ENSP防火墙部署

案例如下：

1、vlan2为办公区，vlan3为生产区

2、办公区只有在周一到五（8-18）可访问OA，任意时间访问Web

3、生产区任意时间访问OA，但是不能访问Web sever

4、特列：生产区pc3在每周一早10到早11可访问Web

一、cloud图形界面配置

在这之前，要保证电脑里面创建了虚拟的环回网卡。

二、防火墙以及交换机命令配置

1、在利用web界面登录配置防火墙之前，要先修改防火墙的默认账户（admin）和密码（Admin@123）。要先使用命令配置将与cloud所连的接口的服务全放通，以及配置与虚拟网卡同一个网段的ip地址。配置命令如下：

Username:admin
Password:Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@123
Please enter new password: Huawei@123
Please confirm new password: Huawei@123
[USG6000V1]interface GigabitEthernet 0/0/0	
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.10.2 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 

2、交换机配置命令

<Huawei>sys
[Huawei]vlan batch 2 3
[Huawei]interface GigabitEthernet 0/0/1	
[Huawei-GigabitEthernet0/0/1]port link-type trunk 
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[Huawei-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
[Huawei]interface GigabitEthernet 0/0/2	
[Huawei-GigabitEthernet0/0/2]port link-type access 	
[Huawei-GigabitEthernet0/0/2]port default vlan 2
[Huawei]interface GigabitEthernet 0/0/3	
[Huawei-GigabitEthernet0/0/3]port link-type access 	
[Huawei-GigabitEthernet0/0/3]port default vlan 3
[Huawei]interface GigabitEthernet 0/0/4
[Huawei-GigabitEthernet0/0/4]port link-type access 
[Huawei-GigabitEthernet0/0/4]port default vlan 3

三、在浏览器输入ip地址进行访问

四、进入登录界面

输入admin账户和修改的密码即可

五、防火墙web页面配置

1、配置生产区域

2、配置办公区域

3、配置与服务器相连的端口，并勾选对应的服务

4、配置办公区与防火墙相连的子接口，并勾选对应的服务

5、配置生产区与防火墙相连的子接口，并勾选对应的服务

6、配置安全策略

办公区只有在周一到五（8-18）可访问OA的安全策略

配置办公区任意时间访问Web的安全策略

生产区可以任意访问OA服务器的安全策略

生产区pc3在每周一早10到早11可访问Web安全策略配置