简述防火墙安全区域划分和组网模式及小实验案例-阿里云开发者社区

简述防火墙安全区域划分和组网模式及小实验案例

2022-12-17 241

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

云防火墙，500元 1000GB

简介： 简述防火墙安全区域划分和组网模式及小实验案例

一、图文简述：

二、实验测试：

一、ENSP中模拟USG防火墙01

实验拓扑：

配置过程

FW1:
>sys
[usg6000v]sys FW1
[FW1]vlan ba 10 20
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]portswitch 
[FW1-GigabitEthernet1/0/1]port link-type  trunk 
[FW1-GigabitEthernet1/0/1]po tr al vl  10 20
[FW1-GigabitEthernet1/0/1]q
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]portswitch 
[FW1-GigabitEthernet1/0/2]port link-type  access
[FW1-GigabitEthernet1/0/2]po de vl 10
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]portswitch 
[FW1-GigabitEthernet1/0/0]port link-type  access
[FW1-GigabitEthernet1/0/0]po de vl 20
[FW1]firewall zone  trust 
[FW1-zone-trust]add interface g1/0/0
[FW1-zone-trust]add interface g1/0/1
[FW1-zone-trust]add interface g1/0/2

FW2:
>sys
[usg6000v]sys FW2
[FW2]vlan ba 10 20
[FW2]int g1/0/1
[FW2-GigabitEthernet1/0/1]portswitch 
[FW2-GigabitEthernet1/0/1]port link-type  trunk 
[FW2-GigabitEthernet1/0/1]po tr al vl  10 20
[FW2-GigabitEthernet1/0/1]q
[FW2]int g1/0/2
[FW2-GigabitEthernet1/0/2]portswitch 
[FW2-GigabitEthernet1/0/2]port link-type  access
[FW2-GigabitEthernet1/0/2]po de vl 10
[FW2]int g1/0/0
[FW2-GigabitEthernet1/0/0]portswitch 
[FW2-GigabitEthernet1/0/0]port link-type  access
[FW2-GigabitEthernet1/0/0]po de vl 20
[FW1]firewall zone  trust 
[FW1-zone-trust]add interface g1/0/0
[FW1-zone-trust]add interface g1/0/1
[FW1-zone-trust]add interface g1/0/2

测试结果：

至此实验完成。

三层模式参考上篇单臂路由：华为USG防火墙配置DHCP及单臂路由小实验

二、eve-ng模拟ASA防火墙

拓扑：

配置过程：

VPC1:
ip 100.1.1.1/24

VPC2:
ip 100.1.1.2/24

SW1:
SW1#conf t
SW1(config)#vlan 10 
SW1(config-vlan)#vlan 20
SW1(config-vlan)#int e0/1
SW1(config-if)#sw ac vl 10
SW1(config-if)#int e0/2
SW1(config-if)#sw ac vl 20
SW1(config-if)#int e0/0
SW1(config-if)#sw tr en do
SW1(config-if)#sw mo tr
SW1(config-if)#sw tr al vl al

ASA:
ciscoasa# conf t
ciscoasa(config)# firewall  transparent 
ciscoasa(config)# int g0/2.10
ciscoasa(config-if)# vlan 10
ciscoasa(config-if)# bridge-group 1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# no shutdown 
ciscoasa(config)# int g0/2.20
ciscoasa(config-if)# vlan 20
ciscoasa(config-if)# bridge-group 1
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# no shutdown 
ciscoasa(config-if)# exit
ciscoasa(config)# interface BVI1
ciscoasa(config-if)# ip address 192.168.100.100 255.255.255.0

测试结果：

ASA直连：

VPC1:ping 测试：inside---->outside

VPC2:ping 测试：outside---->inside

默认低优先级不允许访问高优先级的

这里需要在asa上做放行

ciscoasa(config)#access-list icmp extended permit icmp any any 
ciscoasa(config)# access-group icmp in interface outside

然后在测试：

至此实验完成

简述防火墙安全区域划分和组网模式及小实验案例

热门文章

最新文章

相关课程

相关电子书

探索云世界

热门

云计算

大数据

云原生

人工智能

数据库

开发与运维

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

直播

下载

镜像站

技术资料

简述防火墙安全区域划分和组网模式及小实验案例

热门文章

最新文章

相关课程

相关电子书