IP アドレスに基づく転送ポリシー

開発 2023-05-05 04:46:57 訪問数: null

第一歩:

<USG6000V1> システムビュー

[USG6000V1] インターフェイス ギガビット イーサネット 0/0/0

[USG6000V1-GigabitEthernet0/0/0]こちらを表示

手順 2: ファイアウォールの両側にあるインターフェイスの IP アドレスを構成する

 [USG6000V1-GigabitEthernet0/0/0] IP バインディング vpn インスタンスのデフォルトを元に戻す

[USG6000V1-GigabitEthernet0/0/0]こちら

[USG6000V1-GigabitEthernet0/0/0]IP アドレス 192.168.5.1 24

[USG6000V1-GigabitEthernet0/0/0] インターフェイス ギガビットイーサネット 1/0/0
[USG6000V1-GigabitEthernet1/0/0] IP アドレス 1.1.1.1 24

[USG6000V1-GigabitEthernet1/0/0]q

ステップ 3: GigabitEthernet 0/0/0 ポートを信頼ゾーンに追加し、GigabitEthernet 1/0/0 を untrust ゾーンに追加します。


[USG6000V1] ファイアウォール ゾーンの信頼
[USG6000V1-zone-trust] インターフェイス GigabitEthernet 0/0/0 を追加 

[USG6000V1-zone-trust]q
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]追加インターフェイス GigabitEthernet 1/0/0

[USG6000V1-zone-untrust]q

手順 4: ip_deny という名前のアドレス セットを構成し、ファイアウォールの通過を許可しない複数の IP アドレスをアドレス セットに追加します。


ip_deny [USG6000V1] ip address-set ip_deny type objectという名前のアドレス セットを作成します。

ファイアウォールを通過する IP アドレスが ip_deny アドレス セットに参加することを許可しません。

[USG6000V1-object-address-set-ip_deny]address 192.168.5.2 0
[USG6000V1-object-address-set-ip_deny]address 192.168.5.3 0
[USG6000V1-object-address-set-ip_deny]address 192.168.5.6 0 

 [USG6000V1-object-address-set-ip_deny]q

ステップ 5: IP アドレスがファイアウォールを通過することを許可しない転送ポリシーを作成します。つまり、ip_deny アドレス セットに追加された複数の IP アドレスは、ファイアウォールを通過することを許可されません。

[USG6000V1]セキュリティ ポリシー
[USG6000V1-policy-security]ルール名 policy_deny
[USG6000V1-policy-security-rule-policy_deny]送信元アドレス アドレス セット ip_deny 

[USG6000V1-policy-security-rule-policy_deny]action deny

[USG6000V1-policy-security-rule-policy_deny]q
[USG6000V1-policy-security]q

ステップ 6: ネットワーク セグメント 192.168.5.0/24 に属する他の IP アドレスがファイアウォールを通過できるようにする転送ポリシーを作成します。


[USG6000V1]security-policy
[USG6000V1-policy-security]ルール名 policy_permit
[USG6000V1-policy-security-rule-policy_permit]source-address 192.168.5.0 24

[USG6000V1-policy-security-rule-policy_permit]action permit
[USG6000V1-policy-security-rule-policy_permit]q 

手順 7: ファイアウォール IP アドレスへのアクセスを許可しない転送ポリシーに pc1 と pc2 (192.168.5.2 と 192.168.5.3) の IP アドレスが追加され、pc3 (192.168.5.4) は追加されないため、テストします。アクセスを許可されていないファイアウォール IP アドレスの転送戦略、したがって pc1 と pc2 は ping できず、pc3 はターゲット ホストに正常に ping を実行し、実験は成功しました。

 

 写真にマークを付けるのを忘れ始めましたが、すでに手順を書いています。写真は単なる補助です。

おすすめ

転載: blog.csdn.net/weixin_64033212/article/details/129669427
おすすめ
Apache Doris バージョン 2.0.10 が正式にリリースされました。
Open Source Daily | 大手モデルが戦争に突入、大手モデルのユニコーンが身売りしていることが明らかに; 最大のオープンソース AI コミュニティが GPU の共有に 1,000 万ドルを提供すると示唆
ランキング
ジャンゴ使用KindEditorアップロード写真
FirstOrDefault VS C#の検索
SQL UNIONルール
VS Code は HTML スタートアップを実装し、ホット アップデート サービスを提供します
Linux プログラミング: 1. コルーチンの設計原則
目标检测的“尽头”竟是语言建模?Hinton团队提出Pix2Seq:性能优于DETR
CTFdインストールの新バージョン以降の操作および保守について話します
構造体へのポインタ出力4人の学生学生ID名前性別年齢を使用することにより
1.3.2リリース、連続ファイル同期ツールをSyncthing
PyQt5 インストールチュートリアル
アーカイブ
もっと
2024-05-17(6)
2024-05-16(24)
2024-05-15(5)
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)

コードワールド

© 2018 codetd.com