5 -华为防火墙:二层和三层接入的安全策略配置差异

  

一、实验拓扑:
5 -华为防火墙:二层和三层接入的安全策略配置差异

  

二、实验要求:
1,内网:连接R2接口G0/0/2是三层接口,其它接口都是二层接口,R1, R2, R3部署默认路由到USG;
2,正是上创建VLAN 10202,并将G0/0/0划分到VLAN 202年G0/0/1划分到VLAN 10;
3部署政策0:允许信任到Untrust的ICMP流量出去,部署策略1:允许DMZ到Untrust出站的ICMP流量出去。
4, R3萍R1, R2萍R1是否可通?
三,命令部署:
1,路由器接口地址,默认路由略
(R1) ip route-static 0.0.0.0 0.0.0.0 202.100.1.10
(R2) ip route-static 0.0.0.0 0.0.0.0 192.168.1.10
(R3) ip route-static 0.0.0.0 0.0.0.0 10.1.1.10
2, USG配置:
(1)接口配置:
[分析]int G0/0/0
[SRG-GigabitEthernet0/0/0] portswitch
[SRG-GigabitEthernet0/0/0]端口访问VLAN 202

  

[分析]int g0/0/1
[SRG-GigabitEthernet0/0/1] portswitch
(SRG-GigabitEthernet0/0/1)端口访问vlan 10

  

[分析]int g0/0/2
[SRG-GigabitEthernet0/0/2] ip添加192.168.1.10 24
查看:
[SRG-GigabitEthernet0/0/0]显示这个//默认输完portswitch,就是访问口
portswitch
端口链接类型访问
[分析]显示ip int bri//已经没有G0/0/0, G0/0/1接口显示了

  

创建VLAN:
[分析]VLAN 10
[SRG-vlan-10] VLAN 202
配置VLAN地址:
[分析]int vlanif 202
[SRG-Vlanif202] ip添加202.100.1.10 24
[分析]int vlanif 10
[SRG-Vlanif10] ip添加10.1.1.10 24
查看:
[分析]显示ip接口简单//增加了VLAN地址

  

把原来的接口解出来:
[分析]防火墙区untrust
[SRG-zone-untrust]取消添加int g0/0/0
[分析]防火墙区dmz
[SRG-zone-dmz]取消添加int g0/0/1
划分VLAN到不通区域:
[分析]防火墙区untrust
[SRG-zone-untrust]添加int g0/0/0
[分析]防火墙区dmz
[SRG-zone-dmz]添加int Vlanif 10
测试:
[分析]萍202.100.1.1//可通
[分析]萍10.1.1.3//可通
(2)部署策略1:允许dmz到untrust出站的ICMP流量出去
[分析]ip服务设置aaa类型对象
[SRG-object-service-set-aaa]服务协议ICMP

  

[分析]政策地区间的dmz untrust出站
[SRG-policy-interzone-dmz-untrust-outbound]政策1
[SRG-policy-interzone-dmz-untrust-outbound-1]政策来源10.1.1.0面具24
[SRG-policy-interzone-dmz-untrust-outbound-1]政策目的地202.100.1.0面具24
[SRG-policy-interzone-dmz-untrust-outbound-1]政策服务服务设置aaa
[SRG-policy-interzone-dmz-untrust-outbound-1]行动允许
(3)部署政策0:允许信任到untrust的ICMP流量出去
[分析]政策地区间的信任untrust出站
[SRG-policy-interzone-trust-untrust-outbound]政策0
[SRG-policy-interzone-trust-untrust-outbound-0]政策来源192.168.1.0面具24
[SRG-policy-interzone-trust-untrust-outbound-0]政策目的地202.100.1.0面具24
[SRG-policy-interzone-trust-untrust-outbound-0]政策服务服务设置aaa
[SRG-policy-interzone-trust-untrust-outbound-0]行动允许
测试:
(R2)萍202.100.1.1
从202.100.1.1回复:字节=56序列=1 ttl=254时间=50 ms
从202.100.1.1回复:字节=56序列=2 ttl=254时间=50 ms
从202.100.1.1回复:字节=56序列=3 ttl=254时间=50 ms
从202.100.1.1回复:字节序列=4=56 ttl=254时间=50 ms
从202.100.1.1回复:字节=56序列=5 ttl=254=40毫秒
实现效果受影响。

5 -华为防火墙:二层和三层接入的安全策略配置差异