[ensp案例]防火墙USG6000设置

场景：

企业用路由器连接外网和内网的防火墙，防火墙连接划分为trust、untrust和dmz三个区域。网络拓扑如下，请按要求进入配置

（1）所有区域任何主机都直接访问DMZ区

（2）信任区主机能访问外网，但外网不能访问信任区主机

（3）仅信任区主机110.1.1.1/24能访问外网主机20.1.1.1/24，且外网仅20.1.1.1/24仅能访问信任区主机110.1.1.2/24。

这是我的一篇作业练习[嘻嘻]

一、登录防火墙USG6000V，并修改密码(需导入一个vfw_usg.vdi包)

Press ENTER to get started.

Login authentication

Username:admin

Password:Admin@123

The password needs to be changed. Change now? [Y/N]: y

Please enter old password: Admin@123

Please enter new password:Zhang@123

Please confirm new password:Zhang@123

（修改密码的时候注意首字母大写）

二 、禁止向屏幕发送监控信息、进入系统视图、修改系统名称

为什么要禁用信息中心呢？因为有时候代码敲不完的时候它会有不断的提示词出现。

<USG6000V1>undo terminal monitor             //可简写为u t m
Info: Current terminal monitor is off.
<USG6000V1>system-view                      //可简写为sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]sysname FW2                //修改名字为FW2

三、设置端口IP地址

[FW2]int g1/0/0    //进入GigabitEthernet1/0/0接口配置模式。
[FW2-GigabitEthernet1/0/0]ip address 110.1.1.254 24  //配置ip地址
[FW2-GigabitEthernet1/0/0]quit                 //返回上一步
[FW2]
[FW2]interface GigabitEthernet1/0/1 
//进入GigabitEthernet1/0/0接口配置这是不简写的
[FW2-GigabitEthernet1/0/1]ip add 192.168.1.254 255.255.255.0  //为g1/0/1接口分配IP地址192.168.1.254，子网掩码为255.255.255.0
[FW2-GigabitEthernet1/0/1]quit
[FW2]
[FW2]int g1/0/2        //进入g1/0/2端口配置
[FW2-GigabitEthernet1/0/2]ip add 172.16.1.1 24   
//为g1/0/2接口分配IP地址172.16.1.1，子网掩码为255.255.255.0（/24）。
[FW2-GigabitEthernet1/0/2]quit
[FW2]

四、防火墙配置

1.分别向不同区域添加端口

2.进入安全策略配置

  (1)创建策略名称(可以用“区域到时区域”的方式命名，例如“trust-to-dmz”)

     源区域

     源区域地址段

     目标区域

     目标区域地址段

     采取行为（措施）

具体步骤与代码

1.分别向不同区域添加端口

[FW2]firewall zone trust                   //创建trust为信任区
[FW2-zone-trust]add interface g1/0/0       //将g1/0/0接口加入信任区
[FW2-zone-trust]quit
[FW2]
[FW2]firewall zone dmz                     //创建dmz为缓冲
[FW2-zone-dmz]add int g1/0/1               //将g1/0/1接口加入缓冲区
[FW2-zone-dmz]quit
[FW2]
[FW2]firewall zone untrust                 //创建untrust为非信任区
[FW2-zone-untrust]add int g1/0/2           //将g1/0/2接口加入非信任区
[FW2-zone-untrust]quit
[FW2]
[FW2]dis zone              //查看各区域信息（查看结果略）

  firewall zone trust                 //创建trust的防火墙区域，用于放置信任区

  add interface g1/0/0            //将g1/0/0接口加入信任区

  DMZ（Demilitarized Zone）是一个缓冲区，用于放置对外提供服务的服务器，这些服务器需要从外部网络访问，但又不应该直接暴露在不安全的外部网络中。

2.进入安全策略配置

  (1)创建策略：所有区域访问DMZ区的策略。策略名称to-dmz,目标区域dmz,目标区域地址段any, 采取行为（措施）permit

[FW2-policy-security-rule-trust-to-dmz]destination-zone dmz    
//进入安全策略规则配置模式
[FW2-policy-security-rule-trust-to-dmz]destination-address any    
//设置目的地址为any
[FW2-policy-security-rule-trust-to-dmz]action permit
//设置策略规则的目的区域为“dmz”。
[FW2-policy-security-rule-trust-to-dmz]quit
[FW2-policy-security]quit

[FW2-policy-security-rule-trust-to-dmz]   destination-zone dmz      //进入安全策略规则配置模式
设置策略规则的目的区域为“dmz”。这意味着这条规则将应用于所有从“trust”区域到“dmz”区域的流量。

[FW2-policy-security-rule-trust-to-dmz]    action permit
//设置策略规则的目的区域为“dmz”。这意味着这条规则将应用于所有从“trust”区域到“dmz”区域的流量。

(2)创建策略：信任区主机能访问外网，但网外不能访问信任区主机的策略。策略名称trust-to-untrust，源区域trust，源区域地址段any ，目标区域untrust，目标区域地址段any，采取行为（措施）permit。

[FW2]security-policy   //进入防火墙的安全管理策略配置模式
[FW2-policy-security] rule name trust-to-untrust    
//创建一个安全策略规则名为，trust-to-untrust
[FW2-policy-security-rule-trust-to-untrust]source-zone trust   //指定规则的源区域
[FW2-policy-security-rule-trust-to-untrust]destination-zone untrust  //指定规则的目的区域
[FW2-policy-security-rule-trust-to-untrust]action permit          //设置规则的动作为permit
[FW2-policy-security-rule-trust-to-untrust] quit
[FW2-policy-security]quit

[FW2-policy-security] rule name trust-to-untrus       //创建一个安全策略规则名为，trust-to-untrust

[FW2-policy-security-rule-trust-to-untrust]  source-zone trust      //指定规则的源区域为trust。这条规则将应用于所有从信任区域发起的流量。
[FW2-policy-security-rule-trust-to-untrust]  destination-zone untrust   // 指定规则的目的区域为untrust。这条规则将应用于所有目的地为非信任区域的流量。
[FW2-policy-security-rule-trust-to-untrust]  action permit      // 设置规则的动作为permit，即允许流量通过。所有从trust区域到untrust区域的流量都将被允许。

3.配置OSPF,发布连接网段

[FW2]ospf   //进入OSPF配置模式
[FW2-ospf-1]area 0   //指定OSPF运行在区域0
[FW2-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255   
//将网络172.16.1.0/24加入到OSPF区域0
[FW2-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
//将网络192.168.1.0/24也加入到OSPF区域0
[FW2-ospf-1-area-0.0.0.0]quit
[FW2-ospf-1]quit
[FW2]

[FW2-ospf-1]  area 0        //指定OSPF运行在区域0，这是OSPF中的骨干区域

[FW2-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255     //将网络172.16.1.0/24加入到OSPF区域0，这个网络的所有设备将通过OSPF进行路由。

[FW2-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255    //将网络192.168.1.0/24也加入到OSPF区域0，同样，这个网络的设备也将通过OSPF进行路由。

五、（外网）路由器AR2设置

1. 禁止向屏幕发送监控信息、进入系统视图、修改系统名称

<Huawei>u t m

Info: Current terminal monitor is off.

<Huawei>sys

Enter system view, return user view with Ctrl+Z.

[Huawei]sysname AR2

2.进入端口，配置IP地址

[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 172.16.1.2 24
[AR2-GigabitEthernet0/0/0]quit

3.进入子接口，配置单臂路由

[AR2]int g0/0/1.1
[AR2-GigabitEthernet0/0/1.1]ip add 10.1.1.254 24
[AR2-GigabitEthernet0/0/1.1]dot1q termination vid 10
//配置802.1Q VLAN终结
[AR2-GigabitEthernet0/0/1.1]arp broadcast enable
//启用ARP广播，允许ARP请求和响应通过这个子接口
[AR2-GigabitEthernet0/0/1.1]quit
[AR2]
[AR2]int g0/0/1.2
[AR2-GigabitEthernet0/0/1.2]ip add 20.1.1.254 24
[AR2-GigabitEthernet0/0/1.2]dot1q termination vid 20
//配置802.1Q VLAN终结
[AR2-GigabitEthernet0/0/1.2]arp broadcast enable
//启用ARP广播
[AR2-GigabitEthernet0/0/1.2]quit

4.配置OSPF,发布连接网段

[AR2]ospf 1 router-id 1.1.1.1   //开启OSPF进程1，并为该进程设置了一个路由器ID为1.1.1.1。

[AR2-ospf-1]area 0     //将路由器加入到OSPF的区域0

[AR2-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255
//将网络172.16.1.0/24加入到OSPF区域0中

[AR2-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255
//将网络10.1.1.0/24加入到OSPF区域0中

[AR2-ospf-1-area-0.0.0.0]network 20.1.1.0 0.0.0.255
//将网络20.1.1.0/24加入到OSPF区域0中

[AR2-ospf-1-area-0.0.0.0]quit

[AR2-ospf-1]quit

六、（外网）交换机LSW3的配置

<Huawei>sys

Enter system view, return user view with Ctrl+Z.

[Huawei]u in e

Info: Information center is disabled.

[Huawei]sys LSW3

[LSW3]vlan batch 10 20   //创建VLAN 10和VLAN 20

Info: This operation may take a few seconds. Please wait for a moment...done.

[LSW3]int e0/0/2

[LSW3-Ethernet0/0/2]port link-type access    //端口e0/0/2的连接类型设置为access

[LSW3-Ethernet0/0/2]port default vlan 10    //端口e0/0/2的默认VLAN设置为VLAN 10

[LSW3-Ethernet0/0/2]quit

[LSW3]

[LSW3]int e0/0/3

[LSW3-Ethernet0/0/3]port link-type access  

[LSW3-Ethernet0/0/3]port default vlan 20

[LSW3-Ethernet0/0/3]quit

[LSW3]

[LSW3]int e0/0/1

[LSW3-Ethernet0/0/1]port link-type trunk    //端口e0/0/1的链接类型设置为trunk

[LSW3-Ethernet0/0/1]port trunk allow-pass vlan 1 10 20   //端口e0/0/1的默认VLAN设置为VLAN 10

七、防火墙设备进阶：（按需选做）

1.查看并取消安全策略配置

[FW2]security-policy     //进入安全策略配置视图

[FW2-policy-security]dis this                        //查看当前视图配置（安全策略配置）

2024-12-11 04:59:27.280

#

security-policy

 rule name to-dmz

  destination-zone dmz

  action permit

 rule name trust-to-untrust

  source-zone trust

  source-zone untrust

  destination-zone trust

  destination-zone untrust

  source-address 110.1.1.1 0.0.0.0

  source-address 20.1.1.1 0.0.0.0

  destination-address 110.1.1.2 0.0.0.0

  destination-address 20.1.1.1 0.0.0.0

  action permit

#

return

[FW2-policy-security]undo  rule name to-dmz          //撤消安全策略配置

[FW2-policy-security]undo  rule name trust-to-untrust          //撤消安全策略配置

[FW2-policy-security]dis this     //查看安全策略配置

2024-12-11 05:01:26.300

#

security-policy

#

return

2.一步到位，放行任意区域访问DMZ区所有网址【实例中的第（1）题】

[FW2]security-policy     //进入安全策略配置视图

[FW2-policy-security]rule name to-dmz

[FW2-policy-security-rule-to-dmz]destination-zone dmz

[FW2-policy-security-rule-to-dmz]destination-address any

[FW2-policy-security-rule-to-dmz]action permit

[FW2-policy-security-rule-to-dmz]quit

[FW2-policy-security]quit

这些命令都有重复的了，我就懒得一一再解释了，这样显得累赘。

结束语

如果你已经看到这里，就代表跟我一样看到最后，要知道坚持一件事情是非常难的，我已经放弃了数次，希望你看到能坚持，也希望你能走得更远，去看到我没看到的风景。