【华为防火墙静态路由基本配置(华为防火墙路由模式怎么配置)】分享给互联网从爱好者学习参考。
请点击“关注”,不要错过,每天和你分享不一样的智能知识!
以下拓扑是防火墙的一种部署方式。根据网络规划,首先配置路由器、防火墙、核心交换机、终端和服务器的IP地址。
1路由器R1[华为]sysname R1配置[R1]接口千兆以太网0/0/0
[R1千兆以太网0/0/0]ip地址10.1.1.11 24
[R1]接口千兆以太网0/0/1
100.1.1.1[R1千兆以太网0/0/0]ip地址24
[R1千兆以太网0/0/0]问
ISP上没有回程路由,但都由防火墙上的NAT转换。
2配置防火墙的接口地址[fw1]sysname FW1[FW1]接口千兆以太网0/0/1
[FW1-千兆以太网0/0/1]ip地址192.168.1.254 24
[FW1]接口千兆以太网0/0/2
[FW1-千兆以太网0/0/2]ip地址192.168.80.254 24
[FW1]接口千兆以太网0/0/3
[FW1-千兆以太网0/0/3]ip地址10.1.1.10 24
[FW1-千兆以太网0/0/3]q
验证配置结果
[FW1]显示ip接口简介
这个时候防火不能和各个区域的设备进行通信,然后下面的配置。
3将接口添加到防火墙安全域[FW1]防火墙区域信任[FW1-zone-trust]添加接口GigabitEthernet 0/0/1
[FW1-区域-信任]q
[FW1]防火墙区域隔离区
[FW1-zone-dmz]添加接口GigabitEthernet 0/0/2
[FW1-zone-dmz]q
[FW1]防火墙区域不可信
[FW1-zone-untrust]添加接口GigabitEthernet 0/0/3
[FW1-区域-不可信]q
注意:区域内必须有唯一的安全级别,相应的接口要添加到区域内,可以是物理接口,也可以是逻辑接口(Vlanif,Tunnel)。
这时候这三个域都建立了,但是域之间没有连接,因为域之间默认的是拒绝。但是从防火墙到内部网、DMZ和UnTrunst,设备都是相连的。
默认情况下,防火墙信任区域中的设备与内部网网关通信,但是DMZ区域中的设备被拒绝访问防火墙。
这显示了默认的包过滤规则。
4测试所有域设备的防火墙。从防火墙到所有区域设备,都可以通信;[FW1]ping 192.168.1.10
[FW1]ping 192.168.80.10
[FW1]ping 10.1.1.11
都可以互相交流;
5配置防火墙的域间包过滤策略(1)配置内网用户访问DMZ中的WEB服务器,配置内网访问DMZ服务器策略。[FW1]策略区域间信任dmz出站
[FW1-策略-区域间-信任-隔离区-出站]策略5
[FW1-Policy-Interzone-Trust-DMZ-Outbound-5]Policy source 192 . 168 . 1 . 10 0//只释放一个地址;
[FW1-Policy-Interzone-Trust-DMZ-Outbound-5]策略目的地192 . 168 . 80 . 10 0//只允许访问单个服务器;
[fw1-policy-inter bone-trust-dmz-outbound-5]policy service-set http//配置允许通过浏览器访问。
[FW1-Policy-Interzone-Trust-DMZ-Outbound-5]策略服务集ICMP//的配置表明允许ping命令;
[FW1-策略-区域间-信任-隔离区-出站-5]操作许可
测试连通性
如果内网有多个VLAN,如何配置?
(2)内网交换机SW1配置了VLANs 10和VLANs 10,端口被分配给对应的VLAN。[华为]sysname SW1[SW1]vlan批次10 20
[SW1]接口千兆以太网0/0/1
[SW1-千兆以太网0/0/1]端口链路型接入
[SW1-千兆以太网0/0/1]端口默认vlan 10
[SW1-千兆以太网0/0/1]问
[SW1]接口千兆以太网0/0/2
[SW1-千兆以太网0/0/2]端口链路型接入
[SW1-千兆以太网0/0/2]端口默认vlan 20
[SW1-千兆以太网0/0/2]问
[SW1]接口千兆以太网0/0/24
[SW1-千兆以太网0/0/24]端口链路型中继
[SW1-千兆以太网0/0/24]端口中继允许通过vlan 10 20
[SW1-千兆以太网0/0/24]问
(3)配置防火墙和子接口,实现VLAN之间的相互访问。[FW1]接口千兆以太网0/0/1[FW1-千兆以太网0/0/1]撤消ip地址192.168.1.254 24
[FW1]接口千兆以太网0/0/1.10
[FW1-千兆以太网0/0/1.10]vlan类型dot1q 10
[FW1-千兆以太网0/0/1.10]ip地址192.168.1.254 24
[FW1-千兆以太网0/0/1.10]q
[FW1]接口GigabitEthernet 0/0/1.20
[FW1-千兆以太网0/0/1.20]vlan类型dot1q 20
[FW1-千兆以太网0/0/1.20]ip地址192.168.2.254 24
[FW1-千兆以太网0/0/1.20]
(4)在防火墙上配置子接口,实现VLAN互通。您需要将子接口添加到区域:[FW1]防火墙区域信任。[FW1-zone-trust]添加接口GigabitEthernet 0/0/1.10
[FW1-zone-trust]添加接口GigabitEthernet 0/0/1.20
(5)测试并发布192.168.2.10以访问DMZ服务器[FW1]策略区域间信任dmz出站
[FW1-策略-区域间-信任-隔离区-出站]策略5
[FW1-策略-区域间-信任-dmz-出站-5]策略源192.168.2.10 0
[FW1-策略-区域间-信任-隔离区-出站-5]q
[FW1-策略-区域间-信任-隔离区-出站]q
试验
欢迎关注我的头条号,交流私信,学习更多网络技术!
