下面拓扑是防火墙的一种部署方式，按照网络规划，先配置好路由器、防火墙、核心交换机及各终端、服务器设备的ＩＰ地址。XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

1路由器R1的配置

[Huawei]sysname R1XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[R1]interface GigabitEthernet 0/0/0XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[R1-GigabitEthernet0/0/0]ip address 10.1.1.11 24XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[R1]interface GigabitEthernet 0/0/1XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[R1-GigabitEthernet0/0/0]ip address 100.1.1.1 24XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[R1-GigabitEthernet0/0/0]qXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

ISP路由器上没有配回程路由，都是由防火墙上NAT进行转换的。XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

2配置防火墙的接口地址

[fw1]sysname FW1XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1]interface GigabitEthernet 0/0/1XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-GigabitEthernet0/0/1]ip address 192.168.1.254 24XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1]interface GigabitEthernet 0/0/2XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-GigabitEthernet0/0/2]ip address 192.168.80.254 24XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1]interface GigabitEthernet 0/0/3XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-GigabitEthernet0/0/3]ip address 10.1.1.10 24XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-GigabitEthernet0/0/3]qXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

验证配置结果XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1]display ip interface briefXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

此时防火与各区域设备不能互通，接着下面的配置。XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

3把接口添加到防火墙安全域中

[FW1]firewall zone trustXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-zone-trust]add interface GigabitEthernet 0/0/1XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-zone-trust]qXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1]firewall zone dmzXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-zone-dmz]add interface GigabitEthernet 0/0/2XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-zone-dmz]qXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1]firewall zone untrustXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-zone-untrust]add interface GigabitEthernet 0/0/3XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-zone-untrust]qXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

注：区域里必须要有唯一的安全级别，相应的接口要加入到区域，可以是物理接口和逻辑接口（Vlanif、Tunnel）。XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

这时候3个域就建立好了，但是域与域之间是不通的，因为域之间默认是拒绝的。但是从防火墙到内网、DMZ、UnTrunst区域内设备又是通的。XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

防火墙默认Trust区域设备到内网网关是互通的，但是DMZ区域内设备到防火墙是拒绝访问的。XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

Display this查看默认的包过滤规则XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

4测试防火墙到各域设备

从防火墙到各区域设备，都能通讯；XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1]ping 192.168.1.10XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1]ping 192.168.80.10XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1]ping 10.1.1.11XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

全部都能互通；XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

5配置防火墙的域间包过滤策略

（1）配置内网用户访问DMZ内WEB服务器

配置内网访问DMZ服务器策略XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1]policy interzone trust dmz outboundXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-policy-interzone-trust-dmz-outbound]policy 5XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-policy-interzone-trust-dmz-outbound-5]policy source 192.168.1.10 0//只放行单个地址；XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-policy-interzone-trust-dmz-outbound-5]policy destination 192.168.80.10 0//只允许访问单个服务器；XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-policy-interzone--trust-dmz-outbound-5]policy service service-set http//配置允许通过浏览器访问XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-policy-interzone--trust-dmz-outbound-5]policy service service-set icmp//配置表示允许ping命令；XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-policy-interzone-trust-dmz-outbound-5]action permitXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

测试连通性XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

若内网有多个VLAN，如何配置呢？XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

（2）内网交换机SW1配置vlan10,vlan20,并将端口划入对应的VLAN当中。

[Huawei]sysname SW1XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[SW1]vlan batch 10 20XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[SW1]interface GigabitEthernet 0/0/1XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[SW1-GigabitEthernet0/0/1]port link-type accessXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[SW1-GigabitEthernet0/0/1]port default vlan 10XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[SW1-GigabitEthernet0/0/1]qXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[SW1]interface GigabitEthernet 0/0/2XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[SW1-GigabitEthernet0/0/2]port link-type accessXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[SW1-GigabitEthernet0/0/2]port default vlan 20XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[SW1-GigabitEthernet0/0/2]qXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[SW1]interface GigabitEthernet 0/0/24XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[SW1-GigabitEthernet0/0/24]port link-type trunkXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[SW1-GigabitEthernet0/0/24]port trunk allow-pass vlan 10 20XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[SW1-GigabitEthernet0/0/24]qXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

（3）配置防火墙，配置子接口实现VLAN之间的互相访问。

[FW1]interface GigabitEthernet 0/0/1XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-GigabitEthernet0/0/1]undo ip address 192.168.1.254 24XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1]interface GigabitEthernet 0/0/1.10XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-GigabitEthernet0/0/1.10]vlan-type dot1q 10XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-GigabitEthernet0/0/1.10]ip address 192.168.1.254 24XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-GigabitEthernet0/0/1.10]qXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1]interface GigabitEthernet 0/0/1.20XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-GigabitEthernet0/0/1.20]vlan-type dot1q 20XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-GigabitEthernet0/0/1.20]ip address 192.168.2.254 24XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-GigabitEthernet0/0/1.20]XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

（4）在防火墙上配置子接口实现VLAN互通，需要将子接口添加到区域中：

[FW1]firewall zone trustXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-zone-trust]add interface GigabitEthernet 0/0/1.10XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-zone-trust]add interface GigabitEthernet 0/0/1.20XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

（5）测试

放行192.168.2.10访问DMZ服务器XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1]policy interzone trust dmz outboundXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-policy-interzone-trust-dmz-outbound]policy 5XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-policy-interzone-trust-dmz-outbound-5]policy source 192.168.2.10 0XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-policy-interzone-trust-dmz-outbound-5]qXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

[FW1-policy-interzone-trust-dmz-outbound]qXkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

测试XkH电脑_数码_手机应用问题解决的IT技术网站 - 云狐网