实验拓扑图及实验要求
实验相关配置
为保证可以登录防火墙web界面,需要对FW1、FW2以及Cloud1进行相关配置
Cloud1配置
需绑定网卡(建议新建虚拟网卡),并且与防火墙管理口(默认g0/0/0)属于同一网段
FW1 FW2配置
进入目标端口输入service-manage all permit命令允许所有服务
AR1配置
改名为ISP,新建Loopback0端口并配置对应IP地址
进入g0/0/0和g0/0/2端口配置IP
LSW3配置
为生产区和办公区划分vlan
[Huawei]vlan b 2 3
Info: This operation may take a few seconds. Please wait for a moment...done.[Huawei-GigabitEthernet0/0/2]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3
[Huawei-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 2[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 3创建SC、BG和GW区域
配置对应接口
访问管理中勾选 Ping选项 方便测试网络是否通路
防火墙安全策略配置
新建SC地址
实验要求处理
1、生产区在工作时间内可以访问服务器区,仅可以访问http服务器
2、办公区全天可以访问服务器区,其中,10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10
3、办公区在访问服务器区时采用匿名认证的方式进行上网行为管理
4、办公区设备可以访问公网,其他区域不行
NAT策略创建后需按提示新建安全策略,可直接使用默认的模板,亦可按照自己需求进行改进
