280、常见的安全策略的配置

实验topo：

①做安全策略，让trust 区域的PC1 可以ping untrust区域；

命令行配置：

security-policy

default action permit

rule name trust_untrust

source-zone trust

destination-zone untrust

source-address 192.168.1.0 24

service icmp

action permit

web界面配置：

测试实验结果：

②做安全策略，让trust区域的PC2 可以访问untrust区域的ftp服务器；

security-policy

rule name trust_untrust_ftp

source-zone trust

destination-zone untrust

source-address 192.168.1.3 32

destination-address 6.6.6.6 32

service ftp

action permit

web 界面操作：

测试实验结果：

③做安全策略，让trust区域的PC3 可以访问untrust区域的http服务器；

security-policy

rule name trust_untrust_http

source-zone trust

destination-zone untrust

source-address 192.168.1.4 32

destination-address 9.9.9.9 32

service http

action permit

web界面操作：

测试实验结果：

④做安全策略，让trust区域的PC可以访问DMZ区域的服务器；

rule name trust_dmz

source-zone trust

destination-zone dmz

source-address 192.168.1.0 24

destination-address 172.16.1.2 32

service http

service ftp

service icmp

action permit

web界面配置:

测试实验结果：

ping 测试：

http服务测试：

ftp服务测试：

⑤ 做安全策略，让untrust区域 的PC可以访问dmz区域的http 服务；

rule name untrust_dmz_http

source-zone untrust

destination-zone dmz

destination-address 172.16.1.2 32

service http

action permit

配置server nat 映射

nat server dmz_untrust 0 global 202.1.1.1 inside 172.16.1.2

web 界面配置：

测试结果：