华为防火墙原来是这样应对多个运营商接入互联网的,涨知识了

本文涉及的产品
云防火墙,500元 1000GB
简介: 华为防火墙原来是这样应对多个运营商接入互联网的,涨知识了

华为USG6000防火墙在多个运营商接入Internet,是如何部署的呢?带着这个疑问,今天通过一个案例简单了解部署方法。
在这里插入图片描述
某高校在网络边缘部署了FW作为安全网关,要求学生网络中的PC只能通过教育网访问Internet,教师网络中的PC只能通过运营商访问Internet。

根据以上的需求,通过ENSP模拟以上的环境,拓扑图如下:
在这里插入图片描述

配置思路

  1. 新建两个不同优先级的安全区域,分别把两个运营商加入到不同的安全区域中
  2. 把学生网络和教师网络的加入到trust安全区域中
  3. 配置学生网络和教师网络接口IP地址(网关)
  4. 配置安全策略,学生网络从ISP1出去,教师网络从ISP2出去
  5. 配置NAT地址

提示:FW1的GE1/0/2这边是采用动态获取地址,具体的配置请参考这篇文章

配置步骤

1、分别把两个运营商划分到不同的安全区域。

[FW1]firewall zone name ISP1   #新增安全区域ISP1
[FW1-zone-ISP1]set priority 6   #设置安全区域优先级
[FW1-zone-ISP1] add interface GigabitEthernet1/0/2  #把接口1/0/2加入到ISP1安全区域中
[FW1]firewall zone ISP2
[FW1-zone-ISP2]set priority 7
[FW1-zone-ISP2] add interface GigabitEthernet1/0/3

2、把接口1/0/1和接口0/0/0加入到trust安全区域

[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/1
[FW1-zone-trust]add interface GigabitEthernet 0/0/0

3、配置接口1/0/1和接口0/0/0的IP地址

[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 10.3.0.1 24
[FW1]interface GigabitEthernet 0/0/0
[FW1-GigabitEthernet0/0/0]ip address 10.3.1.1 24

4、配置安全策略,学生网络从ISP1出去上互联网,教师网络从ISP2出去上互联网。

[FW1]security-policy #进入安全策略配置模式
[FW1-policy-security]rule name student_to_ISP1 #定义一条安全策略名为student_to_ISP1的规则
[FW1-policy-security-rule-student_to_ISP1]source-zone trust #定义源安全区域为trust
[FW1-policy-security-rule-student_to_ISP1]source-address 10.3.0.0 24 #定义源IP地址
[FW1-policy-security-rule-student_to_ISP1]destination-zone ISP1 #定义目的安全区域为 ISP1
[FW1-policy-security-rule-student_to_ISP1]action permit #允许所有流量通过
[FW1-policy-security]rule name teacher_to_ISP2
[FW1-policy-security-rule-teacher_to_ISP2]source-zone trust 
[FW1-policy-security-rule-teacher_to_ISP2]source-address 10.3.1.0 24
[FW1-policy-security-rule-teacher_to_ISP2]destination-zone ISP2
[FW1-policy-security-rule-teacher_to_ISP2]action permit

这里只是粗略的把全部流量放通了,实际工作中是根据业务可以更加细致的限制那些流量通过。

5、配置NAT地址池

[FW1]nat address-group ISP1_address #配置ISP1 NAT地址池
[FW1-address-group-ISP1_address]  section 0 192.168.112.102 192.168.112.104
[FW1]nat address-group ISP2_address 
[FW1-address-group-ISP1_address]  section 0 192.168.113.102 192.168.113.104

6、配置NAT转发策略

[FW1-policy-nat] student_nat  #定义nat转发策略名称
[FW1-policy-nat-rule-student_nat]destination-zone ISP1 #目的类型指定到ISP1
[FW1-policy-nat-rule-student_nat]action source-nat address-group ISP1_address #关联NAT地址池
[FW1-policy-nat] teacher_nat
[FW1-policy-nat-rule-teacher_nat]destination-zone ISP2
[FW1-policy-nat-teacher_nat]action source-nat address-group ISP2_address

验证结果

从学生网络中的PC1去访问互联网,能够正常访问。

在这里插入图片描述

目录
相关文章
|
7月前
|
监控 网络协议 安全
华为配置防火墙直连路由器出口实验
华为配置防火墙直连路由器出口实验
299 6
|
6月前
|
传感器 人工智能 安全
华为防火墙技术
华为防火墙技术
|
网络安全 数据安全/隐私保护
华为USG6000V防火墙的初始密码及修改密码的操作
华为USG6000V防火墙的初始密码及修改密码的操作
319 0
|
网络安全 Windows
华为USG6000V防火墙学习
华为USG6000V防火墙学习
263 0
华为USG6000V防火墙学习
|
安全 网络安全 数据中心
华为USG防火墙配置DHCP及单臂路由小实验
华为USG防火墙配置DHCP及单臂路由小实验
929 0
华为USG防火墙配置DHCP及单臂路由小实验
|
安全 网络协议 算法
华为防火墙配置(防火墙NAT)
防火墙NAT概述、防火墙NAT策略介绍、NAT策略分类、NAT策略组成、NAT策略匹配规则、NAT策略处理流程、源NAT的使用限制、目的NAT的使用限制、与双机热备结合使用的限制、其它使用限制、源NAT简介、源NAT分类、目的NAT简介、目的NAT分类、防火墙NAT配置、案例、配置过程、测试
929 1
华为防火墙配置(防火墙NAT)
|
安全 数据可视化 网络安全
华为防火墙配置(防火墙基础)
防火墙概述、防火墙介绍、防火墙作用、NGFW、防火墙的工作模式、安全区域、区域分类、防火墙工作原理、Inbound和Outbound、状态化信息、安全策略
962 1
|
安全 网络安全 文件存储
华为防火墙配置(L2TP)
L2TP概述、L2TP介绍、NAS-Initiated场景、Client-Initiated场景、Call-LNS场景、LNS对拨号用户进行身份认证、NAS-Initiated报文封装、NAS-Initiated安全策略、隧道协商、Client-Initiated报文封装、Client-Initiated安全策略、Call-LNS报文封装、L2TP配置、案例、配置过程、测试
866 0
华为防火墙配置(L2TP)
|
运维 安全 网络协议
华为防火墙配置(双机热备)
双机热备概述、双机热备介绍、双机热备的要求、心跳线、心跳线和心跳接口的配置、心跳线和心跳接口的配置注意事项、双机热备工作模式、VGMP组、VGMP组的状态、双机热备配置、案例、配置过程、测试
921 0
华为防火墙配置(双机热备)
|
安全 网络安全 数据库
华为防火墙配置(远程管理)
设备管理方式、AAA介绍、常见管理方式、Console、Telnet、Web、SSH、密码遗忘、Console口密码遗忘、管理员账号/密码遗忘、远程管理配置、案例、配置过程、测试
409 0
 华为防火墙配置(远程管理)