一、项目简介
防火墙想必大家都很熟悉,电脑自带的防护墙我们都使用过,今天我们进行对企业防火墙USG6000V1这款防火墙使用Web图形化界面和控制终端进行防火墙的安全策略的配置。
二、详细概述
2.1 图谱图的搭建
使用Web图形化的界面和控制台终端来对该防火墙进行配置,配置拓扑图如下:
2.2需求
需求:
1.vlan 2属于办公区域,vlan 3属于生产区域。
2.办公区PC在工作时间(周一周五,早八晚六,能正常访问 OA Server,其他时间不允许
3.办公区域PC可以任意时间访问Web Server
4.生产区PC可以任意时间访问OA Server,但不能访问Web Server
5.特列:生产区PC可以在每周一早10到早11访问Web Server ,用来更新企业最新产品信息
2.3思路分析
1.vlan 2 属于办公区域,vlan 3 属于生产区域,在交换机上进行vlan的划分,在防火墙的G1/0/1口上进行虚拟子接口的划分。
2.使用策略来进行办公区域的划分,在左面是DMZ区域,后边是Trust区域,cloud是将本机与Web界面联系起来,使用防火墙的安全策略进行对两个区域的通信进行配置。
三、 具体配置
3.1 准备工作
开启防火墙,修改密码,进入Web界面。
修改密码如下所示:
Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: Y
Please enter old password:
Please enter new password:
Please confirm new password: 由于密码是密文,输入不回显Info: Your password has been changed. Save the change to survive a reboot.
*************************************************************************
* Copyright (C) 2014-2018 Huawei Technologies Co., Ltd. *
* All rights reserved. * 修改密码成功,登录
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
*************************************************************************b
使用以下命令,开启进入Web界面:
[USG6000V1]in g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
进入界面如图所示,登录防火墙:
对OA Server的IP地址配置如下:
对Web Server的IP地址配置如下:
3.2具体配置
防火墙的IP和区域的配置:
进入Web防火墙,使用图形界面进行配置:
配置防火墙GE1/0/1和GE1/0/0如下:
总的IP配置图如下:
使用PC来进行ping防火墙。看流量是否通过:
使用PC来进行ping192.168.1.129,不同vlan是不可以通信的,加入能ping通,说明该流量是能通过防火墙的:
如上图所示:是通的
使用图形化界面来进行策略的配置:
在使用办公PC的时间段策略如下:
使用PC来进行验证:
如上图所示,他是通的
ping的命令使用了五次也显示在图形化界面上。
在办公区域的电脑能够随时访问Web Server,使用策略2来写:
进行验证,如下图所示:
由上图所示,是通的,查看web界面的回显:
如上图所示:有五条的ping命令。
为了解决问题四:生产区PC可以任意时间访问OA Server,但不能访问Web Server,直接去访问OA Server
如下图所示:
回显得结果如下:
有五条是访问记录。
5.特列:生产区PC可以在每周一早10到早11访问Web Server ,用来更新企业最新产品信息
时间的策略如下:
由此可见,当前时间不在策略时间内,故不生效。
以上便是整个实验的解决方案。
![[JavaWeb]搜索表单区域](https://i-blog.csdnimg.cn/direct/9446047d7b864a0798bcbf79f2f36174.png)
