使用华为 USG6000防火墙配置安全策略
目录
- 试验拓扑
- 实验要求
- 基础配置
- 配置地址
- 交换机配置
- FW1配置
- 测试并登入防火墙
- 安全策略配置
- 实验结果测试
试验拓扑
实验要求
1、VLAN2属于办公区:VLA43属于生产区
2、办公区PC在工作时间(周一至周五,早8晚6)可以正常访问OA Server,其它时间不允许
3、办公区PC可以在任意时刻访问Web Server
4、生产区PC可以在任意时间访问OA Server,但是不能访问Web Server
5、特例:生产区PC3可以在每周一早上10-11访问Web Server,用来更新企业最新产品信息
基础配置
配置地址
1、配置OA地址为10.0.0.1/32,网关为10.0.0.254/32
2、配置Web地址为10.0.0.2/32,网关为10.0.0254/32
3、配置PC1:192.168.1.1/32,PC2:192.168.1.129/32,PC3:192.168.1.130/32
交换机配置
1、在LSW2上创建Vlan2、Vlan3
2、分别进入G0/0/2,G0/0/3,G0/0/4配置为access类型且分别属于Vlan2,Vlan3,Vlan3
3、进入G0/0/1接口配置为trunk类型,允许Vlan2、Vlan3通过
FW1配置
1、登入FW1并修改密码
2、进入G0/0/0接口修改IP为Cloud1中所选网段
3、使用 service-manage all permit 命令放通所有功能
测试并登入防火墙
1、通过本机命令行ping测试防火墙
2、进入浏览器访问https://x.x.x.x:8443(这里的IP填FW1的G0/0/0配置的IP)
3、填写用户名和密码登入
4、配置FW1的G0/0/1接口
5、配置FW1的G1/00接口并把它归为dmz区
6、在FW的G1/0/1接口下新建两个子接口G1/0/1.1和G1/0/1.2并分别配置IP,两接口均为trust区
安全策略配置
1、选择策略选项并开始新建安全策略
2、配置安全策略po_1:
1、填写策略名称为po_1,描述为BG to OA
2、源安全区域选trust,目地安全区域选择dmz
3、在源地址/地区中新建地址BG并选择(如上图),在目的地址/地区中新建OA并选择(如上图)
4、时间段选择新建时间段working并选择为working
5点击确定成功创建po_1策略
3、配置安全策略po_2(选项如上图)
4、配置安全策略po_3(选项如上图,新建Sc地址)
5、配置安全策略po_4(选项如上图,新建Upload_Sc_PC3时间段)
实验结果测试
1、PC1通过pingOA测试发现周一至周五,早8晚6时间段可以ping通,其他时间段不通过
2、PC1在任意时间pingWeb均可通过
3、PC2通过ping发现可以在任意时间访问OA,但是不能访问Web
4、PC3只有在周一的10点-11点pingWeb可以通过