一、需求分析

1.拓扑图

2.需求

1、VLAN2属于办公区；VLAN3属于生产区
2、办公区PC在工作百时间(周一至周五，早8到晚6)可以正常访问OA Server，其他时间不允许
3、办公区pc可以在任意时刻访问web Server
4、生产区Pc可以在任意时刻访问OA Server，但是不能访问web Server
5、特例：生产区PC3可以在每周一早10到早11访问webServer，用来更新企业最新产品信息

---

二、具体配置

通过Web浏览器访问防火墙图像管理界面

1.将Cloud与虚拟网卡绑定，以实现主机浏览器直接访问防火墙，进行图形化管理操作

2.配置防火墙远程web访问接口

输入用户名admin，默认密码：Admin@123，随后输入“y”，修改默认密码，成功进入user视图

Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: 
Please enter new password: 
Please confirm new password: 

 Info: Your password has been changed. Save the change to survive a reboot. 
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************

输入“sys”进入系统视图，并进入GE 0/0/0接口，配置防火墙远程web登录服务

<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g 0/0/0	
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 

 备注：“all”选项默认开启了如下服务

[USG6000V1-GigabitEthernet0/0/0]service-manage ?
  all     ALL  service 
  enable  Service manage switch on/off 
  http    HTTP service 
  https   HTTPS service 
  ping    Ping service 
  snmp    SNMP service 
  ssh     SSH service 
  telnet  Telnet service 

3.使用web浏览器访问防火墙图像管理界面

https://192.168.0.1:8443

 

输入用户名密码（刚刚修改的最新密码），成功登录

 

Trust区配置

1.网段划分

• 原来的网段：192.168.1.0/24（掩码 255.255.255.0，256 个地址）

• 需要拆分为两个子网，因此要多借用 1 位作为子网号：

  • /25 掩码 = 255.255.255.128

  • 每个子网可容纳 126 个可用地址（128 - 2）。

• 第一个子网：192.168.1.0/25

  • 地址范围：192.168.1.0 – 192.168.1.127

  • 可用地址：192.168.1.1 – 192.168.1.126

  • 广播地址：192.168.1.127

• 第二个子网：192.168.1.128/25

  • 地址范围：192.168.1.128 – 192.168.1.255

  • 可用地址：192.168.1.129 – 192.168.1.254

  • 广播地址：192.168.1.255

 2.手动配置三台pc的ip及网关

根据刚才划分的网段及拓扑图可得三台pc的配置信息

 

 3.配置LSW1交换机

创建Vlan

[LSW1]vlan batch 2 3

 进入对应接口，将链路类型设为access，并根据要求放通对应Vlan

[LSW1-GigabitEthernet0/0/2]port link-type access 
[LSW1-GigabitEthernet0/0/2]port default vlan 2

[LSW1-GigabitEthernet0/0/3]port link-type access 
[LSW1-GigabitEthernet0/0/3]port default vlan 3

[LSW1-GigabitEthernet0/0/4]port link-type access 
[LSW1-GigabitEthernet0/0/4]port default vlan 3

[LSW1-GigabitEthernet0/0/1]port link-type trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

4.配置防火墙的接口ip及相关策略

创建GE1/0/1的子接口，配置对应ip地址，作为下游pc的网关，并配置vlan标签和turst区域，允许ping测试

 

DMZ区域配置

1.配置FW1对应接口的ip及区域

2.配置服务端ip

防火墙策略配置

1.办公区访问OA Server

办公区PC在工作百时间(周一至周五，早8到晚6)可以正常访问OA Server，其他时间不允许

2.办公区访问Web Server

办公区pc可以在任意时刻访问web Server

 3.生产区访问OA Server及Web Server

生产区Pc可以在任意时刻访问OA Server，但是不能访问web Server

 4.特例：生产区更新产品需求

生产区PC3可以在每周一早10到早11访问webServer，用来更新企业最新产品信息

5.最终策略顺序及地址信息