一、命令列配置
1.介面劃分區域
內網:
進入gigabitethernet 0/0/1檢視
[usg5300] inte***ce gigabitethernet 0/0/1
配置gigabitethernet 0/0/1的ip位址
[usg5300-gigabitethernet0/0/1] ip address 10.10.10.1 255.255.255.0
配置gigabitethernet 0/0/1加入trust區域
[usg5300] firewall zone trust
[usg5300-zone-untrust] add inte***ce gigabitethernet 0/0/1
[usg5300-zone-untrust] quit
外網:
進入gigabitethernet 0/0/2檢視
[usg5300] inte***ce gigabitethernet 0/0/2
配置gigabitethernet 0/0/2的ip位址
[usg5300-gigabitethernet0/0/2] ip address 220.10.10.16 255.255.255.0
配置gigabitethernet 0/0/2加入untrust區域
[usg5300] firewall zone untrust
[usg5300-zone-untrust] add inte***ce gigabitethernet 0/0/2
[usg5300-zone-untrust] quit
2.策略配置
策略一般都是優先順序高的在前,優先順序低的在後。
firewall zone trust
set priority 85
add inte***ce gigabitethernet2/1/3
add inte***ce gigabitethernet2/1/0
add inte***ce gigabitethernet2/2/22
如果是允許所有的內網位址上公網可以用以下命令:
[usg2100]firewall packet-filter default permit interzone trust untrust direction outbound //必須新增這條命令,或者firewall packet-filter default permit all,但是這樣不安全。否則內網不能訪問公網。
未完待續…
華為USG防火牆配置
組網需求 需求1該公司trust區域的10.1.1.0 24網段的使用者可以訪問internet,該安全區域其它網段 的使用者不能訪問。提供的訪問外部網路的合法ip位址範圍為202.1.1.100 202.1.1.200。需求2提供ftp和web伺服器供外部網路使用者訪問。其中ftp server的...
配置防火牆
今天學了下如何配置網路防火牆,用於過濾乙個段的ip位址不能訪問路由器。第二步開啟防火牆 firewall enable 第三步設定預設,允許或者禁止 firewall default permit 第四步設定規則 acl number 2001 rule 1 deny source 192.168....
防火牆配置
一次在某個防火牆配置策略裡看到如下的 iptables a input p icmp icmp type 8 j accept iptables a forward p icmp icmp type 8 j accept iptables a input p icmp icmp type 11 j ...