实验目的PC1连接到外网。

关于防火墙的其他知识后续补充。

ensp里的防火墙

用户名admin  密码Admin@123

防火墙的接口类型

1.路由模式 物理口可以直接配.

​​​​​2.交换模式 物理口不能直接配IP，类似交换机，可以配vlan

首先我们先要对各个设备进行基础的IP配置，按照图片进行配置，然后在AR1写一条静态路由告诉AR1目标6段的下一跳，10.10.10.2 

[Huawei]ip route-static 6.6.6.1 24 10.10.10.2

然后第一：把接口加入安全域

防火墙有这几个安全域

信任区域：我的内网，自己人。

非信任区域：外网，外人

dmz区域：中间区域，服务器区，内网主机，外网用户都访问。

在防火墙FW1中配置：

[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 6.6.6.1 24
[USG6000V1-GigabitEthernet1/0/0]q
[USG6000V1-zone-trust]add int g1/0/1
[USG6000V1-zone-trust]firewall zone un    
[USG6000V1-zone-trust]q 
[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add int g1/0/0
[USG6000V1-zone-untrust]q

第二：做放行策略

从信任区域，访问非信任，允许我的内网设备访问外网

在防火墙FW1中配置：

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name shangwang 
[USG6000V1-policy-security-rule-shangwang]source-zone trust  
[USG6000V1-policy-security-rule-shangwang]destination-zone untrust 
[USG6000V1-policy-security-rule-shangwang]action permit 
[USG6000V1-policy-security-rule-shangwang]q
[USG6000V1-policy-security]q

然后因为内网主机是私网IP，私网IP不能访问外网

用nat，网络地址转换，把私网IP，转成公网IP

在防火墙FW1中配置：

[USG6000V1]nat-policy 
[USG6000V1-policy-nat]rule name shangwang 
[USG6000V1-policy-nat-rule-shangwang]source-zone trust 
[USG6000V1-policy-nat-rule-shangwang]destination-zone untrust 
[USG6000V1-policy-nat-rule-shangwang]action source-nat easy-ip 
[USG6000V1-policy-nat-rule-shangwang]q
[USG6000V1-policy-nat]q

最后还有一步至关重要 我们已经写了出的静态路由，那么还有回程路由没写。

在防火墙FW1中配置：

[USG6000V1]ip route-static 192.168.1.0 24 10.10.10.1

至此完成本次实验。