3,837
社区成员
发帖
与我相关
我的任务
分享请教高手关于硬件防火墙的设置问题
我单位网络拓扑结构具体如下:
我单位共有2个网络,一个内、一个外,内外网完全分离开,内网通过一台核心交换机(带路由功能)连接省公司内网路由设备,外网通过另外一台路由器连接当地电信机房100MB光纤,然后又通过核心交换机和外网路由器分别连接我单位内网交换机和外网交换机设备。
目前只有一台硬件防火墙并置于外网路由器和外网交换机之间,内网和省公司路由器的连接就不在硬件防火墙保护范围内,属于直连,这样连接早晚会出问题,能否有办法可以将这个仅有的硬件防火墙同时用于内外网。
我们用的硬件防火墙型号为:quidway eudemon 100e
防火墙上共有5个以太网接口 eth0~4
现在外网使用0和1号接口(一个in,一个out),2和3号接口目前空闲中,能否将2、3两个端口同时用于内网的过滤?
比如说:将0、1配置到一个VLAN中;2、3配置到另外一个VLAN中 或者其它什么更好的办法?如何设置?
目前我外网客户端用固定IP管理,并在防火墙上绑定了MAC地址,如果实现了同时使用内外网,那能否可以配置2套IP绑定方案同时使用?
我以前只配置过交换机,对硬件防火墙不怎么熟悉,在网上找了好些资料都没有相关介绍,不知道防火墙的命令和交换机的是不是相同,请高手们建言献策。当然目的是内外网同时使用一台防火墙(即将硬件防火墙置于外网路由器和外网交换机之间的同时 也将其置于核心交换机与内网交换机之间),而且要做到用户不能随意切换(每个客户端后都有一条外网线、一条内网线),即上内网的只能上内网,上外网的只能上外网。虽然只有一台硬件防火墙,但是要通过逻辑方法实现内外网完全物理隔离一样的效果,又能充分发挥硬件防火墙数据过滤的效果。 方法不限!
谢谢各位高手!
我单位共有2个网络,一个内、一个外,内外网完全分离开,内网通过一台核心交换机(带路由功能)连接省公司内网路由设备,外网通过另外一台路由器连接当地电信机房100MB光纤,然后又通过核心交换机和外网路由器分别连接我单位内网交换机和外网交换机设备。
目前只有一台硬件防火墙并置于外网路由器和外网交换机之间,内网和省公司路由器的连接就不在硬件防火墙保护范围内,属于直连,这样连接早晚会出问题,能否有办法可以将这个仅有的硬件防火墙同时用于内外网。
我们用的硬件防火墙型号为:quidway eudemon 100e
防火墙上共有5个以太网接口 eth0~4
现在外网使用0和1号接口(一个in,一个out),2和3号接口目前空闲中,能否将2、3两个端口同时用于内网的过滤?
比如说:将0、1配置到一个VLAN中;2、3配置到另外一个VLAN中 或者其它什么更好的办法?如何设置?
目前我外网客户端用固定IP管理,并在防火墙上绑定了MAC地址,如果实现了同时使用内外网,那能否可以配置2套IP绑定方案同时使用?
我以前只配置过交换机,对硬件防火墙不怎么熟悉,在网上找了好些资料都没有相关介绍,不知道防火墙的命令和交换机的是不是相同,请高手们建言献策。当然目的是内外网同时使用一台防火墙(即将硬件防火墙置于外网路由器和外网交换机之间的同时 也将其置于核心交换机与内网交换机之间),而且要做到用户不能随意切换(每个客户端后都有一条外网线、一条内网线),即上内网的只能上内网,上外网的只能上外网。虽然只有一台硬件防火墙,但是要通过逻辑方法实现内外网完全物理隔离一样的效果,又能充分发挥硬件防火墙数据过滤的效果。 方法不限!
谢谢各位高手!
...全文
请发表友善的回复…
发表回复
云海逍遥 2011-02-24
- 打赏
- 举报
谢谢 梦神 的耐心指导,我已经完全明白了,再次表示感谢!
bacy001 2011-02-23
- 打赏
- 举报
[Quote=引用楼主 alicemaya 的回复:]
我单位网络拓扑结构具体如下:
我单位共有2个网络,一个内、一个外,内外网完全分离开,内网通过一台核心交换机(带路由功能)连接省公司内网路由设备,外网通过另外一台路由器连接当地电信机房100MB光纤,然后又通过核心交换机和外网路由器分别连接我单位内网交换机和外网交换机设备。
[/Quote]
既然“内外网完全分离开”,又怎么会“分别连接我单位内网交换机和外网交换机设备”!
看不懂呀....!!!
我单位网络拓扑结构具体如下:
我单位共有2个网络,一个内、一个外,内外网完全分离开,内网通过一台核心交换机(带路由功能)连接省公司内网路由设备,外网通过另外一台路由器连接当地电信机房100MB光纤,然后又通过核心交换机和外网路由器分别连接我单位内网交换机和外网交换机设备。
[/Quote]
既然“内外网完全分离开”,又怎么会“分别连接我单位内网交换机和外网交换机设备”!
看不懂呀....!!!
bacy001 2011-02-23
- 打赏
- 举报
防火墙现在的配置能说一下么?
比如开启是啥功能,路由协议,接口信息。内外网的拓扑结构!帖张图,再加上IP最好了!
比如开启是啥功能,路由协议,接口信息。内外网的拓扑结构!帖张图,再加上IP最好了!
bacy001 2011-02-23
- 打赏
- 举报
现在流行的防火墙都是基于区域的!数据的IN 和 OUT 也是根据区域而来的,没有区域就没有IN 和OUT,这点跟路由器不一样!
set priority level 就是用来设置区域的,一般的规定是,数值越大,安全级别越高!
当数据流从 高安全级别区域 流向 低安全级别区别 称之为 OUT,反方向就是 IN。
默认情况下华为的防火墙禁止所有区域间访问!如果需要访问,必须使用命令,就是3.2里面那些命令打开!
显然,在这里内网和外网的区域之间是无法互访的!因为你没有配置!所以可以保证内外网的数据在防火墙里不会跑到一起去。
区域已经能够很好的隔离了,VLAN 应该不需要了吧。
set priority level 就是用来设置区域的,一般的规定是,数值越大,安全级别越高!
当数据流从 高安全级别区域 流向 低安全级别区别 称之为 OUT,反方向就是 IN。
默认情况下华为的防火墙禁止所有区域间访问!如果需要访问,必须使用命令,就是3.2里面那些命令打开!
显然,在这里内网和外网的区域之间是无法互访的!因为你没有配置!所以可以保证内外网的数据在防火墙里不会跑到一起去。
区域已经能够很好的隔离了,VLAN 应该不需要了吧。
云海逍遥 2011-02-23
- 打赏
- 举报
呵呵 我发现的时候已经无法修改了,不过没关系,这些信息我已经做了相应修改,谢谢你的提醒!
你说的方法我基本看懂了,谢谢,看完后我有2个问题:
1、请问下set priority level 这条命令设置优先级到底有什么用,我没有理解,如何确定后面这个优先级是多少。
2、只要新建inside_trust 和inside_untrust两个区域,再配通下2个区域的出入包过滤规则,这2个区域就能和外网的trust/untrust两个区域完全隔离开?有没有必要再将0和1两个接口放入VLAN2;2和3两个接口放入VLAN3?
你说的方法我基本看懂了,谢谢,看完后我有2个问题:
1、请问下set priority level 这条命令设置优先级到底有什么用,我没有理解,如何确定后面这个优先级是多少。
2、只要新建inside_trust 和inside_untrust两个区域,再配通下2个区域的出入包过滤规则,这2个区域就能和外网的trust/untrust两个区域完全隔离开?有没有必要再将0和1两个接口放入VLAN2;2和3两个接口放入VLAN3?
bacy001 2011-02-23
- 打赏
- 举报
看了下配置,我的建议如下:
1.因为现在防火墙工作在透明模式,所以把内网流量切过来会简单点。
2.下次帖配置,注意删掉敏感信息呀,老兄你连设备登录的用户名密码都一起贴出来了,而且是明文的!
3.参照外网的配置来做就好,具体步骤是:
3.1.为了实现两个网隔离,单独给内网建两个区域,并添加相关接口,参考配置如下:
#
firewall zone inside_trust
set priority 80
add interface Ethernet0/0/2
#
firewall zone inside_untrust
set priority 10
add interface Ethernet0/0/3
#
3.2.配通上一步新创建的区域的权限,参考命令如下:
#
firewall packet-filter default permit interzone inside_trust inside_untrust direction inbound
firewall packet-filter default permit interzone inside_trust inside_untrust direction outbound
#
3.3.参照现有配置添加内网的IP和MAC绑定表就行了!
3.4.找个合适的时间,把内网的线接过来就行,接线前后做好充分的业务测试呀!不行就切换回去!
暂时就想了这么多,仅供参考!
1.因为现在防火墙工作在透明模式,所以把内网流量切过来会简单点。
2.下次帖配置,注意删掉敏感信息呀,老兄你连设备登录的用户名密码都一起贴出来了,而且是明文的!
3.参照外网的配置来做就好,具体步骤是:
3.1.为了实现两个网隔离,单独给内网建两个区域,并添加相关接口,参考配置如下:
#
firewall zone inside_trust
set priority 80
add interface Ethernet0/0/2
#
firewall zone inside_untrust
set priority 10
add interface Ethernet0/0/3
#
3.2.配通上一步新创建的区域的权限,参考命令如下:
#
firewall packet-filter default permit interzone inside_trust inside_untrust direction inbound
firewall packet-filter default permit interzone inside_trust inside_untrust direction outbound
#
3.3.参照现有配置添加内网的IP和MAC绑定表就行了!
3.4.找个合适的时间,把内网的线接过来就行,接线前后做好充分的业务测试呀!不行就切换回去!
暂时就想了这么多,仅供参考!
云海逍遥 2011-02-23
- 打赏
- 举报
这里说的分别就是分为两条线:
1、省公司内网路由设备——核心交换机——内网交换机——内网主机
2、电信机房100MB光纤接收器——外网路由器——硬件防火墙——外网交换机——外网主机
目的就是要将硬件防火墙加到第1条线路的核心交换机与内网交换机之间,实现1和2 两条线路共享一台硬件防火墙
1、省公司内网路由设备——核心交换机——内网交换机——内网主机
2、电信机房100MB光纤接收器——外网路由器——硬件防火墙——外网交换机——外网主机
目的就是要将硬件防火墙加到第1条线路的核心交换机与内网交换机之间,实现1和2 两条线路共享一台硬件防火墙
云海逍遥 2011-02-23
- 打赏
- 举报
#
sysname Eudemon
#
web-manager enable
#
firewall packet-filter default permit interzone trust untrust direction inbound
firewall packet-filter default permit interzone trust untrust direction outbound
#
undo nat alg enable esp
nat alg enable ftp
nat alg enable dns
nat alg enable icmp
nat alg enable netbios
undo nat alg enable h323
undo nat alg enable hwcc
undo nat alg enable ils
undo nat alg enable pptp
undo nat alg enable qq
undo nat alg enable msn
undo nat alg enable user-define
undo nat alg enable sip
undo nat alg enable mgcp
undo nat alg enable mms
undo nat alg enable sqlnet
undo nat alg enable rtsp
firewall permit sub-ip
#
firewall mode transparent
firewall system-ip 192.168.1.200 255.255.255.0
firewall unknown-mac broadcast flood
#
firewall blacklist enable manual
firewall blacklist enable login-failed
firewall blacklist enable auth-failed
firewall blacklist enable ids
firewall blacklist enable ip-sweep
firewall blacklist enable port-scan
firewall blacklist item 192.168.1.9
firewall blacklist item 192.168.1.15
firewall blacklist item 192.168.1.19
#
firewall mac-binding enable
firewall mac-binding 192.168.1.10 0009-6ba5-5a83
firewall mac-binding 192.168.1.11 000c-7651-9265
firewall mac-binding 192.168.1.21 0019-dbfd-9725
firewall mac-binding 192.168.1.22 001f-d048-0292
firewall mac-binding 192.168.1.23 0011-2566-b52b
firewall mac-binding 192.168.1.24 0016-ec10-6e6b
firewall mac-binding 192.168.1.25 0019-dbfd-967e
firewall mac-binding 192.168.1.26 0019-dbfe-5a8e
firewall mac-binding 192.168.1.31 4061-8600-334c
firewall mac-binding 192.168.1.32 74ea-3a6d-4401
firewall mac-binding 192.168.1.34 0019-dbfe-58b5
firewall mac-binding 192.168.1.35 0019-dbfd-9966
firewall mac-binding 192.168.1.36 0011-2535-60bb
firewall mac-binding 192.168.1.37 001f-d049-c652
firewall mac-binding 192.168.1.41 0019-dbfd-96d7
firewall mac-binding 192.168.1.42 0019-dbfe-4196
firewall mac-binding 192.168.1.44 001d-92d6-f39c
firewall mac-binding 192.168.1.45 0024-1dae-b60b
firewall mac-binding 192.168.1.46 0011-432c-ec9b
firewall mac-binding 192.168.1.47 001f-d048-7b0f
firewall mac-binding 192.168.1.51 0011-432d-17e4
firewall mac-binding 192.168.1.52 001f-d047-d543
firewall mac-binding 192.168.1.53 0016-ec12-9b14
firewall mac-binding 192.168.1.54 0011-432c-e8d8
firewall mac-binding 192.168.1.61 0019-dbfd-9747
firewall mac-binding 192.168.1.62 0011-2535-5ad2
firewall mac-binding 192.168.1.63 001d-0f16-e740
firewall mac-binding 192.168.1.64 001f-d048-7197
firewall mac-binding 192.168.1.65 0016-ec26-5fba
firewall mac-binding 192.168.1.69 0019-dbfd-962a
firewall mac-binding 192.168.1.71 0016-ec20-1d28
firewall mac-binding 192.168.1.72 000d-569d-ac19
firewall mac-binding 192.168.1.73 001f-d049-d7d8
firewall mac-binding 192.168.1.74 0011-254c-cc5c
firewall mac-binding 192.168.1.76 001d-0f10-7373
firewall mac-binding 192.168.1.78 0019-e028-5c74
firewall mac-binding 192.168.1.80 001f-d049-5a20
firewall mac-binding 192.168.1.81 0016-17fa-7c81
firewall mac-binding 192.168.1.83 001f-d048-7b5e
firewall mac-binding 192.168.1.84 001f-d048-6b9b
firewall mac-binding 192.168.1.85 001f-d049-d29f
firewall mac-binding 192.168.1.91 001f-d046-a881
firewall mac-binding 192.168.1.92 0016-ec0b-d391
firewall mac-binding 192.168.1.93 001f-d049-5a67
firewall mac-binding 192.168.1.94 0019-e029-2219
firewall mac-binding 192.168.1.95 001f-d048-71f9
firewall mac-binding 192.168.1.96 0011-432d-16f8
firewall mac-binding 192.168.1.97 001f-d049-5dbc
firewall mac-binding 192.168.1.98 001f-d049-5de9
firewall mac-binding 192.168.1.99 001f-d049-c9c1
firewall mac-binding 192.168.1.101 001f-d048-722e
firewall mac-binding 192.168.1.102 001f-d048-71a8
firewall mac-binding 192.168.1.103 001f-d048-5ae2
firewall mac-binding 192.168.1.104 0019-e078-6e51
firewall mac-binding 192.168.1.105 001f-d048-7233
firewall mac-binding 192.168.1.107 001f-d048-028a
firewall mac-binding 192.168.1.108 001f-d048-6d55
firewall mac-binding 192.168.1.109 001f-d049-db77
firewall mac-binding 192.168.1.110 001f-d049-d299
firewall mac-binding 192.168.1.111 001f-d046-9f05
firewall mac-binding 192.168.1.112 000d-60e2-0de4
firewall mac-binding 192.168.1.116 001f-d048-6e2f
firewall mac-binding 192.168.1.171 0001-6c2d-f81b
firewall mac-binding 192.168.1.173 0021-86a1-6be3
firewall mac-binding 192.168.1.175 0024-1dae-b662
firewall mac-binding 192.168.1.177 0023-545a-34da
firewall mac-binding 192.168.1.178 001c-2596-5760
firewall mac-binding 192.168.1.191 001d-725d-07ae
#
firewall defend land enable
firewall defend smurf enable
firewall defend fraggle enable
firewall defend winnuke enable
firewall defend icmp-redirect enable
firewall defend icmp-unreachable enable
firewall defend source-route enable
firewall defend route-record enable
firewall defend tracert enable
firewall defend time-stamp enable
firewall defend ping-of-death enable
firewall defend teardrop enable
firewall defend tcp-flag enable
firewall defend ip-fragment enable
firewall defend ftp-bounce enable
firewall defend packet-header check enable
firewall defend arp-spoofing enable
#
firewall statistic system enable
#
interface Aux0
async mode flow
link-protocol ppp
#
interface Ethernet0/0/0
#
interface Ethernet0/0/1
#
interface Ethernet0/0/2
#
interface Ethernet0/0/3
#
interface Ethernet0/0/4
#
interface Secp0/0/0
#
interface NULL0
#
interface LoopBack0
#
right-manager server-group
#
acl number 2001
rule 5 permit source 192.168.1.200 0
acl number 2002
rule 5 permit source 192.168.1.11 0
rule 10 permit source 192.168.1.171 0
#
firewall zone local
set priority 100
#
firewall zone trust
set priority 85
add interface Ethernet0/0/0
#
firewall zone untrust
set priority 5
add interface Ethernet0/0/1
#
firewall zone dmz
set priority 50
#
firewall interzone local trust
packet-filter 2002 inbound
packet-filter 2001 outbound
#
firewall interzone local untrust
#
firewall interzone local dmz
#
firewall interzone trust untrust
#
firewall interzone trust dmz
#
firewall interzone dmz untrust
#
aaa
local-user admin1 password simple 123abc
local-user admin1 service-type web
local-user admin1 level 3
authentication-scheme default
#
authorization-scheme default
#
accounting-scheme default
#
domain default
#
#
slb
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
配置文件
这里说的分别就是分为两条线:
1、省公司内网路由设备——核心交换机——内网交换机——内网主机
2、电信机房100MB光纤接收器——外网路由器——硬件防火墙——外网交换机——外网主机
sysname Eudemon
#
web-manager enable
#
firewall packet-filter default permit interzone trust untrust direction inbound
firewall packet-filter default permit interzone trust untrust direction outbound
#
undo nat alg enable esp
nat alg enable ftp
nat alg enable dns
nat alg enable icmp
nat alg enable netbios
undo nat alg enable h323
undo nat alg enable hwcc
undo nat alg enable ils
undo nat alg enable pptp
undo nat alg enable qq
undo nat alg enable msn
undo nat alg enable user-define
undo nat alg enable sip
undo nat alg enable mgcp
undo nat alg enable mms
undo nat alg enable sqlnet
undo nat alg enable rtsp
firewall permit sub-ip
#
firewall mode transparent
firewall system-ip 192.168.1.200 255.255.255.0
firewall unknown-mac broadcast flood
#
firewall blacklist enable manual
firewall blacklist enable login-failed
firewall blacklist enable auth-failed
firewall blacklist enable ids
firewall blacklist enable ip-sweep
firewall blacklist enable port-scan
firewall blacklist item 192.168.1.9
firewall blacklist item 192.168.1.15
firewall blacklist item 192.168.1.19
#
firewall mac-binding enable
firewall mac-binding 192.168.1.10 0009-6ba5-5a83
firewall mac-binding 192.168.1.11 000c-7651-9265
firewall mac-binding 192.168.1.21 0019-dbfd-9725
firewall mac-binding 192.168.1.22 001f-d048-0292
firewall mac-binding 192.168.1.23 0011-2566-b52b
firewall mac-binding 192.168.1.24 0016-ec10-6e6b
firewall mac-binding 192.168.1.25 0019-dbfd-967e
firewall mac-binding 192.168.1.26 0019-dbfe-5a8e
firewall mac-binding 192.168.1.31 4061-8600-334c
firewall mac-binding 192.168.1.32 74ea-3a6d-4401
firewall mac-binding 192.168.1.34 0019-dbfe-58b5
firewall mac-binding 192.168.1.35 0019-dbfd-9966
firewall mac-binding 192.168.1.36 0011-2535-60bb
firewall mac-binding 192.168.1.37 001f-d049-c652
firewall mac-binding 192.168.1.41 0019-dbfd-96d7
firewall mac-binding 192.168.1.42 0019-dbfe-4196
firewall mac-binding 192.168.1.44 001d-92d6-f39c
firewall mac-binding 192.168.1.45 0024-1dae-b60b
firewall mac-binding 192.168.1.46 0011-432c-ec9b
firewall mac-binding 192.168.1.47 001f-d048-7b0f
firewall mac-binding 192.168.1.51 0011-432d-17e4
firewall mac-binding 192.168.1.52 001f-d047-d543
firewall mac-binding 192.168.1.53 0016-ec12-9b14
firewall mac-binding 192.168.1.54 0011-432c-e8d8
firewall mac-binding 192.168.1.61 0019-dbfd-9747
firewall mac-binding 192.168.1.62 0011-2535-5ad2
firewall mac-binding 192.168.1.63 001d-0f16-e740
firewall mac-binding 192.168.1.64 001f-d048-7197
firewall mac-binding 192.168.1.65 0016-ec26-5fba
firewall mac-binding 192.168.1.69 0019-dbfd-962a
firewall mac-binding 192.168.1.71 0016-ec20-1d28
firewall mac-binding 192.168.1.72 000d-569d-ac19
firewall mac-binding 192.168.1.73 001f-d049-d7d8
firewall mac-binding 192.168.1.74 0011-254c-cc5c
firewall mac-binding 192.168.1.76 001d-0f10-7373
firewall mac-binding 192.168.1.78 0019-e028-5c74
firewall mac-binding 192.168.1.80 001f-d049-5a20
firewall mac-binding 192.168.1.81 0016-17fa-7c81
firewall mac-binding 192.168.1.83 001f-d048-7b5e
firewall mac-binding 192.168.1.84 001f-d048-6b9b
firewall mac-binding 192.168.1.85 001f-d049-d29f
firewall mac-binding 192.168.1.91 001f-d046-a881
firewall mac-binding 192.168.1.92 0016-ec0b-d391
firewall mac-binding 192.168.1.93 001f-d049-5a67
firewall mac-binding 192.168.1.94 0019-e029-2219
firewall mac-binding 192.168.1.95 001f-d048-71f9
firewall mac-binding 192.168.1.96 0011-432d-16f8
firewall mac-binding 192.168.1.97 001f-d049-5dbc
firewall mac-binding 192.168.1.98 001f-d049-5de9
firewall mac-binding 192.168.1.99 001f-d049-c9c1
firewall mac-binding 192.168.1.101 001f-d048-722e
firewall mac-binding 192.168.1.102 001f-d048-71a8
firewall mac-binding 192.168.1.103 001f-d048-5ae2
firewall mac-binding 192.168.1.104 0019-e078-6e51
firewall mac-binding 192.168.1.105 001f-d048-7233
firewall mac-binding 192.168.1.107 001f-d048-028a
firewall mac-binding 192.168.1.108 001f-d048-6d55
firewall mac-binding 192.168.1.109 001f-d049-db77
firewall mac-binding 192.168.1.110 001f-d049-d299
firewall mac-binding 192.168.1.111 001f-d046-9f05
firewall mac-binding 192.168.1.112 000d-60e2-0de4
firewall mac-binding 192.168.1.116 001f-d048-6e2f
firewall mac-binding 192.168.1.171 0001-6c2d-f81b
firewall mac-binding 192.168.1.173 0021-86a1-6be3
firewall mac-binding 192.168.1.175 0024-1dae-b662
firewall mac-binding 192.168.1.177 0023-545a-34da
firewall mac-binding 192.168.1.178 001c-2596-5760
firewall mac-binding 192.168.1.191 001d-725d-07ae
#
firewall defend land enable
firewall defend smurf enable
firewall defend fraggle enable
firewall defend winnuke enable
firewall defend icmp-redirect enable
firewall defend icmp-unreachable enable
firewall defend source-route enable
firewall defend route-record enable
firewall defend tracert enable
firewall defend time-stamp enable
firewall defend ping-of-death enable
firewall defend teardrop enable
firewall defend tcp-flag enable
firewall defend ip-fragment enable
firewall defend ftp-bounce enable
firewall defend packet-header check enable
firewall defend arp-spoofing enable
#
firewall statistic system enable
#
interface Aux0
async mode flow
link-protocol ppp
#
interface Ethernet0/0/0
#
interface Ethernet0/0/1
#
interface Ethernet0/0/2
#
interface Ethernet0/0/3
#
interface Ethernet0/0/4
#
interface Secp0/0/0
#
interface NULL0
#
interface LoopBack0
#
right-manager server-group
#
acl number 2001
rule 5 permit source 192.168.1.200 0
acl number 2002
rule 5 permit source 192.168.1.11 0
rule 10 permit source 192.168.1.171 0
#
firewall zone local
set priority 100
#
firewall zone trust
set priority 85
add interface Ethernet0/0/0
#
firewall zone untrust
set priority 5
add interface Ethernet0/0/1
#
firewall zone dmz
set priority 50
#
firewall interzone local trust
packet-filter 2002 inbound
packet-filter 2001 outbound
#
firewall interzone local untrust
#
firewall interzone local dmz
#
firewall interzone trust untrust
#
firewall interzone trust dmz
#
firewall interzone dmz untrust
#
aaa
local-user admin1 password simple 123abc
local-user admin1 service-type web
local-user admin1 level 3
authentication-scheme default
#
authorization-scheme default
#
accounting-scheme default
#
domain default
#
#
slb
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
配置文件
这里说的分别就是分为两条线:
1、省公司内网路由设备——核心交换机——内网交换机——内网主机
2、电信机房100MB光纤接收器——外网路由器——硬件防火墙——外网交换机——外网主机
