eNSP防火墙usg6000v安全策略 |
您所在的位置:网站首页 › ensp怎么删除ACmac › eNSP防火墙usg6000v安全策略 |
本期呢我们来说说安全策略这个东西 在usg6000v中,系统安全策略有4种分别是local、trust、dmz、untrust,他们的安全级别分别为100、85、50、5;当然,我们也可以自己手动创建安全区域并定义安全等级,话不多说,开整。 可以看到,我在这里做了4个安全区,那么先来点简单的,我想让trust->untrust区域可以ping通,反过来untrust->trust可以通的。这里先配下防火墙g1/0/0和g1/0/2的ip,以及将这两个端口划到相应的区域 现在咱做一下ping测试 可以看到,我用pc1去ping pc3并不能ping通,这时我们创建一个安全策略命名为t-u
可能有小伙伴要问了,那么这些命令是什么意思?我待会再细细讲解,现在咱们在做下ping测试,同样是pc1->pc3,结果如下
可以看到,这就ping通了 ,但是现在有一个问题,现在pc3不能成功访问pc1,那我让pc3访问pc1,可以吗?当然可以,这时同样是配置安全策略来达到我们的目标 上图为pc3ping通pc1 我们创建另一个安全策略,并命名为u-t 此时在做测试, 可以看到,pc3->pc1成功, 现在加点难度,让trust->dmz成功,但是反过来dmz->trust失败 我们创建两条安全策略,一条为t-d,另一条为d-t(记得将dmz对应的端口添加到相应的区域) 此时我们做下测试,发现trust->dmz可以成功ping通,反过来就不行了 上图为pc1->pc2 成功 上图为pc2->pc1 失败 现在我们规定,自定义安全区soda可以访问所有区域,而这些区域却不能访问soda区 首先,在防火墙中创建一个安全区命名为soda并将相应端口划到该区域 然后设置一下安全级别 接下来就是策略配置,这里我会配置两条策略一条为s1,一条为s2 接下来做下测试 pc4->pc2 成功 pc4->pc3 成功 其他区域ping soda区的主机,失败。 总结一下安全策略就是允许(或不允许)源区域的数据包到达目的区域,source-zone trust 这条命令的意思就是-------源区域为trust 。destination-zone dmz----------目的区域为dmz。action permit -------允许该动作。反之,如果是action deny就是不允许(拒绝)该动作。 在防火墙中,当数据包经过时,防火墙会根据数据包的源区域和目标区域来决定是否放行该数据包。在配置安全策略中,还有source-addres。和destination-address的配置方法,意思就是源ip和目标ip,在本案例中未使用。 本期就先到这,下次咱说说NAT |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |