0420网络安全设备配置与管理第八周授课讲义温故知新上次课主要介绍华为防火墙USG6000V登录设备基础配置的实验。学习防火墙的工作原理和配置步骤。该部分内容是本课程的重点【防火墙FW是什么防火墙与路由器的区别有那些配置步骤和思路有何不同】Q:防火墙FW是什么A是一个安全设备用于网络隔离。Q防火墙与路由器的区别有那些A相同点都是网络连接设备FW和路由器都用于连接不同网段/网络两种设备的路由表中都有连接的网络/网段的表项且为直连。不同点路由器上只要配置了网关对应的终端设备的接口默认是允许通信的为了实现任务要求需要配合ACL进行流量控制。因为路由表中有不同网段的表项且为直连路由。需要配置ACL且动作为拒绝。防火墙的接口与终端设备所连的接口需要先添加到对应的安全区域中配置网关地址是为了通信用【但不代表就能直接通信】默认拒绝所有通信流量经过防火墙为了实现任务要求需要配置安全策略-规则-动作允许。-----------------------通过实验进行验证--------------用路由器进行实验路由器ACL实现流量管理配置步骤1.完成基础配置un t msyssys R1int g 0/0/0ip ad 192.168.1.1 24int g 0/0/1ip ad 172.16.1.1 24int g 0/0/2ip ad 100.1.1.1 24Q测试网络连通性全网都是通的路由器默认允许表中有表项的终端之间都能通信但是又不符合实验要求所以需要通过ACL进行流量控制2.配置ACL 选择ACL的类型配置规则【拒绝】应用规则到指定接口上接口的选择要进行仔细判断采用就近原则测试网络连通性实验成功财务部PC4当前能访问server3再配一个ACL 用于限制流量测试实验效果实验完成--------------------------2.防火墙安全策略实现流量管理-----------------------------实验解析3个区域四种终端五个设备实验思路用防火墙进行网络隔离用安全策略实现通信流量管控实验步骤1.完成基本配置略2.配置防火墙2.1配置安全区域添加端口测试网络连通性2.2 配置安全策略实验要求PC1能够访问DMZ区的server1测试实验效果测试实验效果--------------------防火墙安全策略2域内拒绝--------------------------------实验思路防火墙默认域内是可以直接通信正常的方式单向拒绝策略规则如果此种方式失效就需要做双向阻隔。1.完成基本配置略2.配置防火墙配置安全区域配置网关略测试域内的通信没有配规则时候同一域内可以通信3.要实现同一域内trustPC1和PC2不能通信测试实验效果实验任务2 PC1访问server1测试实验效果总结防火墙默认域内是可以直接通信的。如果实验要求不能通信就需要重新配置规则。