访客 enspUSG6000V防火墙文件包
第一次在ensp中使用防火墙,需导入USG6000V的文件包
实验拓扑图网关都为254
二、防火墙配置Cloud云:增加UDP与VMnet1,入端口1出端口2双向通道
启动防火墙:用户名:admin
默认密码:Admin@123
建议修改为:Admin@1234
登陆后:输入sy进入配置模式
依次输入
interfaceg0/0/0
service-manageenable
service-manageallpermit
配置物理机VMent1IPV4地址为192.168.0.2端口号255.255.255.0
在物理机浏览器访问192.168.0.1,看到如下页面则说明配置成功
绿色区域为:trust区域部署pc1与client1连接到交换机上,通过交换机连接到防火墙的GE1/0/1端口,网段为1.0网段
三、拓扑设备配置PC1:client1:交换机不用配置
橙色区域为:dmz区域部署sever1服务器,连接到防火墙GE1/0/2网段为2.0
sever1:红色区域为:untrust区域部署pc2连接到防火墙的GE1/0/3接口网段为3.0
PC2:ps:trust区域使用交换机的原因为,防火墙的每一个接口都要连接一个不同的网段
至此ensp就配置完成
打开192.168.0.1进入防火墙管理页面,密码为刚才重置的密码
向导全部点击取消即可
四、配置路由器接口点击网络
GE1/0/1
区域为trustIP为1.0网段的网关
GE1/0/2
GE1/0/3
五、创建地址对象点击对象-地址-新建
知识点:192.168.1.1/24代表1.0网段在该拓扑结构中代表1.1/1.2两台主机,而192.168.1.1/32代表1.0主机!
这里创建
CLIENTip地址为192.168.1.2/32
PC1ip地址为192.168.1.1/32
SEVERip地址为192.168.2.1/32
PC2ip地址为192.168.3.1/32
trustip地址为192.168.1.1/24(也就是1.0网段中所有主机,即trust区域中的主机)
六、配置安全策略实验配置三条策略,允许CLIENT访问SEVER,禁止PC1访问SEVER,允许trust区域访问PC2
点击策略新建安全策略
配置第一条安全策略名称为CLIENT-SEVER
源安全区域为trust目的安全区域为dmz
源地址选择CLIENT目的地址选择SEVER
动作为允许,点击确定,第一条安全策略配置完成
配置第二条安全策略名称为PC1-SEVER
源安全区域为trust目的安全区域为dmz
源地址选择PC1目的地址选择SEVER
动作为禁止,点击确定,第二条安全策略配置完成
配置第三条安全策略名称为trust-PC2
源安全区域为trust目的安全区域为untrust
源地址选择trust目的地址选择PC2
动作为允许,点击确定,第三条安全策略配置完成
测试安全策略使用PC1pingSEVER、CLIENTpingSEVER、PC1pingPC2、CLIENTpingPC2
PC1pingSEVER
查看策略命中次数
CLIENTpingSEVER
查看策略命中次数
PC1pingPC2
CLIENTpingPC2
查看命中次数
注:CLIENTping其实是发送了一个CIMP报文所以命中次数为1
七、测试ASPF若关闭,再开启sever的FTP服务,使用Client主动模式登陆服务器,因为无法创建数据通道,所以不会显示任何文件!