HCIP-21.2 防火墙基础配置
eNSP USG6000v 导入对应版本的vdi文件
默认账号 admin 密码 Admin@123
第一次登录提示修改密码
默认web管理接口 gi0/0/0 管理地址 192.168.0.1
为什么需要安全区域
为了防火墙上区分不同的网络,我们在防火墙上引入了一个重要概念:安全区域(Security Zone),简称为(Zone)。安全区域是一个或多个接口的集合,是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络标识报文流动的“路线”一般来说,当报文在不同的安全区域之间流动时才会受到控制。
防火墙通过接口来连接网络,将接口划分到安全区域后,通过接口就把安全区域和网络关联起来,通常说某个安全区域,就可以表示该安全区域中接口所连接的网络。接口、网络和安全区域的关系如图所示。
将接口划分到安全区域
(1)通过把接口划分到不同的安全区域中,就可以在防火墙上划分出不同的网络
(2)我们吧接口1.2放入到安全区域A中,接口3放入到安全区域B中,接口4放入到安全区域C中,这样防火墙上就存在了三个安全区域,对应三个网络
(3)在华为防火墙上,一个接口只能加入到一个安全区域中
Local区域
(1)防火墙上提供Local区域,代表防火墙本身。凡是由防火墙主动发出的报文,均可认为是从Local区域中发出,凡是需要防火墙响应并处理(非转发)的报文,均可认为由Local区域接收
(2)Local区域中不能添加任何接口,但防火墙上所有接口本身都隐含属于Local区域,也就是说,报文通过接口去往某个网络时,目的安全区域是该接口所在的安全区域,报文通过接口到达防火墙本事时,目的安全区域是Local区域
区域归属配置
dis zone
# 将接口加入到zone
sys
firewall zone trust
add int g1/0/2
firewall zone dmz
add int g1/0/0
firewall zone untrust
add int g1/0/1
# 创建区域ABC
firewall zone name ABC