一、实验目的

　　熟悉防火墙配置

　　二、实验内容

　　1.设备IP地址配置

　　2.将接口加入到相应的区域中

　　3.配置安全策略，允许trust区域访问DMZ区域中的设备，允许untrust区域访问DMZ区域中的设备

　　4.查看防火墙上会话表

　　5.让服务器提供ftp服务，client登陆ftp服务器，并在防火墙上查看server-map表

　　拓展

　　6.使用web方式登录(因第一次登陆需要在接口支持http服务)

　　三、设备配置

　　1.设备IP地址配置

　　防火墙配置

　　修改防火墙登录密码(默认密码Admin@123)

　　Username:admin

　　Password: Admin@123

　　The password needs to be changed. Change now? [Y/N]: y

　　Please enter old password: Admin@123

　　Please enter new password: huawei@123

　　Please confirm new password: huawei@123

　　2、将接口加入到相应的区域中

　　将G1/0/0端口加入trust zone

　　[FW1]firewall zone trust

　　[FW1-zone-trust]add interface GigabitEthernet1/0/0

　　将G1/0/1端口加入untrust zone

　　[FW1]firewall zone trust

　　[FW1-zone-trust]add interface GigabitEthernet1/0/1

　　将G1/0/端口加入dmz zone

　　[FW1]firewall zone trust

　　[FW1-zone-trust]add interface GigabitEthernet1/0/2

　　3、配置安全策略

　　允许trust区域访问DMZ区域中的设备，允许untrust区域访问DMZ区域中的设备

　　[FW1]security-policy

　　[FW1-policy-security]rule name trust_to_dmz

　　[FW1-policy-security-rule-trust_to_dmz]source-zone trust

　　[FW1-policy-security-rule-trust_to_dmz]destination-zone dmz

　　[FW1-policy-security-rule-trust_to_dmz]action permit

　　-----------------------------------------------------------

　　[FW1]security-policy

　　[FW1-policy-security]rule name untrust_to_dmz

　　[FW1-policy-security-rule-untrust_to_dmz]source-zone untrust

　　[FW1-policy-security-rule-untrust_to_dmz]destination-zone dmz

　　[FW1-policy-security-rule-untrust_to_dmz]action permit

　　4.查看防火墙上会话表

　　防火墙会话表为空

　　5.让服务器提供ftp服务

　　client登陆ftp服务器

　　在防火墙上查看server-map表

　　此时server-map表有了一条信息

　　6、使用web方式登录

　　因第一次登陆需要在接口支持http服务

　　[FW1]int g 0/0/0

　　[FW1-GigabitEthernet0/0/0]service-manage http permit

　　使用浏览器登录http://192.168.0.1(登录端口8443)