- 博客(17)
- 收藏
- 关注
RSS订阅原创 防火墙web方式:通过静态ip接入互联网典型配置
配置安全策略:配置的有trust区域到untrust区域,防火墙上开启了dhcp服务器为主机分配地址要开启trust区域到防火墙local区域,local区域到trust区域。进入到防火墙后,点击网络,点击接口,进入到接口中,勾选1/0/0口,点击右侧编辑,按照图中将配置信息填上,点击应用,点击确定。目的地址不用填写,因为有很多,源地址转换方式选择动态IP,因为要转换的ip很多,地址类型选择easy ip,最后点击确定。点击策略,进入左侧安全策略,点击新建,点击新建安全策略,进行配置。
2025-05-19 10:56:46
483
原创 防火墙web:用web方式登录H3C防火墙(F1090效果好)
manage https outbound(从3号接口进入的数据报文,通过https协议来管理防火墙)在浏览器中输入https://192.168.137.2就可以进入到防火墙登录界面。host1是本机的虚拟网卡。
2025-05-19 10:54:52
757
原创 防火墙:源ip和目的ip黑名单典型配置
pc3:ip 192.168.10.3 掩码 255.255.255.0 网关 192.168.10.254。pc4:ip 192.168.10.4 掩码 255.255.255.0 网关 192.168.10.254。blacklist ip 5.5.5.5(禁掉5.5.5.5访问内网,老化时间默认是永久的)思路:过滤攻击者访问服务器的流量,禁止服务器访问攻击者。将服务器访问攻击者加入黑名单,延迟50分钟;F1060:配置黑名单。
2025-05-19 10:53:54
501
原创 防火墙:在安全域上的安全检测及防范典型配置
syn-flood detect ip 10.0.0.1 threshold 5000 action drop logging(检测ip地址是不是10.0.0.1,阈值超过5000,启动阻断,日志进行告警)action dnat ip-address 10.0.0.1 local-port 80(激活目的nat,转换成10.0.0.1,访问的是80端口)destination-ip host 1.1.1.10(当访问公网地址时,这个ip映射的是10.0.0.1)先配置基本网络,使内部网络能够访问互联网。
2025-05-06 10:55:58
1606
原创 防火墙透明直路部署组网配置实验
rule permit source any(匹配内部的所有流量,从R1出去时ip地址转换为1.1.1.1)ip address 1.1.1.1 24(公网地址,从运营商ISP那里获得的)nat outbound 2000(匹配到2000的出去的数据流进行nat转换)dns-list 8.8.8.8(配置dns服务器列表,名为8.8.8.8)F1090:默认接口是三层模式,将防火墙的0/0和0/1接口改为二层模式。3、更好的提供负载分担,提高网络的可靠性。R1的0/0口作为内部主机的网关。
2025-05-06 10:55:03
497
原创 防火墙:三层旁挂部署组网实验
流量分析:内网的流量访问外网的时候实现会将数据报送到出口路由R1上,R1会将数据包进行重定向,改变其下一跳,使下一跳地址变成防火墙地址,防火墙处理后再将数据包发送到R1上,由R1发送到外网。外网的流量访问内网的时候,会将数据包发送到公网地址为100.1.1.10端口号为21上,当R1收到的时候,会将它转给防火墙,防火墙处理后发送到R1,再由R1发送到内网。ip address 192.168.137.2 24(这是内部主机的网关地址)配置路由R1:int g0/0。R1左边连接的是企业内部网络。
2025-05-06 10:54:11
544
1
原创 防火墙:三层直路部署组网
内部的网络都是私网地址,要去访问互联网的话,要在防火墙的出口位置上做一个nat地址转换,把私网地址转换成公网地址再去访问。destination-ip -host 192.168.137.1(内部访问内部也可以不用去限制IP地址)rule permit source any(所有地址从防火墙出口出去时都可以做nat地址转换)int vlan-interface 100(创建上连的vlanif接口)service ftp(内部去访问ftp服务器的时候允许访问)
2025-05-06 10:53:04
1318
原创 防火墙:外部主机通过公网地址访问企业内部FTP服务实验
在我们的本机电脑上,点击FTP来启动FTP服务,并对其进行编辑,用户名是admin,密码是123456,然后点击黄色区域。在client上登录ftp服务器,输入刚才设置的用户名和密码,这时候就登陆到本机电脑上我们设置的ftp服务器上了。实验可以使client通过防火墙访问FTP服务器,上图防火墙左边是私网,右边是公网,也就是互联网区域。client路由器我们把它当作ftp的客户端,因为在路由器上有ftp的命令,可以登录ftp服务器。4、在防火墙上做端口映射,也就是nat地址转换。
2025-04-29 20:47:53
447
原创 防火墙:本地主机连接防火墙通过web方式登录防火墙实验
manage https inbound(开启https权限,因为是host主机访问防火墙所以是inbound方向)发现这个用户开启了http的服务,因为为我们的用户是通过https服务的方式访问,所以需要添加服务。使我们的主机用本地虚拟网卡连接防火墙,用本地虚拟网卡的目的就是可以用我们的本机电脑连接防火墙。就是用自己的电脑,连接HCL模拟器防火墙,然后在自己的浏览器中登录防火墙。这时候就登录进来了,输入用户admin,密码admin、修改新密码。在url里输入https和我们配置的防火墙的ip地址。
2025-04-29 20:44:21
453
原创 防火墙:安全策略使得OSPF邻接关系建立
发现两个防火墙建不了,因为要放行一个策略,使local区域可以访问untrust区域,untrust区域可以访问local区域。因为没有放行trust区域到untrust区域,同样也要放行untrust区域到trust区域,因为要回包。在两台防火墙之间做OSPF路由协议实现全网互通,红色区域是untrust,紫色和绿色区域是trust。如果不配置router-id会自动从防火墙上的两个接口上选择一个ip做router-id。display ospf peer(查看是否能建立邻居关系)
2025-04-29 20:42:28
1775
原创 防火墙:配置DHCP服务器自动为申请ip地址的主机分配地址
当DHCP客户端发起请求时,如果它所在的子网没有直接连接到DHCP服务器,DHCP中继会接收这个广播请求并将其转换为单播消息,转发给远端的DHCP服务器。:DHCP中继的主要作用是在不同网段之间转发DHCP请求和响应,使得DHCP客户端能够跨越子网与DHCP服务器进行通信。:DHCP服务器监听来自客户端或中继的请求,并根据预设的策略分配IP地址和其他网络参数,然后发送响应给客户端或中继。dhcp select server(配置dhcp基于服务器的方式,也可以不写因为是默认的)
2025-04-29 20:41:25
612
原创 防火墙:安全区域和不安全区域设置
4、在防火墙上做nat地址转换,因为私网是不能到公网上去路由的,把源地址为私网的地址转换成公网接口的地址,这叫做easy ip的方式(通过转换成100.0.0.1以后再去访问外网)不行,虽然是同一网段,但是防火墙并没有对内网的主机实行trust到untrust区域的放行,安全策略没有配置,但是也可以通过设置ping权限来使其通。如果防火墙连接的还有内部的服务器,比如web服务器、ftp服务器,要被外部的互联网用户去访问,通常这个服务器我们会把它设置为DMZ区域。授信区域和非授信区域。
2025-04-29 20:39:05
981
原创 交换机不同vlan间的通信
port trunk permit vlan 10 20(允许vlan10、vlan20通过)combo enable copper(copper是电口类型,fiber是光口类型)注:不同网段之间通信需要配置网关,以网管来进行转发不同网段之间的数据。pc3可以ping通pc5,但是不可以ping通pc4。pc3可以ping通pc7,pc5可以ping通pc7。网关:192.168.10.254。网关:192.168.20.254。网关:192.168.10.254。测试:pc3可以ping通pc4了。
2025-04-29 20:38:11
469
原创 以太网接口常见配置
vlan-type dot1q vid 10(在接口上启用Dot1q终结功能,使得该接口能够识别和处理带有802.1Q标签的数据帧。默认的情况下是auto自动的,full是全双工,表示既可以收数据包也可以发送数据包,half是半双工,在同一个时间内只能接受或者发送。为防止流量过多造成数据包丢弃,进行了流量控制配置的设备如果检测到对端发来的流量过多时,就会向对端发送请求,对端就会暂停发送。combo是光电复用接口,是一个逻辑接口,fiber是光口的意思,所以默认情况下是光口。
2025-04-29 20:35:43
558
原创 mac-address静态地址配置实验、黑洞mac地址
所有主机都属一同一个网段,同网段在进行通信的时候是二层网络通信,都可以相互ping通,pc2pingpc3的时候2需要去交换机上查找mac地址表,根据mac地址表项进行转发。pc2要访问pc3首先会封装pc3的mac地址,要封装就需要向交换机发送一个ARP的广播帧,来寻找pc3的mac地址(波阔端口),当交换机收到广播帧以后,会在其他端口上进行泛洪,pc3收到广播帧以后会对pc2进行回复告诉mac地址。mac地址有三种类型:一种是动态学习到的,一种是认为手动配置的静态mac地址表项,一种是黑洞mac地址。
2025-04-29 20:33:17
852
原创 静态路由、缺省路由配置
不可以,因为与pc1直连的SW1中没有这条静态路由,交换机SW1不知道下一跳是谁该往哪里送(直连路由连上配置了端口地址就能通是因为相互连线的网段是相同网段)因为pc2回包的时候每个路由已经配置了去往10.0网段的静态路由,所以就不用给R1、R2配置回包的静态路由了。创建两个vlan并把交换机的两个接口设置为access模式并加入vlan当中。网关 192.168.10.254(交换机需要创建三层接口来当作网关)因为R3和pc2是直连(同网段)所以不需要配置到pc2的静态路由。上图交换机2作为透传。
2025-04-29 20:31:26
520
原创 静态路由、浮动路由
R1:ip route-static 10.0.3.0 24 192.168.13.2(这种方式适用于需要通过指定的下一跳路由器进行转发的场景,通常用于非直连网络或需要经过多个跳数才能到达目标网络的情况。ip route-static 10.0.3.0 24 192.168.12.2 preference 70(设置备用路由也称为浮动路由)掩码 255.255.255.0。掩码 255.255.255.0。掩码 255.255.255.0。网关 10.0.1.254。网关 10.0.2.254。
2025-04-29 20:27:15
359
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人