1.拓扑图
需求1
安全策略要求:1 、只存在一个公网 IP 地址,公司内网所有部门都需要借用同一个接口访问外网2 、财务部禁止访问 Internet ,研发部门只有部分员工可以访问 Internet ,行政部门全部可以访问互联网3 、为三个部门的虚拟系统分配相同的资源类
配置思路:1 、由根系统管理员创建虚拟系统 abc 并且为其分配资源以及配置管理员2 、根系统管理员为内网用户创建安全策略和 NAT 策略3 、由 abc 三个虚拟系统各自完成 IP 、路由、安全策略配置
[FW]security-policy
[FW-policy-security]rule name to_internet
[FW-policy-security-rule-to_internet]source-zone trust
[FW-policy-security-rule-to_internet]destination-zone untrust
[FW-policy-security-rule-to_internet]access-authentication
[FW-policy-security-rule-to_internet]action permit
[FW-policy-security-rule-to_internet]q
[FW-policy-security]q
[FW]nat-policy
[FW-policy-nat]rule name nat1
[FW-policy-nat-rule-nat1]source-zone trust
[FW-policy-nat-rule-nat1]egress-interface GigabitEthernet 1/0/0
[FW-policy-nat-rule-nat1]source-zone
[FW-policy-nat-rule-nat1]source-address 10.3.0.0 16
[FW]switch vsys vsysa
<FW-vsysa>sys
[FW-vsysa]int g 1/0/1
[FW-vsysa-GigabitEthernet1/0/1]ip address 10.3.0.254 24
[FW-vsysa-GigabitEthernet1/0/1]quit
[FW-vsysa]interface Virtual-if 1
[FW-vsysa-Virtual-if1]ip address 172.16.1.1 24
[FW-vsysa]firewall zone trust
[FW-vsysa-zone-trust]add int g 1/0/1
[FW-vsysa-zone-trust]q
[FW-vsysa]firewall zone untrust
[FW-vsysa-zone-untrust]add int Virtual-if 1
[FW-vsysa-zone-untrust]q
[FW-vsysa]ip route-static 0.0.0.0 0 public
[FW-vsysa]ip address-set ip_add01 type object
[FW-vsysa-object-address-set-ip_add01]address range 10.3.0.1 10.3.0.10
[FW-vsysa-object-address-set-ip_add01]q
[FW-vsysa]security-policy
[FW-vsysa-policy-security-rule-to_internet]source-zone trust
[FW-vsysa-policy-security-rule-to_internet]destination-zone untrust
[FW-vsysa-policy-security-rule-to_internet]source-zone
[FW-vsysa-policy-security-rule-to_internet]source-address address-set ip_add01
[FW-vsysa-policy-security-rule-to_internet]action permit
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
