MSR5620

公网口写个入方向packet-filter，拒绝访问目的地址是公网口ip的icmp流量

安全域基本组网配置举例

1. 组网需求

某公司以Device作为网络边界安全防护设备，连接公司内部网络和Internet。公司只对内网提供Web服务，不对外提供这些服务。现需要在设备上部署安全域，并基于以下安全需求进行域间策略的配置。

·              与接口GigabitEthernet1/0/1相连的公司内部网络属于可信任网络，部署在Trust安全域，可以自由访问Web服务器和外部网络。

·              与接口GigabitEthernet1/0/3相连的外部网络属于不可信任网络，部署在Untrust安全域，不能访问公司内部网络和Web服务器。

·              与接口GigabitEthernet1/0/2相连的Web server部署在DMZ安全域，可以被Trust安全域内的主机自由访问，但不能访问处于Trust安全域的公司内部网络。

2. 组网图

图1-5 安全域基本组网配置组网图

‌

3. 配置步骤

(1)      配置接口IP地址、路由保证网络可达，具体配置步骤略。

(2)      将接口加入安全域

# 向安全域Trust中添加接口GigabitEthernet1/0/1。

<Device> system-view

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

# 向安全域DMZ中添加接口GigabitEthernet1/0/2。

[Device] security-zone name dmz

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/2

[Device-security-zone-DMZ] quit

# 向安全域Untrust中添加接口GigabitEthernet1/0/3。

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/3

[Device-security-zone-Untrust] quit

(3)      配置ACL

# 配置ACL 3500，定义规则：允许IP流量。

[Device] acl advanced 3500

[Device-acl-ipv4-adv-3500] rule permit ip

[Device-acl-ipv4-adv-3500] quit

(4)      配置域间策略

# 创建源安全域Trust到目的安全域Untrust的安全域间实例，并在该域间实例上应用包过滤策略，可以拒绝Untrust域用户对Trust的访问，但Trust域用户访问Untrust域以及返回的报文可以通过。

[Device] zone-pair security source trust destination untrust

[Device-zone-pair-security-Trust-Untrust] packet-filter 3500

[Device-zone-pair-security-Trust-Untrust] quit

# 创建源安全域Trust到目的安全域DMZ的安全域间实例，并在该域间实例上应用包过滤策略，可以拒绝DMZ域用户对Trust的访问，但Trust域用户访问DMZ域以及返回的报文可以通过。

[Device] zone-pair security source trust destination dmz

[Device-zone-pair-security-Trust-DMZ] packet-filter 3500

[Device-zone-pair-security-Trust-DMZ] quit

4. 验证配置

以上配置完成后，内网主机可访问外部网络以及DMZ安全域内的Web服务器资源。外部网络向内部网络和DMZ安全域主动发起的连接请求将被拒绝。