安全-防火墙旁路+PBR+状态检测

最新推荐文章于 2025-03-11 22:46:55 发布
最新推荐文章于 2025-03-11 22:46:55 发布
阅读量581 收藏 4
点赞数 7
分类专栏: 安全 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_81259159/article/details/139890079
版权

目录

一、实验需求:

二、关键配置:

三、结果验证和防火墙会话表查看

四、ENSP文件

一、实验需求:

  • 流量如图所示:
  • AR2->AR1(150.1.1.1/32)的流量路径:AR2->S1->AR2,AR1(150.1.1.1/32)->AR2的流量路径:AR1->S1->FW1->S1->AR2;其中经过防火墙的ping和ssh流量关闭状态检测,其余流量不关闭状态检测。

二、关键配置:

  • 交换机MQC配置如下:

acl number 3000
	rule 5 permit ip source 150.1.1.1 0
#
traffic classifier PBR operator and
    if-match acl 3000
#
traffic behavior PBR
    redirect ip-nexthop 10.1.3.12
#
traffic policy PBR
	classifier PBR behavior PBR
#
interface GigabitEthernet0/0/
最低0.47元/天 解锁文章
锐捷防火墙(WEB)——旁路检测
君逍遥o
09-27 482
有时客户为了保证重要业务连续不中断,且避免引入新的单点故障点: 1.需采用旁路部署的方式部署防火墙; 2.启用防火墙的UTM功能,对防病毒、IPS等安全事件进行检测及记录。
锐捷防火墙(WEB)——旁路部署IPSec
君逍遥o
09-27 1687
如图所示,通过VPN将2个局域网连接起来,实现192.1681.0/24与1.1.1.0/24两个网段的通信, NGFW2 ,采用单臂模式部署。
防火墙旁挂部署 - PBR方式
阿呆花湖雨的博客
02-01 1017
所有配置均基于HCL配置。基于PBR,不改变现有拓扑的方式进行防火墙旁挂的引流。
华为防火墙双机热备负载模式旁挂组网,交换机(PBR)引流防火墙案例
最新发布
白话聊网络的博客
03-11 766
核心交换中值得注意的就是mqc模版是在内网口调用,这样匹配到的流量直接通过流动作就扔到了下一跳所在的防火墙上,通过防火墙安全策略进行匹配和内网安全等进行流量清洗。丢一部分包,为什么丢包未知,当核心1中断后,sw3的stp状态已经切换,sw2的vrrp已经切换,不应该会不通,唯一的可能就是vrrp的重新发送免费arp的延迟导致。今天接了一个组网需求,课题是园区网络和通过MQC技术实现引流,那么一般来说,防火墙防火墙引流都是通过上下行vrrp,交换机通过vpn实例来实现。最终流量经过防火墙2。
3.防火墙旁路部署
土豆123的博客
03-01 2692
通过在交换机上配置静态路由,将流量指到防火墙上; 在防火墙上对于流量进行清洗; 在防火墙上将流量指到交换机的VRF2上。 由于虚拟的两个交换机完全隔离开来,所以就不会产生环路了。
旁路流量检测--流量镜像
有小小的远大抱负
01-17 2642
入侵检测系统就不多说,对流量进行分析和流量特征库进行比对,上报异常流量行为和动作,为网络安全管理员提供防护思路,取证异常流量五元组信息等等,总结来说就是为了保证内网安全运行的安全设备;在生产环境当中,经常会出现核心交换机旁挂入侵检测探针类安全设备用于对生产网络安全进行监测和保障,确保网络环境能够安全稳定的运行。交换机侧需要将所有流量镜像到IDS上面进行检测分析;流量镜像(需要多个monitor,镜像)(这里拿华三交换机举例说明)
防火墙三层旁路部署(VRF)
August0821的博客
01-25 2043
需求:核心创建VRF用于隔离网关,使网关之间无法互相通信。内网防火墙与核心互联接口配置子接口,vlan以及地址与核心的VRF相对应。通过设备管理地址,核心与内网防火墙建立OSPF邻居。核心VRF配置默认路由指向隔离防火墙子接口,隔离防火墙配置指向业务网段的路由,下一跳为核心的VRF互联地址。隔离防火墙引入静态路由,核心学习到VRF中的业务网段。实现流量经过隔离防火墙后返回核心,在隔离防火墙通过策略管控内网流量走向。
华为策略路由引流旁挂防火墙
weixin_45457085的博客
11-08 1万+
拓扑图解释:由于没有ENSP防火墙插件,故用AR2代替防火墙,PC1与PC2模拟内网trust区域设备,AR3模拟外网untrust区域 项目要求: 1.外网访问内网流量需要通过防火墙过滤再进入内网; 2.内网访问外网流量直接出站无需过滤。 配置思路: 1.首先配通底层,为了直观我这里采用手写静态路由,项目上为了方便可以直接跑内部动态路由协议; 2.在外网入站口AR1的G0/0/2上使用策略路由PBR进行流量重定向。 配置开始: 1.配通底层: SW1上: AR1上: ...
H3C防火墙单机旁路部署(网关在防火墙)
qq_23930765的博客
05-09 4497
此时流量从g1/0/3(trust)进入设备,从1/0/3(trust)出设备,所以策略的匹配条件是trust到trust,源地址为172.16.10.0/24,目的地址为172.16.20.0/24,不配置规则动作为action pass,默认就是拒绝。此时流量从g1/0/3(trust)进入设备,从g1/0/2(trust)出设备,所以需要放行trust到untrust源地址为172.16.10.0/24、172.16.20.0/24和172.16.30.0/24的流量。
防火墙旁挂、和热备
tang_jun_yi的博客
09-24 459
interface GigabitEthernet0/0/0 undo shutdown ip binding vpn-instance default ip address 172.25.254.2 255.255.255.0 alias GE0/METH service-manage http permit service-manage https permit service-manage ping permit service-manage ssh permit service-m
华为防火墙策略路由旁路部署
解不开的未知数
04-17 1万+
配置策略路由(引流到旁挂防火墙)示例 为了保证企业内网的安全,通过配置策略路由将外网到内网的全部流量引流防火墙进行安全检测。 组网需求 如图1所示,某公司由于业务需要,用户有访问Internet的需求。用户通过核心交换机SwitchA以及接入网关Router与Internet进行通信。 为了保证公司网络安全性,将所有进入公司内网的流量引入到旁挂防火墙进行安全检测后再进入公司内部网络。...
基于旁路监听的数据库安全审计系统
06-14
通过分析数据库安全审计机制,提出一种基于旁路监听的数据库安全审计系统框架,并实现了针对Oracle 数据库的安全审计系统。涉及Java网络抓包、TNS协议解析、SQL语法解析和数据库安全检测等技术实现,提出一 种发现用户正常行为规则的异常检测算法。系统实验结果表明该系统能有效对Oracle数据库进行实时安全审计, 并实现了数据库操作行为的安全检测。
15-思科防火墙:TCP状态化旁路
weixin_34384915的博客
07-07 712
一、实验拓扑:二、实验要求:默认情况Outside流量放行(TCP、UDP流量),Inside流量全部被干掉。为什么能通呢?因为流量从同一个ASA出去,再从同一个ASA回来。现在R1、R2分别有默认路由,所以发包、回包的路由条目是没问题的。既然这样,R1的默认路由可以直接指向R2,这样的话:数据流量就会出现问题。因为出去的时候,流量经过ASA,回包的时候因为一些问题,没有经过ASA就直接到了Ins...
防火墙旁挂新型引流方案
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
03-13 4546
核心设备创建多VPN实例隔离不同通信域,在防火墙完成不同VRF路由交叉,完成引流。
安全防御——二、ENSP防火墙实验学习
热门推荐
钟言的博客
11-04 1万+
本篇为安全防御——二、防火墙的基本概念以及配置,Web界面的配置,使用,详细内容包含了:防火墙接口以及模式配置 1、untrust区域 2、trust区域 3、DMZ区域 4、接口对演示 防火墙的策略 1、定义与原理 2、防火墙策略配置 2.1 安全策略工作流程 2.2 查询和创建会话3.实验策略配置 3.1 trust-to-untrust 3.2 trust-to-dmz 3.3 untrust-to-dmz 、防火墙的区域等等
问脉首创旁路云原生安全检测框架!
weixin_43742792的博客
09-27 1140
本次 v1.3.0 更新为问脉的里程碑版本!我们全新推出长亭首创的云原生安全检测框架 — — 旁路检测,首推零侵入探针,打破传统的容器安全产品必须在业务节点上安装探针的限制,采用 Agentless 方案进行部署,保证业务节点实现严格意义上的零侵入检测!同时,我们提升了镜像仓库的检测能力并再次降低运维成本,旨在给大家提供零入侵及高效的产品体验!
网络中新增一台防火墙设备,如何配置单臂旁挂和双臂旁挂部署到网络中?
衡水铁头哥的博客
12-07 1752
假设有这样一张网络,某企业有两个办公站点,均具备公网IP地址,两个站点之间建立了GRE隧道,使得两张办公网之间可以通过内网互相访问。现在出于安全考虑,需要在站点1增加一台防火墙设备,使得两个内网之间互放的流量均经过防火墙进行安全防护。为减小对业务的影响,防火墙设备采用旁挂在出口路由器的部署方式,配置引流实现互访流量经过防火墙设备。一般来讲,以旁挂方式部署防火墙设备有两种方式,一种是双臂旁挂,如下图...
防火墙的策略路由PBR
zljszn的博客
10-21 1725
让R1走ISP1的路径,R2走ISP2的路径。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值