一、项目简介
防火墙在生活中的使用是必不可少的,他的目的保证内网的安全,不受外网恶意流量的进入,从而保护内网,但是也少不了在内网的中的PC访问外网的不安全流量,这便使得防火墙的安全策略和用户认证的重要性。
二、详细概述
2.1项目拓扑图
使用Web界面和终端配置如下图所示:
2.2项目需求
该项目的需求如下:
1.配通该网络拓扑图
2.使用DHCP分配IP地址
3.防火墙的区域和优先级的配置
4.配置防火墙的地址组
5.管理员的用户认证的编写
6.安全策略的配置
2.3 思路分析
完成给项目时,首先配通整个项目的网络,保证全网可达,然后在该基础上,实现项目的要求,在防火墙上进行策略的编写和用户认证,使得内网的安全性。
三、具体配置
3.1全网可达
在防火墙上配置DHCP服务,指定Clinent1的地址为:172.16.1.90/24
在防火墙上的终端命令行如下:
[USG6000V1]dhcp enable 全局模式开启DHCP服务[USG6000V1-GigabitEthernet1/0/1.1]dhcp select interface 进入接口进行激活
[USG6000V1-GigabitEthernet1/0/1.2]dhcp select interface
在使用DHCP服务时,Client1的地址不可能刚好分配到 172.16.1.90/24,所以我们进行在wab界面进行MAC和IP的绑定。
获取的Client1的IP如下图所示:
PC2的IP如下图所示:
由于防火墙的区域的未放通,故全网可达先测不出。
3.2防火墙的区域和优先级配置
进入Web界面,进行区域的配置,如下图所示:
进入安全区域,进行新建并且填入符合要求的安全区域。总的流览图如下:
3.3配置防火墙的地址组:
进入Web界面进行选择(先进行地址组的选中,然后进行地址的加进)
3.4管理员的相关设定
在GR1/0/1.1接口上进行telnet的服务开启
[USG6000V1-GigabitEthernet1/0/1.1]service-manage telnet permit
[USG6000V1]telnet server enable
[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]protocol inbound telnet 开启服务
进行管理员角色的创建:
管理员的创建:
在SW2上进行远程服务的测试:
[Huawei]interface Vlanif 10[Huawei-Vlanif10]ip address 172.16.1.10 24 配置IP测试
<Huawei>telnet 172.16.1.254
测试结果图如下:
3.5用户认证的配置
进入界面进行勾选配置,配置图如下;
3.6认证策略的配置
进入Web界面,在界面上进行勾选,策略如下:
整体的策略如下:
验证的过程如下:
在进行ping的命令时,策略的报文的数量进行匹配,如上图所示。但是策略有一点的问题,建议将any的策略放下去,最后default的规则进行放开,原因是假如上面的策略没有匹配上,那么,将会在最后一次进行配置。
配置首次登录进行使用密码登录,设置如下:
3.7安全策略的配置
进入Web界面,进行安全策略的配置,配置的结果如下;
policy_01的策略具体如下:
整体如下:
以上便是整个项目的具体配置。