實驗使用的拓撲結構：

進入防火墻

1、云如何配置：先增加一個UDP口，再增加一個虛擬網卡的口，然后將這兩個進行端口映射

?2、進入防火墻，先使用原用戶名和密碼登錄，第一次會強制修改密碼

原用戶名：admin

原密碼：Admin@123

?3、給防火墻的g0/0/0接口配上地址(該接口默認有地址，為192.168.0.1)，再開啟管理（因為使用的模擬器需要手動開啟，真實設備默認開啟）

<USG6000V1>system-view Enter system view, return user view with Ctrl+Z. [USG6000V1]int g0/0/0 [USG6000V1-GigabitEthernet0/0/0]ip add 192.168.112.145 24 [USG6000V1-GigabitEthernet0/0/0]service-manage all permit

可以查看我們開啟的服務有哪些：

4、 進入瀏覽器輸入我們在g0/0/0端口設置的IP加上8443端口號進入防火墻web頁面

區(qū)域劃分

1、首先我們查看默認的區(qū)域有哪些

?2、我們可以新建區(qū)域

3、我們給區(qū)域劃分接口：將g1/0/0劃分到trust區(qū)域

1）第一種方法，在區(qū)域部分直接劃分

?2）在接口處劃分

配置接口地址

交換機上的配置：

1、劃分VLAN2、3、10

?2、配置IP地址

interface Vlanif2ip address 172.16.2.1 255.255.255.0interface Vlanif3ip address 172.16.3.1 255.255.255.0interface Vlanif10ip address 172.16.1.2 255.255.255.0

server1配置IP：

?R1路由器上的配置：

R2路由器上的配置：

此時要注意在路由器和交換機上加上缺省路由

[r1]ip route-static 0.0.0.0 0 100.1.1.1[r2]ip route-static 0.0.0.0 0 172.16.2.1[sw]ip route-static 0.0.0.0 0 172.16.1.1

防火墻的地址配置：

?在防火墻上寫一個回程路由 （?回程路由：路由器將用戶的報文發(fā)到外網，外網回應的報文到路由器后，路由器需要根據回程路由將報文再發(fā)給用戶。）

將防火墻的安全策略設置為允許，測試內網到外網能否ping通

防火墻策略1：設置內網能訪問外網

1）選中新建安全策略

2）新建地址組

?3）策略完成

4）測試可以從內網ping通外網

5）查看策略可以看見有一個命中數

?PS：有一個命中數的原因：首包原則

6）可以查看會話表

防火墻策略2：外網用戶要訪問DMZ區(qū)域的服務器?

1、開啟服務器的HTTPserver服務

?2、建立安全策略

?3、測試是否可以連接，客戶端設置的IP地址是100.1.1.3/24

4、檢查會話表

防火墻策略3：內網用戶可以使用FTP訪問文件

1、server服務器開啟FTPserver服務

2、建立安全策略

3、在客戶機上測試

4、查看會話表

5、可以使用防火墻命令行界面查看

總結

以上是生活随笔為你收集整理的防火墙实验1的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。