华为防火墙静态路由根基设置(华为防火墙路由形式怎样设置)

[db:作者]

请点击“关注”，不要错过，天天和你分享纷歧样的智能常识！
以下拓扑是防火墙的一种摆设方式他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。按照收集计划，首先设置路由器、防火墙、焦点交换机、终端和办事器的IP地址他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
1路由器R1[华为]sysname R1设置
[R1]接口千兆以太网0/0/0
[R1千兆以太网0/0/0]ip地址10.1.1.11 24
[R1]接口千兆以太网0/0/1
100.1.1.1[R1千兆以太网0/0/0]ip地址24
[R1千兆以太网0/0/0]问
ISP上没有回程路由，但都由防火墙上的NAT转换他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
2设置防火墙的接口地址[fw1]sysname FW1
[FW1]接口千兆以太网0/0/1
[FW1-千兆以太网0/0/1]ip地址192.168.1.254 24
[FW1]接口千兆以太网0/0/2
[FW1-千兆以太网0/0/2]ip地址192.168.80.254 24
[FW1]接口千兆以太网0/0/3
[FW1-千兆以太网0/0/3]ip地址10.1.1.10 24
[FW1-千兆以太网0/0/3]q
考证设置成果
[FW1]显现ip接口简介
这个时辰防火不能和各个地区的装备停止通讯，然后下面的设置他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
3将接口增加到防火墙平安域[FW1]防火墙地区信赖
[FW1-zone-trust]增加接口GigabitEthernet 0/0/1
[FW1-地区-信赖]q
[FW1]防火墙地区隔离区
[FW1-zone-dmz]增加接口GigabitEthernet 0/0/2
[FW1-zone-dmz]q
[FW1]防火墙地区不成信
[FW1-zone-untrust]增加接口GigabitEthernet 0/0/3
[FW1-地区-不成信]q
留意:地区内必须有唯一的平安级别，响应的接口要增加到地区内，可所以物理接口，也可以是逻辑接口(Vlanif，Tunnel)他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
这时辰这三个域都建立了，可是域之间没有毗连，由于域之间默许的是拒绝他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。可是从防火墙到内部网、DMZ和UnTrunst，装备都是相连的他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
默许情况下，防火墙信赖地区中的装备与内部网网关通讯，可是DMZ地区中的装备被拒绝拜候防火墙他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
这显现了默许的包过滤法则他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
4测试一切域装备的防火墙他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。从防火墙到一切地区装备，都可以通讯；
[FW1]ping 192.168.1.10
[FW1]ping 192.168.80.10
[FW1]ping 10.1.1.11
都可以相互交换；
5设置防火墙的域间包过滤战略(1)设置内网用户拜候DMZ中的WEB办事器，设置内网拜候DMZ办事器战略他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
[FW1]战略地区间信赖dmz出站
[FW1-战略-地区间-信赖-隔离区-出站]战略5
[FW1-Policy-Interzone-Trust-DMZ-Outbound-5]Policy source 192 . 168 . 1 . 10 0//只开释一个地址；
[FW1-Policy-Interzone-Trust-DMZ-Outbound-5]战略目标地192 . 168 . 80 . 10 0//只答应拜候单个办事器；
[fw1-policy-inter bone-trust-dmz-outbound-5]policy service-set http//设置答应经过阅读器拜候他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
[FW1-Policy-Interzone-Trust-DMZ-Outbound-5]战略办事集ICMP//的设置表白答应ping号令；
[FW1-战略-地区间-信赖-隔离区-出站-5]操纵答应
测试连通性
假如内网有多个VLAN，若何设置？
(2)内网交换机SW1设置了VLANs 10和VLANs 10，端口被分派给对应的VLAN他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。[华为]sysname SW1
[SW1]vlan批次10 20
[SW1]接口千兆以太网0/0/1
[SW1-千兆以太网0/0/1]端口链路型接入
[SW1-千兆以太网0/0/1]端口默许vlan 10
[SW1-千兆以太网0/0/1]问
[SW1]接口千兆以太网0/0/2
[SW1-千兆以太网0/0/2]端口链路型接入
[SW1-千兆以太网0/0/2]端口默许vlan 20
[SW1-千兆以太网0/0/2]问
[SW1]接口千兆以太网0/0/24
[SW1-千兆以太网0/0/24]端口链路型中继
[SW1-千兆以太网0/0/24]端口中继答应经过vlan 10 20
[SW1-千兆以太网0/0/24]问
(3)设置防火墙和子接口，实现VLAN之间的相互拜候他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。[FW1]接口千兆以太网0/0/1
[FW1-千兆以太网0/0/1]裁撤ip地址192.168.1.254 24
[FW1]接口千兆以太网0/0/1.10
[FW1-千兆以太网0/0/1.10]vlan范例dot1q 10
[FW1-千兆以太网0/0/1.10]ip地址192.168.1.254 24
[FW1-千兆以太网0/0/1.10]q
[FW1]接口GigabitEthernet 0/0/1.20
[FW1-千兆以太网0/0/1.20]vlan范例dot1q 20
[FW1-千兆以太网0/0/1.20]ip地址192.168.2.254 24
[FW1-千兆以太网0/0/1.20]
(4)在防火墙上设置子接口，实现VLAN互通他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。您需要将子接口增加到地区:[FW1]防火墙地区信赖他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
[FW1-zone-trust]增加接口GigabitEthernet 0/0/1.10
[FW1-zone-trust]增加接口GigabitEthernet 0/0/1.20
(5)测试并公布192.168.2.10以拜候DMZ办事器
[FW1]战略地区间信赖dmz出站
[FW1-战略-地区间-信赖-隔离区-出站]战略5
[FW1-战略-地区间-信赖-dmz-出站-5]战略源192.168.2.10 0
[FW1-战略-地区间-信赖-隔离区-出站-5]q
[FW1-战略-地区间-信赖-隔离区-出站]q
实验
接待关注我的头条号，交换私信，进修更多收集技术！