防火墙区域规划

---

---

第一个问题 为什么防火墙直连在同一个网段ping不通?

配置IP地址

local区域:

将local区域的所有接口启用

华三防火墙的local区域是指设备本地接口所在的区域，也称为局域网（LAN）或内部网络

Interface            Link Protocol Primary IP      Description                
GE1/0/0              UP   UP       192.168.1.254   
GE1/0/1              UP   UP       192.168.0.1     管理网段192.168
GE1/0/2              UP   UP       192.168.2.254   
GE1/0/3              UP   UP       192.168.3.254   
GE1/0/4              UP   UP       10.10.10.254    
GE1/0/5              UP   UP       111.111.111.254

第二个问题 测试会发现防火墙的本地所有区域能通为什么？

测试结果

第三个问题可以ping通网关地址，ping不通详细的地址为啥？

注意:将防火墙的接口加入到不同的安全区域可以实现同一网段的通信简称(实现网络直连的通信)

[FW-ZONE-security-zone-Management]import  interface g
[FW-ZONE-security-zone-Management]import  interface GigabitEthernet 1/0/1

如何创建一个区域呢？

---

在web页面中创建用户

---

创建ACL规则

这些是一些网络配置命令的英文术语，下面是它们的中文翻译：

• advanced：配置高级访问控制列表（ACL）
• basic：配置基本访问控制列表（ACL）
• copy：指定源访问控制列表
• ipv6：配置IPv6访问控制列表
• logging：启用ACL匹配事件的日志记录
• mac：配置第二层（数据链路层）访问控制列表
• name：指定一个命名的ACL
• number：指定一个编号的ACL
• trap：启用发送ACL匹配事件的陷阱通知

[FW-ZONE]acl  advanced  3001
[FW-ZONE-acl-ipv4-adv-3001]
[FW-ZONE-acl-ipv4-adv-3001]rule  permit ip source  192.168.1.0 0.0.0.255 destination 10.10.10.0 0.0.0.255

1. [FW-ZONE]acl advanced 3001：这行代码表示开始配置名为“FW-ZONE”的区域中的一个高级ACL，编号为3001。

2. [FW-ZONE-acl-ipv4-adv-3001]：这行代码表示进入了具体的高级ACL配置模式，这个ACL的完整标识符是“FW-ZONE-acl-ipv4-adv-3001”，其中“ipv4”表明这是一个针对IPv4流量的ACL。

3. [FW-ZONE-acl-ipv4-adv-3001]rule permit ip source 192.168.1.0 0.0.0.255 destination 10.10.10.0 0.0.0.255：这行代码定义了一个规则，允许从源网络192.168.1.0/24（即192.168.1.0到192.168.1.255的所有IP地址）到目标网络10.10.10.0/24（即10.10.10.0到10.10.10.255的所有IP地址）的IP流量。

[FW-ZONE-acl-ipv4-adv-3001]display  this
#
acl advanced 3001
 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 10.10.10.0 0.0.0.255
#
return

[FW-ZONE-acl-ipv4-adv-3001]quit
[FW-ZONE]zone-pair security source  trust destination untrust
[FW-ZONE-zone-pair-security-Trust-Untrust]packet-filter 3001

1. [FW-ZONE-acl-ipv4-adv-3001]quit：这行代码表示退出当前的ACL配置模式，即退出编号为3001的高级IPv4 ACL的配置界面。

2. [FW-ZONE]zone-pair security source trust destination untrust：这行代码配置了一个名为"FW-ZONE"的区域对（zone-pair），定义了两个区域：源区域（source）是"trust"（信任区域），目标区域（destination）是"untrust"（不信任区域）。这通常用于定义流量从一个安全级别到另一个安全级别的规则。

3. [FW-ZONE-zone-pair-security-Trust-Untrust]packet-filter 3001：在配置了区域对之后，这行代码将之前配置的编号为3001的高级IPv4 ACL应用到这个区域对上。这意味着所有从"trust"区域到"untrust"区域的IP流量都将受到ACL 3001中定义的规则的控制。

[FW-ZONE-zone-pair-security-Trust-Untrust]display  this
#
zone-pair security source Trust destination Untrust
 packet-filter 3001
#
return

不同区域如何通信思考一下？