ChinaWin 2018-07-18
1.登陆防火墙
通过串口线连接到USG2000防火墙“console”配置口,使用PUTTY工具登陆进入防火墙,缺省用户名和密码为:admin;Admin@123。
2.接口配置
防火墙连接外网的网口“0/0/0”主要就是设置IP和子网掩码;
连接交换机的网口“0/0/1”划分出子接口方便后续连接相应的VLAN,并根据规划将各子接口配置上对应VLAN的网关和子网掩码。
3.划分地址池
划分“可访问内网的外网地址池”;划分各网元可访问地址池。
4.划分安全区域
A:主要是划分出“untrust”区域即连接0/0/0口的外网区域
B:划分与交换机5700连接的各网元区域配置安全策略
C:将AB中划分的区域根据安全策略定义出“优先级”。Untrust区域防火墙默认定义为5。其他区域根据数据流向由高到低来定义出优先级
D:根据2中在0/0/1口划分的子接口,将每个区域一一添加到子接口里
5.配置安全策略
根据各网元以及外网PC和内网PC之间的数据流向来进行策略的配置。
需要注意的是:“inbound”指“数据由低优先级向高优先级流向”;“outbound”指“数据由高优先级向低优先级流向”
6.配置静态路由
在连接外网的0/0/0口上配置一个网关地址.外网通过此静态路由访问到内网的子系统。
7.NAT配置