华为USG6000V(Universal Service Gateway)是基于网络功能虚拟化(NFV)架构的虚拟综合业务防火墙,虚拟资源利用率高,资源虚拟化技术支持大量多租户共同使用。该产品具备丰富的网关业务能力,可根据对虚拟网关的业务需求,按需使用,灵活部署。
本案例基于华为的eNSP模拟器进行华为USG6000V防火墙的基本配置,通过配置安全策略,实现内部网络LAN可以访问非军事区DMZ和外部网络WAN,外部网络WAN可以访问非军事区DMZ,但不能访问内部网络LAN。
在eNSP软件中,创建USG6000V防火墙的实现环境,网络连接拓扑如图5-17所示。各部分的IP地址规划如下:LAN地址为192.168.1.0/24;WAN地址为10.1.1.0/24;DMZ地址为172.16.1.0/24。
图5-17 USG6000V防火墙网络连接图
2. 配置PC1和Server1和AR1的网络参数
配置PC1的IP地址为192.168.1.2,默认网关为192.168.1.1,如图5-18所示。
配置Server1的IP地址为172.16.1.2,默认网关为172.16.1.1,如图5-19所示。
3. 配置路由器AR1的网络参数
将路由器AR1与防火墙连接的接口Ethernet0/0/0的IP地址设置为10.1.1.2。
图5-18 PC1的网络参数配置
图5-19 Server1的网络参数配置
4. USG6000V防火墙的配置(www.daowen.com)
首次使用USG6000V时,会提示要求导入USG6000V镜像,如图5-20所示。镜像文件的压缩包可以在华为官网下载,下载解压后导入即可。
图5-20 导入USG6000V设备包
打开USG6000V的CLI配置界面,首次登录,要求设置密码,设置密码后,可以按下面的步骤配置USG6000V:
(1)进入管理视图,修改防火墙的设备名称,关闭信息提示。
(2)配置防火墙连接LAN、DMZ、WAN的3个接口的IP地址及服务管理。
(3)设置安全域及安全策略。
(4)配置路由,保存所有的配置。
5. 验证测试
(1)从PC1分别Ping Server1(172.16.1.2)和AR1(10.1.1.2),发现都可以Ping通。
(2)从AR1分别Ping Server1(172.16.1.2)和PC1(192.168.1.2),发现都可以Ping通Server1,但Ping不通PC1。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
