防火墙基础基础篇：配置基本转发策略（安全策略）

1 什么是安全策略？

安全策略指的是用于保护网络的规则。它是由管理员在系统中配置，决定了哪些流量可以通过，哪些流量应该被阻断。安全策略是防火墙产品的一个基本概念和核心功能。防火墙通过安全策略来提供业务管控能力，以保证网络的安全。

为了避免歧义，通常把针对一个组织的安全策略称为信息安全策略（Information Security Policy），而把后者称为防火墙安全策略（Firewall Security Policy，有时也简称为防火墙策略Firewall Policy）、防火墙规则（Firewall Rule）。在本文档中，我们主要介绍防火墙安全策略，并简称为安全策略。

简单一点来说，如果需要防火墙访问互联网或者外部网络，最基础的配置就是安全策略，因为它决定了哪些流量可以通过。

下面这个实验模拟内网用户访问外部网络，以路由器代替外部网络。

2 安全策略实验

2.1创建实验环境

2.2 配置防火墙接口IP地址

配置接口g1/0/1 IP地址，并开启ping功能

配置接口g1/0/2 IP地址，并开启ping功能

2.3 配置安全区域分别将g1/0/1加入trust区域、g1/0/2加入untrust区域

将g1/0/1加入trust区域

将g1/0/2加入untrust区域

2.4 配置默认路由访问公网

2.5 配置安全策略

[FW1]security-policy
[FW1-policy-security]rule name policy1 //创建策略名为policy1
[FW1-policy-security-rule-policy1]source-zone trust //设置源区域为trust
[FW1-policy-security-rule-policy1]destination-zone untrust //设置目标区域为untrust
[FW1-policy-security-rule-policy1]source-address 192.168.100.0 24
[FW1-policy-security-rule-policy1]action permit //安全规则的动作，这里表示允许该规则流量的通过

2.6 配置路由器

3 测试结果

给PC添加IP地址


在PC上ping路由器，查看防火墙会话表

可以看到，内网的PC可以ping通路由器，说明内网用户可以访问外网。