【拓扑】

【任务】

一、划分trust、untrust、dmz区域；

二、配置安全策略、静态路由或OSPF等实现两两区域之间的安全互访。

内网可以ping通服务器、外网；

服务器ping内网主机、外网不通；

外网可以ping通服务器，不可以ping通内网。

【步骤】

（1）Web页面登录配置：

Cloud1相关配置：先增加一个端口，邦定信息为UDP；再加一个端口，邦定信息为配置好的虚拟网卡，端口映射设置双向通道。连接Cloud和防火墙的0/0/0端口，在防火墙上配置IP，此时IP和Cloud上绑定的网卡为同一网段。注意不要绑到公网网卡上，可以做个虚拟环回或者绑到vm1、vm8上都可以。

启动防火墙的CLI界面，默认账号为admin，密码为Admin@123，登录后需要修改密码。

<USG6000V1>sys  #进入系统视图

[USG6000V1]sys FW1   #配置设备名称

[FW1]dis ip int brief   #显示虚拟接口对应的IP地址与使用状态

[FW1]int g0/0/0    #进入端口GE0/0/0

[FW1-GigabitEthernet0/0/0]ip add 192.168.166.254 24   #端口配置IP地址

[FW1-GigabitEthernet0/0/0]service-manage  all permit  #开启服务器管理员权限

（2）在物理机上执行ping命令测试连通性，然后通过浏览器输入：https://192.168.166.254:8443/，访问防火墙的Web页面。

（3）配置untrust区域：在路由器上为两个接口配置IP地址—>为untrust区域的PC配置IP、掩码和网关—>在防火墙上配置1/0/2为untrust区域。

untrust区域的PC没有至防火墙的路由，所以需要手动添加一条静态路由

[FW1]firewall zone untrust #进入非信任域。

[FW1-zone-untrust]add interface g1/0/2 #添加外网接口。

[USG6000V1-GigabitEthernet1/0/2]service-manage ping permit#允许untrust区域能ping通防火墙本地

（4）配置trust区域：在防火墙上将1/0/0接口加入trust区域，并配置IP地址。—>在trust区域的交换机上创建vlan，配置IP地址—>在trust区域的PC上配置IP，掩码，网关—>PC到防火墙之间缺少路由，所以需要手动添加一条静态路由。

[FW1]firewall zone trust #进入信任域。

[FW1-zone-trust]add in g1/0/0 #添加内网接口。

[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit#允许trust区域能ping通防火墙本地

（5）配置DMZ区域：在防火墙上将1/0/1接口加入dmz区域，并配置IP地址。—>在DMZ区域的交换机上创建vlan，配置IP—>在trust区域的服务器上配置IP地址，掩码，网关。

[FW1]firewall zone dmz #进入服务器区域。

[FW1-zone-dmz]add in g1/0/1 #添加接口。

[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit#允许dmz区域能ping通防火墙本地

（6）编写安全策略。此时整个拓扑中的三个区域内互通、区域间不通，所以需要按照实际需求编写安全策略来实现区域间的通信。可选网页或命令行配置！！！

trust-untrust区域的安全策略：

[FW1]security-policy #进入安全策略的配置。

[FW1-policy-security]rule name trust-untrust#定义策略名称为trust-untrust。

[FW1-policy-security-rule-shangwang]source-zone trust #源区域为内网区域。

[FW1-policy-security-rule-shangwang]destination-zone untrust #目的区域为外网区域。

[FW1-policy-security-rule-shangwang]action permit #动作放行。

trust-DMZ区域的安全策略：

[FW1]security-policy #进入安全策略的配置。

[FW1-policy-security]rule name trust-dmz#定义策略名称为trust-dmz。

[FW1-policy-security-rule-fwq]source-zone trust #源区域为内网区域。

[FW1-policy-security-rule-fwq]destination-zone dmz #目的区域为服务器区域。

[FW1-policy-security-rule-fwq]action permit #动作放行。

untrust-DMZ区域的安全策略：

[FW1]security-policy #进入安全策略的配置。

[FW1-policy-security]rule name untrust-dmz#定义策略名称为untrust-dmz。

[FW1-policy-security-rule-fwq]source-zone untrust #源区域为内网区域。

[FW1-policy-security-rule-fwq]destination-zone dmz #目的区域为服务器区域。

service ftp  #FTP请求被放行

service icmp #ICMP请求被放行

[FW1-policy-security-rule-fwq]action permit #动作放行。

防火墙是个安全设备，没有放行的包一律禁止通过。所以无需配置外网访问内网、dmz访问外网的策略。

（7）在防火墙、交换机和路由器上配置静态路由实现互通：

[FW1]ip route-static 100.1.1.0 255.255.255.0 10.1.3.2

[FW1]ip route-static 172.16.1.0 255.255.255.0 10.1.1.2

[FW1]ip route-static 192.168.1.0 255.255.255.0 10.1.2.2

[LSW1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1

[LSW2] ip route-static 0.0.0.0 0.0.0.0 10.1.2.1

[AR1]ip route-static 0.0.0.0 0.0.0.0 10.1.3.1

（8）验证。