1 登录配置

默认密码admin/admin

配置认证方式

line console 0

  authentication-mode shceme

  user-role network-adimin

line vty 0 4

  authentication-mode scheme

  user-role network-adimin

 

line console 0

   authentication-mode password

   set authentication password simple password

 

配置telnet：

telnet server enable

line vty 0 4

  authentication-mode scheme  //或者protocol inbound {all|ssh|telnet}

  user-role network-adimin

 

2 配置安全域

2.1 安全域简介

       V7防火墙默认安全域有Trust、DMZ、Untrust和Management，G1/0/0默认加入Management区域。此外，设备上所有接口都默认属于Local区域，不需要将接口加入Local域。

 

security-zone name test

   import interface g1/0/1

 //将真正用于转发的接口加入安全域，如聚合口、vlan虚接口、reth口等。

   import ip 192.168.1.0 24   //添加ipv4子网

   import interface g1/0/2 vlan 10 //二层口加入安全域时需要增加vlan参数

   import service-chain path path-id    //添加服务链成员

 

security-zone intra-zone default permit  //缺省情况下，同一安全域内报文过滤的缺省动作为拒绝

display security-zone

 

2.2 安全域间实例

     安全域间实例用于指定安全控制策略（如包过滤策略、ASPF 策略、对象策略等）需要检测的业务流的源安全域和目的安全域，它们分别描述了经过网络设备的业务流的首个数据包要进入的安全域和要离开的安全域。在安全域间实例上应用安全控制策略可实现对指定的业务流进行安全控制策略检查。

     有具体安全域的安全域间实例的匹配优先级高于 any 到 any 的安全域间实例。

Management 和 Local 安全域间之间的报文缺省被允许。

Management 和 Local 安全域间之间的报文只能匹配 Management 与 Local 安全域之间的安全域间实例。当安全域间实例上同时应用了对象策略和包过滤策略时，对象策略的优先级高于包过滤策略。

配置放行trust域到destination域的所有报文：

acl adv 3000

  rule permit ip

zone-pair security source trust destination untrust

  packet-filter 3000

dis zone-pair security

安全域配置实例

实验案例：

目的：PC_3能ping通PC_5，但PC_5无法ping通PC_3

PC_3地址设置为dhcp获取，PC_5配置地址为100.2.2.5，网关为100.2.2.254

S5820V2：

dhcp server enable

dhcp server ip-pool vlan100

gateway-list 192.168.1.254

 network 192.168.1.0 mask 255.255.255.0

 address range 192.168.1.1 192.168.1.253

 dns-list 10.100.1.10

 quit

vlan 100

interface vlan 100

ip address 192.168.1.254 255.255.255.0

 dhcp server apply ip-pool vlan100

interface g1/0/1

  port access vlan 100

  quit

interface Ten1/0/51

  port link-mode route

  ip address 10.100.1.2 255.255.255.0

  quit

ip route-static 0.0.0.0 0.0.0.0 10.100.1.254

 

MSR36-20：

interface g0/0

ip address 200.2.2.254 255.255.255.0

interface g0/1

ip address 100.2.2.254 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 200.2.2.10

 

 

F1060-1：

interface g1/0/2

  ip address 200.2.2.10 24

interface g1/0/3

  ip address 10.100.1.254 24

ip route-static 0.0.0.0 0.0.0.0 200.2.2.254

ip route-static 192.168.1.0 0.0.0.255 10.100.1.2

将对应端口加入安全域：

security-zone name Trust           

 import interface GigabitEthernet1/0/3

security-zone name Untrust

 import interface GigabitEthernet1/0/2

配置放行trust域到destination域的所有报文：

acl adv 3000

  rule permit ip

zone-pair security source trust destination untrust

  packet-filter 3000

dis zone-pair security

 

拓展：

上述配置后，就PC_3可以单向ping通PC_5，但其他设备是无法ping通防火墙上配置的IP地址，防火墙也无法ping通其他设备的地址，原因是防火墙上的IP地址属于local域，必须要配置local域与其他域之间的域间实例，才能ping通

 

配置其他域与local域的之间的报文，否则防火墙和其他设备无法ping通：

zone-pair security source Local destination Any

 packet-filter 3000

zone-pair security source Trust destination Local

 packet-filter 3000