实现效果:
1.Trust区域的IP数据包可以访问Untrust区域和防火墙(即Trust区域可以ping通Untrust区域和防火墙)
2.Untrust区域的IP数据包不能访问Trust区域和防火墙(即Untrust区域不能ping通Trust区域和防火墙)
实验内容:
1.按拓扑结构连接防火墙和两台VPC后,按图配置PC_2的IP地址和网关、配置PC_3的IP
地址和网关,两台PC 的网关均设置在F1060防火墙上,启动防火墙和两台PC。
2.配置防火墙G1/0/10 接口IP 地址10.0.0.1/24,配置防火墙G1/0/2接口IP地址
172.16.1.1/24。
4.创建访问控制列表3000,允许低何源的IP地址。”[H3c]ac1 advanced 3000.
[H3C-ac1-ipv4-adv-3000]rule permit ip source any destination any
5.配置安全域间实例,从trust安全域到local安全域、从trust安全域到untrust安全
域,执行访问控制列表3000的检查。
[H3c]zone-pair security source trust destination loca1
[H3C-zone-pair-security-Trust-Local]packet-filter 3000
[H3C-zone-pair-security-Trust-Local]quit
[H3c]zone-pair security source trust destination untrust
[H3C-zone-pair-security-Trust-lntrust]packet-fi1ter 3000
[H3C-zone-pair-security-Trust-Untrust]quit