1 登录配置
默认密码admin/admin
配置认证方式
line console 0
authentication-mode shceme
user-role network-adimin
line vty 0 4
authentication-mode scheme
user-role network-adimin
line console 0
authentication-mode password
set authentication password simple password
配置telnet:
telnet server enable
line vty 0 4
authentication-mode scheme //或者protocol inbound {all|ssh|telnet}
user-role network-adimin
2 配置安全域
2.1 安全域简介
V7防火墙默认安全域有Trust、DMZ、Untrust和Management,G1/0/0默认加入Management区域。此外,设备上所有接口都默认属于Local区域,不需要将接口加入Local域。
security-zone name test
import interface g1/0/1
//将真正用于转发的接口加入安全域,如聚合口、vlan虚接口、reth口等。
import ip 192.168.1.0 24 //添加ipv4子网
import interface g1/0/2 vlan 10 //二层口加入安全域时需要增加vlan参数
import service-chain path path-id //添加服务链成员
security-zone intra-zone default permit //缺省情况下,同一安全域内报文过滤的缺省动作为拒绝
display security-zone
2.2 安全域间实例
安全域间实例用于指定安全控制策略(如包过滤策略、ASPF 策略、对象策略等)需要检测的业务流的源安全域和目的安全域,它们分别描述了经过网络设备的业务流的首个数据包要进入的安全域和要离开的安全域。在安全域间实例上应用安全控制策略可实现对指定的业务流进行安全控制策略检查。
有具体安全域的安全域间实例的匹配优先级高于 any 到 any 的安全域间实例。
Management 和 Local 安全域间之间的报文缺省被允许。
Management 和 Local 安全域间之间的报文只能匹配 Management 与 Local 安全域之间的安全域间实例。当安全域间实例上同时应用了对象策略和包过滤策略时,对象策略的优先级高于包过滤策略。
配置放行trust域到destination域的所有报文:
acl adv 3000
rule permit ip
zone-pair security source trust destination untrust
packet-filter 3000
dis zone-pair security
安全域配置实例
实验案例:
目的:PC_3能ping通PC_5,但PC_5无法ping通PC_3
PC_3地址设置为dhcp获取,PC_5配置地址为100.2.2.5,网关为100.2.2.254
S5820V2:
dhcp server enable
dhcp server ip-pool vlan100
gateway-list 192.168.1.254
network 192.168.1.0 mask 255.255.255.0
address range 192.168.1.1 192.168.1.253
dns-list 10.100.1.10
quit
vlan 100
interface vlan 100
ip address 192.168.1.254 255.255.255.0
dhcp server apply ip-pool vlan100
interface g1/0/1
port access vlan 100
quit
interface Ten1/0/51
port link-mode route
ip address 10.100.1.2 255.255.255.0
quit
ip route-static 0.0.0.0 0.0.0.0 10.100.1.254
MSR36-20:
interface g0/0
ip address 200.2.2.254 255.255.255.0
interface g0/1
ip address 100.2.2.254 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 200.2.2.10
F1060-1:
interface g1/0/2
ip address 200.2.2.10 24
interface g1/0/3
ip address 10.100.1.254 24
ip route-static 0.0.0.0 0.0.0.0 200.2.2.254
ip route-static 192.168.1.0 0.0.0.255 10.100.1.2
将对应端口加入安全域:
security-zone name Trust
import interface GigabitEthernet1/0/3
security-zone name Untrust
import interface GigabitEthernet1/0/2
配置放行trust域到destination域的所有报文:
acl adv 3000
rule permit ip
zone-pair security source trust destination untrust
packet-filter 3000
dis zone-pair security
拓展:
上述配置后,就PC_3可以单向ping通PC_5,但其他设备是无法ping通防火墙上配置的IP地址,防火墙也无法ping通其他设备的地址,原因是防火墙上的IP地址属于local域,必须要配置local域与其他域之间的域间实例,才能ping通
配置其他域与local域的之间的报文,否则防火墙和其他设备无法ping通:
zone-pair security source Local destination Any
packet-filter 3000
zone-pair security source Trust destination Local
packet-filter 3000