华为的USG6000为什么不能ping通
前言:
防火墙usg6000v的镜像
链接: https://pan.baidu.com/s/1uLRk0-hnHRTLYLx1Pnplow?pwd=tymp 提取码: tymp
看了好多毒文章,感觉写作业更有意思,可以了解新的知识
内容:
首先看毒文章是这样说的,华为的防火墙是默认不让所有流量进来和出去的,自己的报文也发不出去,也就是ping不通别人,别人也ping不通他
前置知识:
防火墙的四个区域
防火墙上默认有四个区域分别是:local、trust、untrust、dmz
默认情况 下不同区域是不可互通的,因此,此时各路由器之间流量是无法通过的,需要配置区域间的安全策略放行允许通过的流量
trust区域 信任区域
untrust区域 不信任区域
DMZ区域 两个防火墙之间的空间被称为DMZ。
local区域 不能添加任何接口,但是防火墙上所有接口都隐含属于lacal区域。正题:
防火墙默认账号和密码u:admin/p:Admin@123
topo图
信任外部的流量进入防火墙,信任内部流量出去,这样双方就能ping通了
上代码,如果直接ping的话这样就好了,发现还是不行,毒文章,我也想不写啊,但是这是作业啊
service-manage ping permit,问了我同学,说是需要把接口配置到信任区域(trust)
sy
firewalld zone trust
add int g1/0/0
q
int g1/0/0
service-manage ping permit
q
security-policy
rule name bm
source-zone local
destination-zone trust
action permit至此完成两端通信
参考文章
防火墙中的DMZ区域,Trust区域,Untrust区域-CSDN博客
华为HCNP实验 防火墙安全区域及安全策略配置(USG6000) - JUSTZHI - 博客园 (cnblogs.com)
华为防火墙关于安全域 local Trust Untrust DMZ 定义 - skyworker - 博客园 (cnblogs.com)