1 登錄配置
添加管理類本地用戶
local-user test class manage
password simple string
service-type {ftp|http|https|ssh|telnet|terminal}
添加網絡接入類本地用戶
local-user test2 class network
password simple string
service-type {advpn|ike|portal|ppp|sslvpn}
默認密碼admin/admin
配置認證方式
line console 0
authentication-mode shceme
user-role network-adimin
line vty 0 4
authentication-mode scheme
user-role network-adimin
line console 0
authentication-mode password
set authentication password simple password
配置telnet:
telnet server enable
line vty 0 4
authentication-mode scheme //或者protocol inbound {all|ssh|telnet}
user-role network-adimin
2 配置安全域
2.1 安全域簡介
V7防火牆默認安全域有Trust、DMZ、Untrust和Management,G1/0/0默認加入Management區域。此外,設備上所有接口都默認屬於Local區域,不需要將接口加入Local域。
security-zone name test
import interface g1/0/1
//將真正用於轉發的接口加入安全域,如聚合口、vlan虛接口、reth口等。
import ip 192.168.1.0 24 //添加ipv4子網
import interface g1/0/2 vlan 10 //二層口加入安全域時需要增加vlan參數
import service-chain path path-id //添加服務鏈成員
security-zone intra-zone default permit //缺省情況下,同一安全域內報文過濾的缺省動作爲拒絕
display security-zone
2.2 安全域間實例
安全域間實例用於指定安全控制策略(如包過濾策略、ASPF 策略、對象策略等)需要檢測的業務流的源安全域和目的安全域,它們分別描述了經過網絡設備的業務流的首個數據包要進入的安全域和要離開的安全域。在安全域間實例上應用安全控制策略可實現對指定的業務流進行安全控制策略檢查。
有具體安全域的安全域間實例的匹配優先級高於 any 到 any 的安全域間實例。
Management 和 Local 安全域間之間的報文缺省被允許。
Management 和 Local 安全域間之間的報文只能匹配 Management 與 Local 安全域之間的安全域間實例。當安全域間實例上同時應用了對象策略和包過濾策略時,對象策略的優先級高於包過濾策略。
配置放行trust域到destination域的所有報文:
acl adv 3000
rule permit ip
zone-pair security source trust destination untrust
packet-filter 3000
dis zone-pair security
安全域配置實例
實驗案例:
目的:PC_3能ping通PC_5,但PC_5無法ping通PC_3
PC_3地址設置爲dhcp獲取,PC_5配置地址爲100.2.2.5,網關爲100.2.2.254
S5820V2:
dhcp server enable
dhcp server ip-pool vlan100
gateway-list 192.168.1.254
network 192.168.1.0 mask 255.255.255.0
address range 192.168.1.1 192.168.1.253
dns-list 10.100.1.10
quit
vlan 100
interface vlan 100
ip address 192.168.1.254 255.255.255.0
dhcp server apply ip-pool vlan100
interface g1/0/1
port access vlan 100
quit
interface Ten1/0/51
port link-mode route
ip address 10.100.1.2 255.255.255.0
quit
ip route-static 0.0.0.0 0.0.0.0 10.100.1.254
MSR36-20:
interface g0/0
ip address 200.2.2.254 255.255.255.0
interface g0/1
ip address 100.2.2.254 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 200.2.2.10
F1060-1:
interface g1/0/2
ip address 200.2.2.10 24
interface g1/0/3
ip address 10.100.1.254 24
ip route-static 0.0.0.0 0.0.0.0 200.2.2.254
ip route-static 192.168.1.0 0.0.0.255 10.100.1.2
將對應端口加入安全域:
security-zone name Trust
import interface GigabitEthernet1/0/3
security-zone name Untrust
import interface GigabitEthernet1/0/2
配置放行trust域到destination域的所有報文:
acl adv 3000
rule permit ip
zone-pair security source trust destination untrust
packet-filter 3000
dis zone-pair security
拓展:
上述配置後,就PC_3可以單向ping通PC_5,但其他設備是無法ping通防火牆上配置的IP地址,防火牆也無法ping通其他設備的地址,原因是防火牆上的IP地址屬於local域,必須要配置local域與其他域之間的域間實例,才能ping通
配置其他域與local域的之間的報文,否則防火牆和其他設備無法ping通:
zone-pair security source Local destination Any
packet-filter 3000
zone-pair security source Trust destination Local
packet-filter 3000