F1000-ak115防火墙
- 0关注
- 1收藏,768浏览
问题描述:
F1000-ak115防火墙 我远程ping 防火墙10.15.149.100不通 麻烦问一下怎样设置才能F1000-ak115通
组网及组网描述:
移动光纤进来到路由器—防火墙—交换机
- 2020-10-15提问
- 举报
-
(0)
最佳答案
防火墙的安全域有没有配置,放通local到trust,trust到local,以下是配置案例可以参考一下
安全域典型配置举例
1. 组网需求
某公司以Device作为网络边界防火墙,连接公司内部网络和Internet。公司需要对外提供Web服务和FTP服务。现需要在防火墙上部署安全域,并基于以下安全需求进行域间安全控制策略的配置。
· 与接口GigabitEthernet1/0/1相连的公司内部网络属于可信任网络,部署在Trust域,可以自由访问服务器和外部网络。
· 与接口GigabitEthernet1/0/3相连的外部网络属于不可信任网络,部署在Untrust域,访问公司内部网络和服务器时,需要受到严格的域间安全控制策略的限制。
· 与接口GigabitEthernet1/0/2相连的Web server、FTP server部署在DMZ域,可以自由访问处于Untrust域的外部网络,但在访问处于Trust域的公司内部网络时,需要受到严格的域间安全控制策略的限制。
2. 组网图
3. 配置步骤
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域DMZ中添加接口GigabitEthernet1/0/2。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/2
[Device-security-zone-DMZ] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/3。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/3
[Device-security-zone-Untrust] quit
# 配置ACL 3500,定义规则:允许IP流量。
[Device] acl advanced 3500
[Device-acl-ipv4-adv-3500] rule permit ip
[Device-acl-ipv4-adv-3500] quit
# 创建ASPF策略1,配置检测应用层协议FTP(FTP仅为示例,若要检测其它应用协议,可根据需要配置)。
[Device] aspf policy 1
[Device-aspf-policy-1] detect ftp
[Device-aspf-policy-1] quit
# 创建源安全域Trust到目的安全域Untrust的安全域间实例,并在该安全域间实例上应用ASPF策略和包过滤策略,可以拒绝Untrust域用户对Trust的访问,但Trust域用户访问Untrust域以及返回的报文可以通过。
[Device] zone-pair security source trust destination untrust
[Device-zone-pair-security-Trust-Untrust] aspf apply policy 1
[Device-zone-pair-security-Trust-Untrust] packet-filter 3500
[Device-zone-pair-security-Trust-Untrust] quit
# 创建源安全域Trust到目的安全域DMZ的安全域间实例,并在该安全域间实例上开启ASPF检测功能,可以拒绝DMZ域用户对Trust的访问,但Trust域用户访问DMZ域以及返回的报文可以通过。
[Device] zone-pair security source trust destination dmz
[Device-zone-pair-security-Trust-DMZ] aspf apply policy 1
[Device-zone-pair-security-Trust-DMZ] packet-filter 3500
[Device-zone-pair-security-Trust-DMZ] quit
- 2020-10-15回答
- 评论(0)
- 举报
-
(0)
您好,请知:
关于防火墙上的地址无法PING通,以下是排查要点,请参考:
1、确保端口已加入安全域。
2、放通域间策略,尤其到LOCAL域的策略,LOCAL域需分别作为源和目的进行放通,可参考如下脚本:
[FW2]acl basic 2001
[FW2-acl-ipv4-basic-2001]rule 0 permit source any
[FW2-acl-ipv4-basic-2001]quit
[FW2]
[FW2]zone-pair security source trust destination untrust
[FW2-zone-pair-security-Trust-Untrust]packet-filter 2001
[FW2-zone-pair-security-Trust-Untrust]quit
[FW2]
[FW2]zone-pair security source untrust destination trust
[FW2-zone-pair-security-Untrust-Trust]packet-filter 2001
[FW2-zone-pair-security-Untrust-Trust]quit
[FW2]
[FW2]zone-pair security source trust destination local
[FW2-zone-pair-security-Trust-Local]packet-filter 2001
[FW2-zone-pair-security-Trust-Local]quit
[FW2]
[FW2]zone-pair security source local destination trust
[FW2-zone-pair-security-Local-Trust]packet-filter 2001
[FW2-zone-pair-security-Local-Trust]quit
[FW2]
[FW2]zone-pair security source untrust destination local
[FW2-zone-pair-security-Untrust-Local]packet-filter 2001
[FW2-zone-pair-security-Untrust-Local]quit
[FW2]
[FW2]zone-pair security source local destination untrust
[FW2-zone-pair-security-Local-Untrust]packet-filter 2001
[FW2-zone-pair-security-Local-Untrust]quit
3、确保防火墙的路由可达。
- 2020-10-15回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论