华为防火墙配置案例

举报
sangjunke 发表于 2020/12/04 11:56:26 2020/12/04
【摘要】 FW1基本配置1.1接口配置IP地址Eth-Trunk1                             10.10.50.246/24      up         up        GigabitEthernet0/0/0              192.168.0.1/24       down       down      GigabitEthernet1/0/0  ...

捕获.PNG

FW1基本配置

1.1接口配置IP地址

Eth-Trunk1                             10.10.50.246/24      up         up        
GigabitEthernet0/0/0              192.168.0.1/24       down       down      
GigabitEthernet1/0/0              172.31.101.204/24    up         up          
GigabitEthernet1/0/2              100.100.100.1/24     up         up        
GigabitEthernet1/0/3              90.90.200.249/24     up         up 

1.2链路聚合

GigabitEthernet1/0/4          Up          1      
GigabitEthernet1/0/5          Up          1      

1.3加入安全区域

trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet0/0/0
    GigabitEthernet1/0/0
#
untrust
 priority is 5
 interface of the zone is (1):
    Eth-Trunk1
#
dmz
 priority is 50
 interface of the zone is (2):
    GigabitEthernet1/0/2
    GigabitEthernet1/0/3

1.4 配置vrrp

  GigabitEthernet1/0/0 | Virtual Router 1
    State : Master
    Virtual IP : 172.31.101.200
    Master IP : 172.31.101.204
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 60 s
    TimerConfig : 60 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : vgmp-vrrp
    Backup-forward : disabled
    Create time : 2020-12-04 02:51:46
    Last change time : 2020-12-04 03:02:04

  Eth-Trunk1 | Virtual Router 2
    State : Master
    Virtual IP : 10.10.50.251
    Master IP : 10.10.50.246
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120                  
    Preempt : YES   Delay Time : 0 s
    TimerRun : 60 s
    TimerConfig : 60 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0102
    Check TTL : YES
    Config type : vgmp-vrrp
    Backup-forward : disabled
    Create time : 2020-12-04 02:51:38
    Last change time : 2020-12-04 03:02:04

  GigabitEthernet1/0/3 | Virtual Router 3
    State : Master
    Virtual IP : 90.90.200.250
    Master IP : 90.90.200.249
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 60 s
    TimerConfig : 60 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0103
    Check TTL : YES                       
    Config type : vgmp-vrrp
    Backup-forward : disabled
    Create time : 2020-12-04 02:51:461.5

1.5配置hrp 双机热备

hrp interface g1/0/0 remode 100.100.100.1

hrp enable

1.6防火墙安全缺略

#
security-policy
 rule name trust-to-untrust
  source-zone trust
  destination-zone untrust
  action permit
 rule name untsust_to_dmz
  source-zone untrust
  destination-zone dmz
  action permit
 rule name untrust-to-DB
  source-zone untrust
  source-address 10.10.40.0 mask 255.255.255.0
  source-address 90.90.80.0 mask 255.255.255.0
  destination-address 172.31.101.0 mask 255.255.255.0
  action deny
 rule name trust-to-adddb
  source-zone trust
  destination-zone dmz
  source-address 10.192.84.0 mask 255.255.255.0
  destination-address 90.90.200.0 mask 255.255.255.0
  action permit
 rule name app-to-db
  source-address 90.90.200.0 mask 255.255.255.0
  destination-address 172.31.101.0 mask 255.255.255.0
  action permit

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
其他
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

确认 取消

加入云驻计划,成为创作者

  • 华为云周边好礼
  • 免费体验产品
  • 特殊身份标识
  • 线下官方门票
  • 内部专家零距离
  • 与10000+优质创作者共同成长
立即加入