华为防火墙 入门

原创 已于 2022-10-11 22:36:43 修改 · 912 阅读 · 5 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#安全 #网络
于 2022-10-08 11:45:05 首次发布

目录

 一,配置网关地址 

二,测试连通性

三,防火墙

3.1 安全域

3.2 安全策略

3.3 小结

3.4 c区上网

3.5 单向性

 一,配置网关地址 

ip  add  xxx.xxx.xxx.xxx 24 

dhcp select int  ##自动分配地址 

二,测试连通性

发现无法ping通网关地址 

这是正常现象

和交换机和路由器不通的是防火墙是禁止通行, 如果人为不做放行,则默认不通。

三,防火墙

3.1 安全域

设置接口 配置信任网络(内网)或者是不信任 网络(外网),或

[USG6000V1]firewall zone ?
  dmz      Specify dmz security zone
  local    Specify local security zone
  name     Indicate a security zone name to be created or deleted
  trust    Specify trust security zone
  untrust  Specify untrust security zone
[USG6000V1-zone-trust]add interface  g1/0/0 ##接口加入信任区域

[USG6000V1-zone-untrust]add interface g1/0/2  ##接口加入非信任区域


[USG6000V1-zone-dmz]add interface g1/0/1   ##接口加入半信任区域

将接口加入后 此时发现 还是ping不通

[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit 
##允许1/0/1接口可以ping

此时再去ping 发现可以ping通

3.2 安全策略

创建一个安全规则 使c区ping通防火墙

[USG6000V1]security-policy

[USG6000V1-policy-security]dis this
2022-10-08 02:43:58.240 
#
security-policy
 rule name c_to_local  ##安全策略的名字
  source-zone trust    ##来自trust区域
  destination-zone local ##目的地 local区域 即防火墙本身
  action permit        ##动作允许

此事用c区电脑主机 发现还是ping不通 

##安全设备的特性 默认禁止ping

[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit 
##进入接口 允许ping

3.3 小结

1.接口加入安全域

2.配置安全策略

3.接口允许ping 

3.4 c区上网

1.允许trunst到untrunst

2.NAT转化成公网ip

3.默认路由

安全策略
[USG6000V1-policy-security-rule-c_to_gongwang]dis this
2022-10-08 03:11:56.070 
#
 rule name c_to_gongwang
  source-zone trust
  destination-zone untrust
  action permit

NAT
[USG6000V1]nat-policy
[USG6000V1-policy-nat-rule-huawei]dis this
2022-10-08 03:14:20.980 
#
 rule name huawei
  source-zone trust
  destination-zone untrust
  action source-nat easy-ip ##转化成外网口的ip

默认路由
[USG6000V1]ip route-static 0.0.0.0 0 64.1.1.2
[USG6000V1]

 查看nat情况

3.5 单向性

c区可以去b区,b区不允许去c区

[USG6000V1-policy-security-rule-c_to_b]dis this
2022-10-08 03:34:02.410 
#
 rule name c_to_b
  source-zone trust
  destination-zone dmz
  action permit

 

华为防火墙 DMZ 设置
一直被模仿,从未被超越
11-21 5120
例如FTP服务器、E-Mail服务器及网站服务器等允许外部用户访问这些服务器,但不可能接触到存放在内网中的信息,就算黑客入侵DMZ服务器,也不会影响到公司内部网络安全,不允许任何外部网络的直接访问,实现内外网分离,在企业的信息安全防护加了一道屏障。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个位于内部网络与外部网络之间的缓冲区,在这个网络区域内可以放置一些公开的服务器资源。DMZ 是英文"Demilitarized Zone"的缩写,中文名称为"隔离区"
eNSP配置防火墙——【拓扑简单,代码详细】
qq_48330132的博客
10-11 5838
ensp配置防火墙,简单的拓扑结构,详细的命令解释。
华为防火墙实战:手把手教你配置Trust、Untrust、DMZ三区域互通(附完整命令)
最新发布
weixin_42525289的博客
05-03 272
本文详细介绍了华为防火墙配置Trust、Untrust、DMZ三区域互通的实战指南,包括基础网络配置、路由与策略设置、高级功能及排错方法。通过具体命令示例最佳实践,帮助读者快速掌握企业级防火墙安全架构搭建与优化技巧。
华为防火墙安全区域
HappyAston的博客
02-15 2472
安全区域(Securicty Zone),简称为区域(zone)。安全区域是一个或多个接口的集合,防火墙通过安全区域来划分网络、标识报文流动的路线。一般情况下,当报文在不同的安全区域之间流动时才会受到控制。默认情况下,报文在不同的安全区域之间流动时受到控制,报文在同一个安全区域内流动时不受控制。但华为防火墙也支持通过安全策略对同一个安全区域内流动的报文进行控制。防火墙将接口划分到某个安全区域后,该接口背后的所有设备以及产生的报文都被认为是这个安全区域的设备及报文。
H3C防火墙及IPsec综合实验
qq_45049184的博客
03-08 9954
我们知道IPsec需要配置感兴趣流来抓取本端私网到达对端私网的流量,NAT转换抓取的同样也是本端私网流量,且NAT的优先级高于IPsec的优先级,如此一来会导致需要被IPsec封装的流量被NAT抓取且当做正常流量导向了公网。所以为了避免这种情况,我们需要在用于匹配NAT的ACL再加上一条ACL用于匹配IPsec的感兴趣流,成功匹配则将其丢弃,这样即使访问对端私网的流量到达了NAT也会被其丢弃,同时也不会影响NAT的正常工作。按照拓扑图所示配置,业务网段全配置在设备的loopback接口,配置过程略。
华为防火墙区域配置
qq_45049184的博客
11-03 5111
防火墙区域配置 1、trust区域内的R1的L0L1接口能访问DMZ区域的web服务器 2、trust区域内的R1的L2L3接口能访问DMZ区域的ftp服务器 3、位于untrust区域的全部环回口都能够访问dmz区域的web服务器ftp服务器 4、rust区域的环回口能访问untrust区域
华为防火墙基础知识详解:从入门到精通
danshuiyu33的博客
04-08 586
在实际部署中,建议遵循"最小权限原则",精细化配置安全策略,定期进行安全审计,才能真正发挥防火墙的防护价值。华为防火墙采用**下一代防火墙(NGFW)**架构,不仅具备传统防火墙的包过滤能力,还集成了入侵防御、病毒查杀、应用识别等高级安全特性。工作在数据链路层(二层)或网络层(三层),基于MAC地址或IP地址进行数据转发,主要解决局域网内的高速通信问题。,通过制定严格的访问控制策略,确保只有合法的流量能够进出网络,为企业的数字化转型保驾护航。的核心数据结构,记录了每一个通过防火墙网络连接的状态信息。
华为防火墙技术漫谈PDF文档》简介
gitblog_06768的博客
04-27 455
华为防火墙技术漫谈PDF文档》简介 【下载地址】华为防火墙技术漫谈PDF文档简介 《华为防火墙技术漫谈PDF文档》是一份深入浅出的防火墙技术入门资料,全面解析了华为防火墙的基本原理与架构。采用高清扫描版,确保内容清晰易读,适合对网络安防技术感兴趣的初学者。通过本书,读者可以快速掌握防火墙的核心知识,为深入学习网络安全打...
华为防火墙入门难?一文带你学会防火墙基础知识
07-08 997
03防火墙InboundOutbound数据由低级别的安全区域向高级别的安全区域传输的方向。数据由高级别的安全区域向低级别的安全区域传输的方向。02设备管理方式01Telnet管理方式及配置(1)配置初始管理密码(2)配置防火墙的接口IP地址(3)打开防火墙的Telnet功能(4)配置防火墙允许远程管理(5)将防火墙接口GigabitEthernet0/0/0加入安全区域(6)将接口加入安全区域(7)将防火墙配置域间包过滤,以保证网络基本通信正常。
华为防火墙入门难?一文带你学会防火墙基础知识~
Appleteachers的博客
06-11 1083
1.防火墙的工作模式 路由模式:如果华为防火墙连接网络的接口配置IP地址,则认为防火墙工作在路由模式下。 透明模式:如果华为防火墙通过第二层对外连接(接口无IP地址),则防火墙工作在透明模式下。 混合模式:如果华为防火墙既存在工作在路由模式的接口(接口具有IP地址) 又存在工作在透明模式的接口(接口无P地址) 则防火墙工作在混合模式下。 2 华为防火墙安全区域划分 Trust区域:主要用于连接公司内部网络,优先级为85,安全等级较高。 DMZ区域:在防火墙中通常定义为...
防火墙ip配置
m0_64771829的博客
01-25 1247
配置dmz区域IP地址,同时启用管理勾选ping命令方便检测。7.进入安全区域,创建生产区办公区,以便于将细化管理。1.首先在交换机7上创建vlan 2 3 命令如下。2.分别进入0/0/3 0/0/2接口。9.通过ping命令测试是否通路。5.进入防火墙,开启web服务。如图所示需要配置该拓扑的ip。6.进入防火墙后台,配置ip。4.进入0/0/1接口。3.定义所属vlan。以上是配置防火墙ip。
防火墙组网实验配置
fatsheep8_5的博客
07-10 1150
1,DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问.2,生产区不允许访问互联网,办公区游客区允许访问互联网3,办公区设备10.0.2.10不允许访问DMz区的FTP服务器HTTP服务器,仅能ping通10.0.3.104,办公区分为市场部研发部,研发部IP地址固定,访问DMz区使用匿名认证,研发部需要用户绑定IP地址,访问pMz区使用免认证;游客区人员不固定,不允许访问DMz区生产区,统一使用Guest用户登录,密码Admin@1235,生产区访
防火墙配置【最详细的实验演示】
热门推荐
weixin_62107875的博客
09-08 2万+
2.如何进入防火墙防火墙安全域 1.防火墙的5个安全域 2.如何自定义安全域3.接口加入安全域 ​4.防火墙配置接口ip 配置防火墙策略 1.内网到公网2.内网到服务器3.公网到服务器 4.内网到公网NAT转换 5.服务器映射
防火墙安全配置
Ideone的博客
03-18 3797
此时用PC1 ping PC 2,即使两台PC是同一网段,依旧是无法ping通,原因也是在防火墙上存在一条安全策略默认拒绝所有,所以我们需要编写一条安全策略来实现trust区域与untrust区域的通信,由于此时我们使用的是二层协议,所以我们需要添加VLAN ID。路由器ping防火墙,即使路由器与防火墙为直连,但是依旧是无法ping通的,原因是在配置防火墙时,没有启用访问管理,设置启动访问管理,并选择放通ping流量即可ping通。NGFW能对七层检测,可以清楚地呈现网络中的具体业务,并实行管控。
华为防火墙上的配置(1)
m0_65350813的博客
07-10 2035
要求:生产区访问DMZ区时,需要进行protal认证,建立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。5、生产区访问DMZ区时,需要进行protal认证,建立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。用户统一密码openlab123,用户过期时间设定为10天,用户不允许多人使用。
DMZ网络安全架构
fanjinhong_8521的博客
03-10 1754
搭建DMZ(非军事区)是网络安全中的一种常见做法,用于隔离内部网络外部网络,以增强安全性。
防火墙安全区域及安全策略、NAT 配置
Qconfig100的博客
10-18 3080
公司总部的网络分成了三个区域,包括内部区域(Trust)、外部区域(Untrust)服务器区域(DMZ)。你设计通过防火墙来实现对数据的控制,确保公司内部网络安全,并通过DMZ区域对外网提供服务。并且需要将DMZ区域中的一台服务器(IP地址为10.0.3.3)提供的Telnet服务FTP服务发布出去,对外公开的地址为10.0.10.254/24。
华为防火墙基本配置实例
weixin_45457085的博客
10-13 1万+
实验背景 : 一、trust区域:G1/0/0、G1/0/1接口下的设备划分到此区域 1、SW1与SW2做lacp链路聚合; 2、公司trust区域划分两个VLAN分别在交换层做MSTP,实现流量负载分担; 3、trust区域核心路由器层做双DHCP服务器做双备份,运行VRRP实现网关备份; 二、DMZ区域:G1/0/2接口下的设备划分到此区域 1、服务器做目的NAT允许untrust区域访问; 2、允许trust区域→DMZ区域的流量访问; 三、untrust区域:G1/0/3接口下的..
配置防火墙内外访问外网
T061129的博客
11-07 6889
1 、给接⼝配置 IP 地址(默认是存在的)2 、允许接⼝所有服务类型,其中包括 ping , https[USG6000V1-GigabitEthernet0/0/0]service-manage enable //开启服务管理[USG6000V1-GigabitEthernet0/0/0]service-manage all permit //允许所有服务3 、将接⼝加⼊防⽕墙安全区域。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值