防火墙USG6000V基础配置

实验目的

• 1掌握防火墙安全区域的配置方法
• 2掌握安全策略配置方法

  实验效果

• 1 实现防火墙trust到DMZ和untrust的访问
• 2 实现防火墙tDMZ到untrust的访问

一、防火墙初始配置

USG6600防火墙默认的初始账号密码为，账号admin，密码aaa@qq.com，首次登陆时需更改密码。一般情况下，华为新一代的防火墙，默认情况下，只有0口是可以允许所有服务的，用户可根据需求开启相应的端口服务，此处我们是使用模拟器做实验，只需开启在接口模式下，使用命令service-manage ping permit开启ping服务即可

二、配置接口IP地址，开启ping服务

sys
sysn FE_A
inter g1/0/0
ip address 192.168.1.1 24
service-manage ping permit
quit
 interface GigabitEthernet 1/0/1
 ip address 10.1.1.1 24
service-manage ping permit
 quit
 interface GigabitEthernet 1/0/2
 ip address 200.1.1.1 24
service-manage ping permit
 quit

三、加入相应区域

 firewall zone trust           
 add interface GigabitEthernet 1/0/0       //将端口加入trust区
quit
firewall zone dmz
add interface GigabitEthernet 1/0/1     //将端口加入DMZ区
quit
firewall zone untrust
add interface GigabitEthernet 1/0/2    //将端口加入untrust区
quit

四、制定安全策略、

security-policy                                //进入安全策略
rule name policy_trust_untrust      //定义规则名称为policy_trust_untrust 
source-zone  trust                        //定义数据流方向的源端
destination-zone untrust             //定义数据流方向的目的端
action permit                             //动作允许通过
quit

rule name policy_trust_dmz
source-zone  dmz          
destination-zone  trust
action permit
quit

rule name policy_dmz_untrust
source-zone  dmz           
destination-zone untrust
action permit
return

五、设置PC机IP地址

DMZ区PC1 ：10.1.1.2
trust区PC2：192.168.1.2
untrust区PC3:200.1.1.2

六、测试