HCIP-21.2 防火墙基础配置

数通

7.5-1

eNSP USG6000v 导入对应版本的vdi文件

默认账号 admin 密码 Admin@123

第一次登录提示修改密码

默认web管理接口 gi0/0/0 管理地址 192.168.0.1

为什么需要安全区域

7.5-7

为了防火墙上区分不同的网络,我们在防火墙上引入了一个重要概念:安全区域(Security Zone),简称为(Zone)。安全区域是一个或多个接口的集合,是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络标识报文流动的“路线”一般来说,当报文在不同的安全区域之间流动时才会受到控制。

防火墙通过接口来连接网络,将接口划分到安全区域后,通过接口就把安全区域和网络关联起来,通常说某个安全区域,就可以表示该安全区域中接口所连接的网络。接口、网络和安全区域的关系如图所示。

将接口划分到安全区域

image-20241028162016269

(1)通过把接口划分到不同的安全区域中,就可以在防火墙上划分出不同的网络

(2)我们吧接口1.2放入到安全区域A中,接口3放入到安全区域B中,接口4放入到安全区域C中,这样防火墙上就存在了三个安全区域,对应三个网络

(3)在华为防火墙上,一个接口只能加入到一个安全区域中

Local区域

image-20241028162258894

(1)防火墙上提供Local区域,代表防火墙本身。凡是由防火墙主动发出的报文,均可认为是从Local区域中发出,凡是需要防火墙响应并处理(非转发)的报文,均可认为由Local区域接收

(2)Local区域中不能添加任何接口,但防火墙上所有接口本身都隐含属于Local区域,也就是说,报文通过接口去往某个网络时,目的安全区域是该接口所在的安全区域,报文通过接口到达防火墙本事时,目的安全区域是Local区域

区域归属配置

dis zone
# 将接口加入到zone
sys
firewall zone trust
 add int g1/0/2
firewall zone dmz
 add int g1/0/0
firewall zone untrust 
 add int g1/0/1

# 创建区域ABC
firewall zone name ABC

7.5-10

WEB桥接

image-20241028163231627