华为防火墙静态路由基本配置(华为防火墙路由模式怎么配置)
请点击“关注”,不要错过,每天和你分享不一样的智能知识!以下拓扑是防火墙的一种部署方式。根据网络规划,首先配置路由器、防火墙、核心交换机、终端和服务器的IP地址。
1路由器R1[华为]sysname R1配置
接口千兆以太网0/0/0
ip地址10.1.1.11 24
接口千兆以太网0/0/1
100.1.1.1ip地址24
问
ISP上没有回程路由,但都由防火墙上的NAT转换。
2配置防火墙的接口地址sysname FW1
接口千兆以太网0/0/1
ip地址192.168.1.254 24
接口千兆以太网0/0/2
ip地址192.168.80.254 24
接口千兆以太网0/0/3
ip地址10.1.1.10 24
q
验证配置结果
显示ip接口简介
这个时候防火不能和各个区域的设备进行通信,然后下面的配置。
3将接口添加到防火墙安全域防火墙区域信任
添加接口GigabitEthernet 0/0/1
q
防火墙区域隔离区
添加接口GigabitEthernet 0/0/2
q
防火墙区域不可信
添加接口GigabitEthernet 0/0/3
q
注意:区域内必须有唯一的安全级别,相应的接口要添加到区域内,可以是物理接口,也可以是逻辑接口(Vlanif,Tunnel)。
这时候这三个域都建立了,但是域之间没有连接,因为域之间默认的是拒绝。但是从防火墙到内部网、DMZ和UnTrunst,设备都是相连的。
默认情况下,防火墙信任区域中的设备与内部网网关通信,但是DMZ区域中的设备被拒绝访问防火墙。
这显示了默认的包过滤规则。
4测试所有域设备的防火墙。从防火墙到所有区域设备,都可以通信;
ping 192.168.1.10
ping 192.168.80.10
ping 10.1.1.11
都可以互相交流;
5配置防火墙的域间包过滤策略(1)配置内网用户访问DMZ中的WEB服务器,配置内网访问DMZ服务器策略。
策略区域间信任dmz出站
策略5
Policy source 192 . 168 . 1 . 10 0//只释放一个地址;
策略目的地192 . 168 . 80 . 10 0//只允许访问单个服务器;
policy service-set http//配置允许通过浏览器访问。
策略服务集ICMP//的配置表明允许ping命令;
操作许可
测试连通性
如果内网有多个VLAN,如何配置?
(2)内网交换机SW1配置了VLANs 10和VLANs 10,端口被分配给对应的VLAN。[华为]sysname SW1
vlan批次10 20
接口千兆以太网0/0/1
端口链路型接入
端口默认vlan 10
问
接口千兆以太网0/0/2
端口链路型接入
端口默认vlan 20
问
接口千兆以太网0/0/24
端口链路型中继
端口中继允许通过vlan 10 20
问
(3)配置防火墙和子接口,实现VLAN之间的相互访问。接口千兆以太网0/0/1
撤消ip地址192.168.1.254 24
接口千兆以太网0/0/1.10
vlan类型dot1q 10
ip地址192.168.1.254 24
q
接口GigabitEthernet 0/0/1.20
vlan类型dot1q 20
ip地址192.168.2.254 24
(4)在防火墙上配置子接口,实现VLAN互通。您需要将子接口添加到区域:防火墙区域信任。
添加接口GigabitEthernet 0/0/1.10
添加接口GigabitEthernet 0/0/1.20
(5)测试并发布192.168.2.10以访问DMZ服务器
策略区域间信任dmz出站
策略5
策略源192.168.2.10 0
q
q
试验
欢迎关注我的头条号,交流私信,学习更多网络技术!
页:
[1]