image_530010686791776.png
根据拓扑图中的提示和防火墙配置逻辑,以下是详细的配置步骤。在华为 eNSP 中配置 USG6000v 防火墙,通常分为四个主要步骤:接口配置(IP和服务)区域划分(Zone)安全策略(Policy)

根据图示,需求如下:

  • Trust区域 (192.168.10.0/24):可以访问 Untrust 和 DMZ(数据中心)。
  • DMZ区域 (192.168.30.0/24):可以访问 Trust。
  • Untrust区域 (192.168.20.0/24):不能访问 Trust 和 DMZ。

第一步:配置IP地址及接口允许的服务

首先, FW1,进入命令行界面。默认账号 admin,密码 admin@123,登录后需要改密码。

# 进入系统视图
system-view

# 配置 GE 1/0/2 接口 (连接 Trust 区域)
interface GigabitEthernet 1/0/2
 ip address 192.168.10.254 24  # 建议设为该网段网关
 service-manage enable         # 开启接口管理功能
 service-manage ping permit    # 允许Ping,方便测试连通性
 quit

# 配置 GE 1/0/0 接口 (连接 Untrust 区域)
interface GigabitEthernet 1/0/0
 ip address 192.168.20.254 24
 service-manage enable
 service-manage ping permit
 quit

# 配置 GE 1/0/1 接口 (连接 DMZ/数据中心 区域)
interface GigabitEthernet 1/0/1
 ip address 192.168.30.254 24
 service-manage enable
 service-manage ping permit
 quit
注意 :PC1、PC4 的网关指向 192.168.10.254;PC3 的网关指向 192.168.20.254;PC2 的网关指向 192.168.30.254。

第二步:划分安全区域

华为防火墙默认有 Trust (85)、Untrust (5)、DMZ (50) 等区域。我们需要把刚才配置的接口加入到对应的区域中。

# 将 GE 1/0/2 加入 Trust 区域
firewall zone trust
 add interface GigabitEthernet 1/0/2
 quit

# 将 GE 1/0/0 加入 Untrust 区域
firewall zone untrust
 add interface GigabitEthernet 1/0/0
 quit

# 将 GE 1/0/1 加入 DMZ 区域 (图中称为"数据中心")
firewall zone dmz
 add interface GigabitEthernet 1/0/1
 quit

第三步:配置安全策略

这是最关键的一步。防火墙默认拒绝所有流量,必须配置策略允许特定的流量通过。根据图中文字要求:

  1. Trust -> Untrust & DMZ:允许
  2. DMZ -> Trust:允许
  3. Untrust -> Trust & DMZ:默认拒绝(不写策略即为拒绝)
# 进入安全策略视图
security-policy

# 规则1:允许 Trust 访问 Untrust
 rule name Trust_to_Untrust
  source-zone trust
  destination-zone untrust
  source-address 192.168.10.0 24  # 指定源IP段
  action permit
 quit

# 规则2:允许 Trust 访问 DMZ (数据中心)
 rule name Trust_to_DMZ
  source-zone trust
  destination-zone dmz
  source-address 192.168.10.0 24
  action permit
 quit

# 规则3:允许 DMZ (数据中心) 访问 Trust
 rule name DMZ_to_Trust
  source-zone dmz
  destination-zone trust
  source-address 192.168.30.0 24
  action permit
 quit

# 退出
 quit
quit

第四步:验证配置

  1. 配置PC IP:确保所有 PC 都配置了正确的 IP 地址、子网掩码和网关。
  2. 测试 Trust 到 Untrust:用 PC1 (192.168.10.1) Ping PC3 (192.168.20.1)。应该能通。
  3. 测试 Trust 到 DMZ:用 PC1 Ping PC2 (192.168.30.1)。应该能通。
  4. 测试 DMZ 到 Trust:用 PC2 Ping PC1。应该能通。
  5. 测试 Untrust 到 Trust:用 PC3 Ping PC1。应该不通(Request timeout)。

补充说明

图中提到“此实验不用配置路由”,是因为这些网段都是防火墙的直连网段,防火墙会自动生成直连路由。只要接口 UP 且配置正确,路由表会自动更新。