1.简介 防火墙的转发策略是配置防火墙的基础,区域间转发策略配置会对内外网通信产生影响 2.实验拓扑 3.测试配置 a.配置防火墙FW1端口1/0/1接口IP地址和网关 [USG6000V1]int g1/0/1 #选择配置的端口 [USG6000V1-GigabitEthernet1/0/1]ip add 200.200.200.2 30#配置IP地址 [USG6000V1-GigabitEthernet1/0/1]gateway 200.200.200.1 #配置网关 配置防火墙FW1端口1/0/0接口IP地址 [USG6000V1-GigabitEthernet1/0/1]int g1/0/0 #选择配置端口 [USG6000V1-GigabitEthernet1/0/0]ip add 10.10.10.1 24#配置IP地址 [USG6000V1-GigabitEthernet1/0/0]service-manage ping permit # 开启ping服务 b.将端口安全区域 [USG6000V1]firewall zone untrust #进入防火墙untrust区域配置 [USG6000V1-zone-untrust]add interface g1/0/1#将端口添加到该区域 [USG6000V1]firewall zone trust #进入trust区域配置 [USG6000V1-zone-trust]add interface g1/0/0#将端口添加到该区域 c.配置安全转发策略 [USG6000V1]security-policy #进入安全策略配置 [USG6000V1-policy-security]rule name to_in#对安全策略命名 [USG6000V1-policy-security-rule-to_in]source-zone trust #定义源区域 [USG6000V1-policy-security-rule-to_in]destination-zone untrust #定义目的区域 [USG6000V1-policy-security-rule-to_in]source-address 10.10.10.1 24 #定义源地址 [USG6000V1-policy-security-rule-to_in]destination-address any #定义目的地址 [USG6000V1-policy-security-rule-to_in]action permit #执行动作为允许 d.配置基本的NAT策略 [USG6000V1]nat-policy #进入NAT策略配置 [USG6000V1-policy-nat]rule name nat444 #对NAT策略进行命名 [USG6000V1-policy-nat-rule-nat444]destination-zone untrust #定义目的区域 [USG6000V1-policy-nat-rule-nat444]source-zone trust #定义源区域 [USG6000V1-policy-nat-rule-nat444]source-address any #定义源地址 [USG6000V1-policy-nat-rule-nat444]destination-address any #定义目的地址 [USG6000V1-policy-nat-rule-nat444]action source-nat easy-ip #执行动作为easy-ip e 测试结果 电脑ping测试 防火墙查看会话
