image.png
    实现效果:
    1.Trust区域的IP数据包可以访问Untrust区域和防火墙(即Trust区域可以ping通Untrust区域和防火墙)
    2.Untrust区域的IP数据包不能访问Trust区域和防火墙(即Untrust区域不能ping通Trust区域和防火墙)

    实验内容:
    1.按拓扑结构连接防火墙和两台VPC后,按图配置PC_2的IP地址和网关、配置PC_3的IP
    地址和网关,两台PC 的网关均设置在F1060防火墙上,启动防火墙和两台PC。
    2.配置防火墙G1/0/10 接口IP 地址10.0.0.1/24,配置防火墙G1/0/2接口IP地址
    172.16.1.1/24。

    4.创建访问控制列表3000,允许低何源的IP地址。”[H3c]ac1 advanced 3000.
    [H3C-ac1-ipv4-adv-3000]rule permit ip source any destination any
    5.配置安全域间实例,从trust安全域到local安全域、从trust安全域到untrust安全
    域,执行访问控制列表3000的检查。

    1. [H3c]zone-pair security source trust destination loca1
    2. [H3C-zone-pair-security-Trust-Local]packet-filter 3000
    3. [H3C-zone-pair-security-Trust-Local]quit
    4. [H3c]zone-pair security source trust destination untrust
    5. [H3C-zone-pair-security-Trust-lntrust]packet-fi1ter 3000
    6. [H3C-zone-pair-security-Trust-Untrust]quit