简述防火墙安全区域划分和组网模式及小实验案例-阿里云开发者社区

简述防火墙安全区域划分和组网模式及小实验案例

2022-12-17 144

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 简述防火墙安全区域划分和组网模式及小实验案例

一、图文简述：

二、实验测试：

一、ENSP中模拟USG防火墙01

实验拓扑：

配置过程

FW1:
>sys
[usg6000v]sys FW1
[FW1]vlan ba 10 20
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]portswitch 
[FW1-GigabitEthernet1/0/1]port link-type  trunk 
[FW1-GigabitEthernet1/0/1]po tr al vl  10 20
[FW1-GigabitEthernet1/0/1]q
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]portswitch 
[FW1-GigabitEthernet1/0/2]port link-type  access
[FW1-GigabitEthernet1/0/2]po de vl 10
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]portswitch 
[FW1-GigabitEthernet1/0/0]port link-type  access
[FW1-GigabitEthernet1/0/0]po de vl 20
[FW1]firewall zone  trust 
[FW1-zone-trust]add interface g1/0/0
[FW1-zone-trust]add interface g1/0/1
[FW1-zone-trust]add interface g1/0/2

FW2:
>sys
[usg6000v]sys FW2
[FW2]vlan ba 10 20
[FW2]int g1/0/1
[FW2-GigabitEthernet1/0/1]portswitch 
[FW2-GigabitEthernet1/0/1]port link-type  trunk 
[FW2-GigabitEthernet1/0/1]po tr al vl  10 20
[FW2-GigabitEthernet1/0/1]q
[FW2]int g1/0/2
[FW2-GigabitEthernet1/0/2]portswitch 
[FW2-GigabitEthernet1/0/2]port link-type  access
[FW2-GigabitEthernet1/0/2]po de vl 10
[FW2]int g1/0/0
[FW2-GigabitEthernet1/0/0]portswitch 
[FW2-GigabitEthernet1/0/0]port link-type  access
[FW2-GigabitEthernet1/0/0]po de vl 20
[FW1]firewall zone  trust 
[FW1-zone-trust]add interface g1/0/0
[FW1-zone-trust]add interface g1/0/1
[FW1-zone-trust]add interface g1/0/2

测试结果：

至此实验完成。

三层模式参考上篇单臂路由：华为USG防火墙配置DHCP及单臂路由小实验

二、eve-ng模拟ASA防火墙

拓扑：

配置过程：

VPC1:
ip 100.1.1.1/24

VPC2:
ip 100.1.1.2/24

SW1:
SW1#conf t
SW1(config)#vlan 10 
SW1(config-vlan)#vlan 20
SW1(config-vlan)#int e0/1
SW1(config-if)#sw ac vl 10
SW1(config-if)#int e0/2
SW1(config-if)#sw ac vl 20
SW1(config-if)#int e0/0
SW1(config-if)#sw tr en do
SW1(config-if)#sw mo tr
SW1(config-if)#sw tr al vl al

ASA:
ciscoasa# conf t
ciscoasa(config)# firewall  transparent 
ciscoasa(config)# int g0/2.10
ciscoasa(config-if)# vlan 10
ciscoasa(config-if)# bridge-group 1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# no shutdown 
ciscoasa(config)# int g0/2.20
ciscoasa(config-if)# vlan 20
ciscoasa(config-if)# bridge-group 1
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# no shutdown 
ciscoasa(config-if)# exit
ciscoasa(config)# interface BVI1
ciscoasa(config-if)# ip address 192.168.100.100 255.255.255.0

测试结果：

ASA直连：

VPC1:ping 测试：inside---->outside

VPC2:ping 测试：outside---->inside

默认低优先级不允许访问高优先级的

这里需要在asa上做放行

ciscoasa(config)#access-list icmp extended permit icmp any any 
ciscoasa(config)# access-group icmp in interface outside

然后在测试：

至此实验完成

简述防火墙安全区域划分和组网模式及小实验案例

热门文章

最新文章

相关课程

相关电子书

相关实验场景