一、实验拓扑
二、实验目的
1、允许位于Trust区域的PC1能够访问Untrust区域的Server1服务器。
2、允许位于Trust区域的PC2能够访问DMZ区域的Server2服务器。
3、仅允许位于Untrust区域中的Server1服务器访问DMZ区域的Server2服务器。
三、实验配置
1、为防火墙各端口配置IP地址
[FW1] interface GigabitEthernet1/0/1
[FW1-GigabitEthernet1/0/1] ip address 10.1.1.1 24
[FW1-GigabitEthernet1/0/1] interface GigabitEthernet1/0/2
[FW1-GigabitEthernet1/0/2] ip address 1.1.1.1 24
[FW1-GigabitEthernet1/0/2] interface GigabitEthernet1/0/3
[FW1-GigabitEthernet1/0/3] ip address 172.16.1.1 24
[FW1-GigabitEthernet1/0/3]quit
2、将防火墙各端口划分到相应的安全区域
[FW1] firewall zone trust
[FW1-zone-trust] add interface GigabitEthernet1/0/1
[FW1-zone-trust] firewall zone untrust
[FW1-zone-untrust] add interface GigabitEthernet1/0/2
[FW1-zone-untrust] firewall zone dmz
[FW1-zone-dmz] add interface GigabitEthernet1/0/3
[FW1-zone-dmz]quit
3、配置防火墙域间安全策略
[FW1] security-policy
[FW1-policy-security]rule name trust_untrust
//设置规则名称为trust_untrust
[FW1-policy-security-rule-trust_untrust] source-zone trust
//设置源区域为trust区域
[FW1-policy-security-rule-trust_untrust]destination-zone untrust
//设置目标区域为untrust区域
[FW1-policy-security-rule-trust_untrust] action permit
//设置动作为允许
[FW1-policy-security-rule-trust_untrust]quit
[FW1-policy-security]rule name trust_dmz
[FW1-policy-security-rule-trust_dmz] source-zone trust
[FW1-policy-security-rule-trust_dmz ] destination-zone dmz
[FW1-policy-security-rule-trust_dmz] action permit
[FW1-policy-security-rule-trust_dmz]quit
[FW1-policy-security]rule name untrust_dmz
[FW1-policy-security-rule-untrust_dmz] source-zone untrust
[FW1-policy-security-rule-untrust_dmz] destination-zone dmz
[FW1-policy-security-rule-untrust_dmz]source-address 1.1.1.10 32
//设置允许访问的源地址为1.1.1.10
[FW1-policy-security-rule- untrust_dmz] action permit
[FW1-policy-security-rule- untrust_dmz]
<FW1>save
四、实验验证
1、PC1 ping Server1 能通
2、PC1 ping Server2 能通
3、Server1 ping Server2 能通
4、Server1 ping PC1 不通
本文暂时没有评论,来添加一个吧(●'◡'●)