实验实验 配置防火墙配置防火墙 WebWeb 管理实验管理实验一，组网需求一，组网需求如图1-1所示，PC与USG2200的GigabitEthernet 0/0/1接口相连，在PC上通过Web浏览 器访问USG2200接口地址129.9.0.189，达到控制和管理USG2200的目的。 USG2200图1-1 Web管理组网图二，硬件需求与连线二，硬件需求与连线 1硬件需求：防火墙 USG2200（1 台） ，终端 PC（1 台） 。 备注:本实验以第 1 组为例，终端 PC 为第 1 组的 WS1。 2 配置前实物连线图如下：3 配置后实物连线图如下：三，配置思路三，配置思路 采用如下的思路配置USG2200： 1启用Web管理功能。 2配置AAA的本地用户。 3指定用户的访问类型和访问权限。四，数据准备四，数据准备 为完成此配置例，需要确定用户对USG2200的操作权限。五，配置步骤五，配置步骤如果USG2200工作在透明模式或混合模式，请根据需要配置好系统IP地址，通过系统IP 地址控制和管理USG2200。 步骤1：给GigabitEthernet 0/0/1接口配置IP地址，并将GigabitEthernet 0/0/1接口 加入安全区域。 #输入用户名admin #输入密码Admin123 #切换语言模式为中文模式language-mode chinesesystem-view # 配置GigabitEthernet 0/0/1的IP地址。USG2200 interface GigabitEthernet 0/0/1 USG2200-GigabitEthernet0/0/1 ip address 129.9.0.189 24 USG2200-GigabitEthernet0/0/1 quit # 配置GigabitEthernet 0/0/1加入Trust区域。USG2200 firewall zone trustUSG2200-zone-trust add interface GigabitEthernet 0/0/1 USG2200-zone-trust quit步骤2：配置域间过滤规则。USG2200 acl 2001 USG2200-acl-basic-2001 rule permit source 129.9.0.189 0.0.0.0 USG2200-acl-basic-2001 quit USG2200 acl 2002 USG2200-acl-basic-2002 rule permit source 129.9.0.101 0.0.0.0 USG2200-acl-basic-2002 quit USG2200 firewall interzone trust local USG2200-interzone-local-trust packet-filter 2001 outbound USG2200-interzone-local-trust packet-filter 2002 inbound USG2200-interzone-local-trust quit步骤3：启用Web管理功能。USG2200 web-manager enable步骤4：配置Web用户。USG2200 aaa USG2200-aaa local-user xunfang password simple xunfang123 USG2200-aaa local-user xunfang service-type web USG2200-aaa local-user xunfang level 3 USG2200-aaa quit步骤5：配置PC的IP地址。 将终端PC的IP地址设置为:129.9.0.101，俺码设为：255.255.255.0。六，检查配置结果六，检查配置结果 1用PC ping USG2200的接口管理地址129.9.0.189可以ping通； 2通过PC端的Web浏览器访问USG2100： 打开IE浏览，输入地址http:/129.9.0.189，如果可以访问登录页面则配置成功，此 时输入事先配置好的用户名：xunfang，密码：xunfang123，便可以对USG2200进行管理,如 下图所示。