华为防火墙-安全区域与安全策略基础

一、实验过程

1.使用eNSP拓扑图搭建以下拓扑图，并按如下要求规划IP地址

2.主机IP地址配置（IP地址、子网掩码和网关）

3.防火墙接口配置

1. 配置IP地址
2. 将接口加入到安全区域
3. 查看安全区域

 

4.测试网络的连通性

PC1上ping PC2

PC1上ping PC3

Note：默认情况下，报文在不同的安全区域之间流动时受到控制，报文在同一个安全区域内流动时不受控制。

PC1 ping PC2通

PC1 ping PC3不通

PC2 ping PC3不通

 

 5.配置安全策略（一体化安全策略），使PC1、PC2和PC3之间互通

 

 

6.查看安全策略并测试网络的连通性，查看测试结果截图

PC1 Ping PC2通

PC1 Ping PC3通

 

 7.思考，PC3可以访问PC1或PC2吗？为什么？

PC3 ping PC1不通

PC3 ping PC2不通

 

 8.查看会话表，理解状态检测与会话创建。

 

 

二、实验原理

防火墙安全区域与安全策略基础配置详细步骤

1.使用eNSP拓扑图搭建以下拓扑图，并按如下要求规划IP地址（其中X为自己学号的后两位）

2.主机IP地址配置（IP地址、子网掩码和网关）

3.防火墙接口配置

1. 配置IP地址

<USG6000V1>sys

[USG6000V1]sys YSL_USG

[YSL_USG]interface g 1/0/0

[YSL_USG-GigabitEthernet1/0/0]ip add 10.0.1.1 24

[YSL_USG-GigabitEthernet1/0/0]int g 1/0/1

[YSL_USG-GigabitEthernet1/0/1]ip add 10.0.2.1 24

[YSL_USG-GigabitEthernet1/0/1]int g 1/0/2

[YSL_USG-GigabitEthernet1/0/2]ip add 10.0.3.1 24

[YSL_USG-GigabitEthernet1/0/2]quit

[YSL_USG]

1. 将接口加入到安全区域

[YSL_USG]firewall zone trust

[YSL_USG-zone-trust]add interface g 1/0/0

[YSL_USG-zone-trust]add interface g 1/0/1

[YSL_USG-zone-trust]quit

[YSL_USG]firewall zone untrust

[YSL_USG-zone-untrust]add interface g 1/0/2

[YSL_USG-zone-untrust]quit

1. 查看安全区域，查看结果截图

[YSL_USG]display zone

local

 priority is 100

 interface of the zone is (0):

#

trust

 priority is 85

 interface of the zone is (3):

    GigabitEthernet0/0/0

    GigabitEthernet1/0/0

    GigabitEthernet1/0/1

#

untrust

 priority is 5

 interface of the zone is (1):

    GigabitEthernet1/0/2

#

dmz

 priority is 50

 interface of the zone is (0):

4.测试网络的连通性

PC1上ping PC2    通！

PC1上ping PC3    不通！

PC2上ping PC3    不通！

思考：为什么会出现这种现象？

原因：默认情况下，报文在不同的安全区域之间流动时受到安全策略控制，报文在同一个安全区域内流动时不受安全策略控制。默认安全策略如下：

[YSL_USG]display security-policy rule all

Total:1

RULE ID RULE NAME           STATE      ACTION       HITTED          

----------------------------------------------------------------------------------------------

0       default                        enable     deny         5               

----------------------------------------------------------------------------------------------

1. 配置安全策略（一体化安全策略），使PC1、PC2可以访问PC3

[YSL_USG]security-policy

[YSL_USG-policy-security]rule name policy1

[YSL_USG-policy-security-rule-policy1]source-zone trust

[YSL_USG-policy-security-rule-policy1]destination-zone untrust

[YSL_USG-policy-security-rule-policy1]service any

[YSL_USG-policy-security-rule-policy1]action permit

[YSL_USG-policy-security-rule-policy1]quit

6.查看安全策略并测试网络的连通性，查看测试结果截图

[YSL_USG]display security-policy all

Total:2

RULE ID RULE NAME      STATE      ACTION       HITTED          

----------------------------------------------------------------------------------------------------------------

0       default                        enable     deny         10            

1       policy1                        enable     permit       10            

---------------------------------------------------------------------------

PC1上ping PC3    通！

PC2上ping PC3    通！

7.思考，PC3可以访问PC1或PC2吗？为什么？

PC3上ping PC1    不通！

PC3上ping PC2    不通！

8.查看会话表，理解状态检测与会话创建。查看结果截图

[YSL_USG]display firewall session table

 Current Total Sessions : 5

 icmp  VPN: public --> public  10.0.1.10:17363 --> 10.0.3.10:2048

 icmp  VPN: public --> public  10.0.1.10:17619 --> 10.0.3.10:2048

 icmp  VPN: public --> public  10.0.1.10:17875 --> 10.0.3.10:2048

 icmp  VPN: public --> public  10.0.1.10:17107 --> 10.0.3.10:2048

 icmp  VPN: public --> public  10.0.1.10:16595 --> 10.0.3.10:2048