthernet 0/0/3
[SRG-GigabitEthernet0/0/3]ip address 192.168.20.1 24

3.配置安全策略:
(1)流量方向为出 trust—>untrust,策略源地址来自于pc1,从而pc1可以对pc2和pc3随意访问。
[SRG]policy interzone trust untrust outbound
[SRG-policy-interzone-trust-untrust-outbound]policy 2
[SRG-policy-interzone-trust-untrust-outbound-2]action permit
[SRG-policy-interzone-trust-untrust-outbound-2]policy source 192.168.10.0 mask 2
(2)流量方向为入 trust<—untrust,策略源地址来自于pc2,从而仅允许pc2可以对pc1访问,而pc3则不可以。
[SRG]policy interzone trust untrust inbound
[SRG-policy-interzone-trust-untrust-inbound]policy 3
[SRG-policy-interzone-trust-untrust-inbound-3]action permit
[SRG-policy-interzone-trust-untrust-inbound-3]policy source 192.168.20.2 0
(3)pc2和pc3在同一个交换机下,没有过多配置,是可以互相通信的。

实验结果:

pc1通pc2(成功)
在这里插入图片描述

pc1通pc3(成功)

在这里插入图片描述

pc2通pc1(成功)
在这里插入图片描述

pc3通pc1(失败)

在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值