一、实验过程
1.使用eNSP拓扑图搭建以下拓扑图,并按如下要求规划IP地址
2.主机IP地址配置(IP地址、子网掩码和网关)
3.防火墙接口配置
- 配置IP地址
- 将接口加入到安全区域
- 查看安全区域
4.测试网络的连通性
PC1上ping PC2
PC1上ping PC3
Note:默认情况下,报文在不同的安全区域之间流动时受到控制,报文在同一个安全区域内流动时不受控制。
PC1 ping PC2通
PC1 ping PC3不通
PC2 ping PC3不通
5.配置安全策略(一体化安全策略),使PC1、PC2和PC3之间互通
6.查看安全策略并测试网络的连通性,查看测试结果截图
PC1 Ping PC2通
PC1 Ping PC3通
7.思考,PC3可以访问PC1或PC2吗?为什么?
PC3 ping PC1不通
PC3 ping PC2不通
8.查看会话表,理解状态检测与会话创建。
二、实验原理
防火墙安全区域与安全策略基础配置详细步骤
1.使用eNSP拓扑图搭建以下拓扑图,并按如下要求规划IP地址(其中X为自己学号的后两位)
2.主机IP地址配置(IP地址、子网掩码和网关)
3.防火墙接口配置
- 配置IP地址
<USG6000V1>sys
[USG6000V1]sys YSL_USG
[YSL_USG]interface g 1/0/0
[YSL_USG-GigabitEthernet1/0/0]ip add 10.0.1.1 24
[YSL_USG-GigabitEthernet1/0/0]int g 1/0/1
[YSL_USG-GigabitEthernet1/0/1]ip add 10.0.2.1 24
[YSL_USG-GigabitEthernet1/0/1]int g 1/0/2
[YSL_USG-GigabitEthernet1/0/2]ip add 10.0.3.1 24
[YSL_USG-GigabitEthernet1/0/2]quit
[YSL_USG]
- 将接口加入到安全区域
[YSL_USG]firewall zone trust
[YSL_USG-zone-trust]add interface g 1/0/0
[YSL_USG-zone-trust]add interface g 1/0/1
[YSL_USG-zone-trust]quit
[YSL_USG]firewall zone untrust
[YSL_USG-zone-untrust]add interface g 1/0/2
[YSL_USG-zone-untrust]quit
- 查看安全区域,查看结果截图
[YSL_USG]display zone
local
priority is 100
interface of the zone is (0):
#
trust
priority is 85
interface of the zone is (3):
GigabitEthernet0/0/0
GigabitEthernet1/0/0
GigabitEthernet1/0/1
#
untrust
priority is 5
interface of the zone is (1):
GigabitEthernet1/0/2
#
dmz
priority is 50
interface of the zone is (0):
4.测试网络的连通性
PC1上ping PC2 通!
PC1上ping PC3 不通!
PC2上ping PC3 不通!
思考:为什么会出现这种现象?
原因:默认情况下,报文在不同的安全区域之间流动时受到安全策略控制,报文在同一个安全区域内流动时不受安全策略控制。默认安全策略如下:
[YSL_USG]display security-policy rule all
Total:1
RULE ID RULE NAME STATE ACTION HITTED
----------------------------------------------------------------------------------------------
0 default enable deny 5
----------------------------------------------------------------------------------------------
- 配置安全策略(一体化安全策略),使PC1、PC2可以访问PC3
[YSL_USG]security-policy
[YSL_USG-policy-security]rule name policy1
[YSL_USG-policy-security-rule-policy1]source-zone trust
[YSL_USG-policy-security-rule-policy1]destination-zone untrust
[YSL_USG-policy-security-rule-policy1]service any
[YSL_USG-policy-security-rule-policy1]action permit
[YSL_USG-policy-security-rule-policy1]quit
6.查看安全策略并测试网络的连通性,查看测试结果截图
[YSL_USG]display security-policy all
Total:2
RULE ID RULE NAME STATE ACTION HITTED
----------------------------------------------------------------------------------------------------------------
0 default enable deny 10
1 policy1 enable permit 10
---------------------------------------------------------------------------
PC1上ping PC3 通!
PC2上ping PC3 通!
7.思考,PC3可以访问PC1或PC2吗?为什么?
PC3上ping PC1 不通!
PC3上ping PC2 不通!
8.查看会话表,理解状态检测与会话创建。查看结果截图
[YSL_USG]display firewall session table
Current Total Sessions : 5
icmp VPN: public --> public 10.0.1.10:17363 --> 10.0.3.10:2048
icmp VPN: public --> public 10.0.1.10:17619 --> 10.0.3.10:2048
icmp VPN: public --> public 10.0.1.10:17875 --> 10.0.3.10:2048
icmp VPN: public --> public 10.0.1.10:17107 --> 10.0.3.10:2048
icmp VPN: public --> public 10.0.1.10:16595 --> 10.0.3.10:2048