1 网络拓扑:
要求:II区服务器通过I-II区防火墙访问I区业务,只开放必要访问策略,关闭非必要策略。
防火墙1口接I区,防火墙2口接II区
2 登录网页
(1)调试电脑设置 192.168.0.100 255.255.255.0
(2)打开网页浏览器输入网址 https://192.168.0.1
(3)登录防火墙 默认账号密码为 admin admin
(4)勾选下次登录不再显示本窗口———否
3 创建Vlan10
网络——链路——VLAN——新建
4 创建安全域
网络——安全域——新建
分别创建名称为I区和II区的安全域
5 修改接口配置
示例防火墙1口接I区,防火墙2口接II区
网络——接口——GE1/0/1行最右边编辑
接口G1/0/1配置
接口G1/0/2配置
6 增加ipv4对象组
对象——对象组——ipv4对象组——新建
填写对象组名称、安全域、ip地址(示例中II区服务器只有一个,类型选主机IP地址。有多个可以继续添加或者IP连续可以使用IP地址范围)
填写完成后——确定
同理添加I区装置IP地址
示例I区有4个不同规约的装置,这里分成4个对象组。
7 增加服务对象组
这里分别示例104规、61850规约、modbusTCP规约、南自103规约,请根据现场实际需求填写。
对象——对象组——服务对象组——新建
7.1 104规约
类型TCP 源端口1024-65535 目的端口 2404-2410(目的端口根据现场实际使用需求更改或者扩大范围)
7.2 61850规约
类型TCP 源端口1024-65535 目的端口 102-102
7.3 modbusTCP规约
类型TCP 源端口1024-65535 目的端口 502-502(目的端口根据现场实际端口填写)
7.4 南自103规约
需要增加两条服务,类型UDP 源端口1032 目的端口 502-502
类型TCP 源端口1024-65535 目的端口 1048
8 添加安全策略
策略——安全策略——新建安全策略
这里示例4个规约,根据现场实际需要填写。
8.1 104采集I区装置
同理添加61850规约、modbusTCP规约
8.2 103采集I区装置
UDP
TCP
8.3 添加拒绝所有策略(不符合已添加策略要求的连接全部拒绝)
点击右上角保存配置