下面拓撲是防火墻的一種部署方式，按照網絡規劃，先配置好路由器、防火墻、核心交換機及各終端、服務器設備的ＩＰ地址。sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

1路由器R1的配置

[Huawei]sysname R1sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[R1]interface GigabitEthernet 0/0/0sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[R1-GigabitEthernet0/0/0]ip address 10.1.1.11 24sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[R1]interface GigabitEthernet 0/0/1sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[R1-GigabitEthernet0/0/0]ip address 100.1.1.1 24sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[R1-GigabitEthernet0/0/0]qsI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

ISP路由器上沒有配回程路由，都是由防火墻上NAT進行轉換的。sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

2配置防火墻的接口地址

[fw1]sysname FW1sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1]interface GigabitEthernet 0/0/1sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-GigabitEthernet0/0/1]ip address 192.168.1.254 24sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1]interface GigabitEthernet 0/0/2sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-GigabitEthernet0/0/2]ip address 192.168.80.254 24sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1]interface GigabitEthernet 0/0/3sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-GigabitEthernet0/0/3]ip address 10.1.1.10 24sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-GigabitEthernet0/0/3]qsI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

驗證配置結果sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1]display ip interface briefsI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

此時防火與各區域設備不能互通，接著下面的配置。sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

3把接口添加到防火墻安全域中

[FW1]firewall zone trustsI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-zone-trust]add interface GigabitEthernet 0/0/1sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-zone-trust]qsI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1]firewall zone dmzsI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-zone-dmz]add interface GigabitEthernet 0/0/2sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-zone-dmz]qsI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1]firewall zone untrustsI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-zone-untrust]add interface GigabitEthernet 0/0/3sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-zone-untrust]qsI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

注：區域里必須要有唯一的安全級別，相應的接口要加入到區域，可以是物理接口和邏輯接口（Vlanif、Tunnel）。sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

這時候3個域就建立好了，但是域與域之間是不通的，因為域之間默認是拒絕的。但是從防火墻到內網、DMZ、UnTrunst區域內設備又是通的。sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

防火墻默認Trust區域設備到內網網關是互通的，但是DMZ區域內設備到防火墻是拒絕訪問的。sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

Display this查看默認的包過濾規則sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

4測試防火墻到各域設備

從防火墻到各區域設備，都能通訊；sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1]ping 192.168.1.10sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1]ping 192.168.80.10sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1]ping 10.1.1.11sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

全部都能互通；sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

5配置防火墻的域間包過濾策略

（1）配置內網用戶訪問DMZ內WEB服務器

配置內網訪問DMZ服務器策略sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1]policy interzone trust dmz outboundsI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-policy-interzone-trust-dmz-outbound]policy 5sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-policy-interzone-trust-dmz-outbound-5]policy source 192.168.1.10 0//只放行單個地址；sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-policy-interzone-trust-dmz-outbound-5]policy destination 192.168.80.10 0//只允許訪問單個服務器；sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-policy-interzone--trust-dmz-outbound-5]policy service service-set http//配置允許通過瀏覽器訪問sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-policy-interzone--trust-dmz-outbound-5]policy service service-set icmp//配置表示允許ping命令；sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-policy-interzone-trust-dmz-outbound-5]action permitsI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

測試連通性sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

若內網有多個VLAN，如何配置呢？sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

（2）內網交換機SW1配置vlan10,vlan20,并將端口劃入對應的VLAN當中。

[Huawei]sysname SW1sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[SW1]vlan batch 10 20sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[SW1]interface GigabitEthernet 0/0/1sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[SW1-GigabitEthernet0/0/1]port link-type accesssI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[SW1-GigabitEthernet0/0/1]port default vlan 10sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[SW1-GigabitEthernet0/0/1]qsI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[SW1]interface GigabitEthernet 0/0/2sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[SW1-GigabitEthernet0/0/2]port link-type accesssI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[SW1-GigabitEthernet0/0/2]port default vlan 20sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[SW1-GigabitEthernet0/0/2]qsI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[SW1]interface GigabitEthernet 0/0/24sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[SW1-GigabitEthernet0/0/24]port link-type trunksI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[SW1-GigabitEthernet0/0/24]port trunk allow-pass vlan 10 20sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[SW1-GigabitEthernet0/0/24]qsI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

（3）配置防火墻，配置子接口實現VLAN之間的互相訪問。

[FW1]interface GigabitEthernet 0/0/1sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-GigabitEthernet0/0/1]undo ip address 192.168.1.254 24sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1]interface GigabitEthernet 0/0/1.10sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-GigabitEthernet0/0/1.10]vlan-type dot1q 10sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-GigabitEthernet0/0/1.10]ip address 192.168.1.254 24sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-GigabitEthernet0/0/1.10]qsI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1]interface GigabitEthernet 0/0/1.20sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-GigabitEthernet0/0/1.20]vlan-type dot1q 20sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-GigabitEthernet0/0/1.20]ip address 192.168.2.254 24sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-GigabitEthernet0/0/1.20]sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

（4）在防火墻上配置子接口實現VLAN互通，需要將子接口添加到區域中：

[FW1]firewall zone trustsI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-zone-trust]add interface GigabitEthernet 0/0/1.10sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-zone-trust]add interface GigabitEthernet 0/0/1.20sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

（5）測試

放行192.168.2.10訪問DMZ服務器sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1]policy interzone trust dmz outboundsI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-policy-interzone-trust-dmz-outbound]policy 5sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-policy-interzone-trust-dmz-outbound-5]policy source 192.168.2.10 0sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-policy-interzone-trust-dmz-outbound-5]qsI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

[FW1-policy-interzone-trust-dmz-outbound]qsI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

測試sI4電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網