# H3C防火墙-域间访问配置

# 实验拓扑

实验三:基于包过滤策略的Trust与Local、Untrust之间访问配置

# 实验需求

1.Trust区域的IP数据包可以访问Untrust区域和防火墙

2.Untrust区域的IP数据包不能访问Trust区域防火墙

# 实验解法

1.按图示配置PC与防火墙接口IP地址略

2.配置防火墙G1/0/0接口属于Trust安全域接口,配置防火墙G1/0/1接口属于Untrust安全域接口

[FW1]security-zone name  Trust 
[FW1-security-zone-Trust]import interface g1/0/0
[FW1]security-zone name Untrust
[FW1-security-zone-Untrust]import interface g1/0/1

3.创建高级ACL访问控制策略,允许任意源地址访问任意目的

[FW1]acl advanced 3000
[FW1-acl-ipv4-adv-3000]rule permit ip source any destination any 

4.配置安全域间实例,从trust安全域到local安全域、从trust安全域到untrust安全域,执行访问控制列表3000的策略

[FW1]zone-pair security source trust destination local
[FW1-zone-pair-security-Trust-Local]packet-filter 3000
[FW1]zone-pair security source trust destination untrust
[FW1-zone-pair-security-Trust-Untrust]packet-filter 3000

说明:完成以上配置后,采用ping命令查看连通效果为:

5.配置安全域间实例,从local安全域到trust安全域、从local安全域到untrust安全域,执行访问控制列表3000的策略

[FW1]zone-pair security source local destination trust
[FW1-zone-pair-security-Local-Trust]packet-filter 3000
[FW1]zone-pair security source local destination untrust
[FW1-zone-pair-security-Local-Untrust]packet-filter 3000

说明:完成以上配置后,采用ping命令查看连通效果为:

6.可还原后使用WEB方式进行配置测试,这里略