防火墙:安全策略使得OSPF邻接关系建立

原创 于 2025-04-29 20:42:28 发布 · 1.6k 阅读 · 31 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #网络 #linux #运维 #智能路由器 #tcp/ip


在两台防火墙之间做OSPF路由协议实现全网互通,红色区域是untrust,紫色和绿色区域是trust
进入防火墙:
F10901:int g1/0/0
ip address 192.168.10.254 24
undo info-center enable
security-zone name Trust
import int GigbitEthernet 1/0/0
quit
int g1/0/1
ip address 10.1.1.1 24
quit
security-zone untrust
import int GigbitEthernet 1/0/1
quit
ospf 1 router-id 192.168.10.254
area 1
network 192.168.10.0 0.0.0.255
quit
area 0
network 10.1.1.1 0.0.0.0
quit
quit

F10902:int GigabitEthernet 1/0/1
ip address 10.1.1.2 24
quit
security-zone name untrust
import int Gigabitethernet 1/0/1
quit
int g1/0/0
ip address 192.168.20.154 24
quit
security-zone name trust
import int GigabitEthernet 1/0/0
quit
ospf 1
如果不配置router-id会自动从防火墙上的两个接口上选择一个ip做router-id
area 0
network 10.1.1.2 0.0.0.0
quit
area 2
network 192.168.20.0 0.0.0.255
quit
quit
display ospf peer(查看是否能建立邻居关系)
发现两个防火墙建不了,因为要放行一个策略,使local区域可以访问untrust区域,untrust区域可以访问local区域

F10901:security-policy ip
rule name LtoU
source-zone local
destination-zone untrust
service ospf
action pass
quit
rule name UtoL
source-zone untrust
destination-zone local
service ospf
action pass
quit
quit
F10902:security-policy ip
rule name LtoU
security-zone local
destination-zone untrust
service ospf
action pass
quit
rule name UtoL
source-zone untrust
destination-zone local
aervice ospf
action pass
quit
quit

这样就建立了ospf邻居关系
查询ospf的routing:

此时pc5不能访问pc7
因为没有放行trust区域到untrust区域,同样也要放行untrust区域到trust区域,因为要回包
F10901:security-policy ip
rule name TtoU
source-zone trust
destination-zone untrust
source-ip-subnet 192.168.10.0 24
destination-ip-subnet 192.168.20.0 24
action pass
quit
rule name UtoT
source-zone untrust
destination-zone trust
source-ip-subnet 192.168.20.0 24
destination-ip subnet 192.168.10.0 24
action pass
F10902:security-policy ip
rule name TtoU
source-zone trust
destination-zone untrust
source-ip-subnet 192.168.20.0 24
destination-ip-subnet 192.168.10.0 24
action pass
quit
rule name UtoT
source-zone untrust
destination-zone trust
source-ip-subnet 192.168.10.0 24
destination-ip-subnet 192.168.20.0 24
action pass
quit
pc5可以ping通pc7了,pc7也可以回访

摇 曳
关注
防火墙_动态路由-OSPF
yuxue_cn的博客
05-26 1334
防火墙_动态路由-OSPF 一、网络拓扑图 二、需求描述 USG-A与USG-B之间通过配置动态路由OSPF使全网进行互通。 USG-A与USG-B之间OSPF使用MD5进行加密,密钥使用venustech。 三、实验步骤: 1.配置USG-A。 在USG-A上,将接口eth1、eth2配置为路由模式,并配置所需的IP地址 配置一条全通安全策略 进入OSPF配置界面,将接口eth1、eth2认证方式配置为MD5,密钥设为venustech 配置OSPF 2.配置防火墙USG-B。 在USG-
防火墙上设置ospf路由linux,华为防火墙路由器之间运行OSPF协议配置案例(可跟做)...
weixin_36285392的博客
05-15 2226
防火墙的动态路由 防火墙和一台路由器之间配置OSPF过程如下:FW1:ospf 1 router-id 10.10.10.10 ----------RID不能相同area 0.0.0.0network 202.100.1.0 0.0.0.255 ---------采用通配符方法network 10.10.10.10 0.0.0.0放行OSPF安全策略 默认情况防火墙只放行组播的报文,...
防火墙允许ospf协议、icmp协议通过案例
weixin_62693307的博客
06-27 3112
流量的安全策略(这里是必须要设置的,其它的协议也是要设的,如。开启所有图形化界面(其中包括了。开启所有图形化界面(其中包括了。如果一个防护墙在两个。区域的中间,配置可以。这种功能和其它功能)这种功能和其它功能)
华为防火墙OSPF配置实验
qq_45049184的博客
11-01 9717
1.SW1、SW2、OUT和FW之间通过OSPF实现路由互通2.OUT路由器上配置easy ip,使SW1和SW2的loopbach接口可以访问外网注:本实验是基于华为USG5500设备实验拓扑图如下。
ensp防火墙和三层设备ospf的配置
m0_65096687的博客
10-07 1892
service OSPF 调用OSPF对象。防火墙easy ip 技术未掌握。在防火墙的接口上面需要开启。第一步: 定义OSPF服务。第二步:配置安全策略。然后建立full状态。
数据通信基础:路由基础、OSPF协议与eNSP配置
最新发布
2301_79989103的博客
02-02 2438
目录防火墙防火墙工作过程:路由基础:路由类型:1.静态路由:手动添加 维护巨麻烦 网络变化后手动修改2.直连路由(物理层给电、有协议层IP地址)3.动态路由(路由协议自动发现添加IP路由表)1.工作区域分类AS自治系统:对路由器服务范围划分2.按照算法/工作机制分类OSPF(Open Shortest Path First)开放最短路径优先路由协议五大报文七大状态OSPF术语DR/BDR网络类型ospf区域:OSPF多区域部署规则:ospf认证OSPF配置步骤:eNSP配置:1.FW收到流量检测会话表,如果
IPv6下的OSPF部署:优化策略与实践指南
随后,文章重点探讨了OSPFv3的配置步骤、优化策略、性能监控与故障排除,提供了实用的高级功能实现方法,并强调了网络安全加固与管理的重要性。最后,通过实际案例研究,展示了OSPFv3在不同网络环境中的部署情况,并...
华为防火墙技术漫谈(第二章)——安全策略
m0_53331217的博客
01-27 773
华为防火墙技术漫谈(第二章)——安全策略 文章目录华为防火墙技术漫谈(第二章)——安全策略一、笔记1、ospf邻接关系建立过程2、OSPF网络类型3、OSPF网络类型与报文类型4、安全策略配置遵循“先精细,后粗犷”的原则5、华为防火墙安全策略发展三阶段:基于ACL的包过滤阶段(acl、rule)、融合UTM的安全策略阶段(Service-set、policy)、一体化安全策略阶段(security-policy)6、融合UTM的安全策略由条件、动作和UTM策略组成,条件中出现了服务集(Service-set
华为ensp 防火墙配置ospf
01-05
### 华为ENSP防火墙配置OSPF协议教程 #### OSPF基础概念 OSPF(Open Shortest Path First),即开放最短路径优先,是一种无类别的链路状态路由协议。该协议属于公有标准,其数据包直接封装于IP头部之中,使用的协议...
探索OSPF恶意路由注入攻击:原理与实战模拟
因此,网络安全意识的提升和更全面的安全策略,包括但不限于防火墙规则、认证授权、以及定期的安全审计,都是保障网络免受OSPF攻击的重要环节。同时,定期更新和测试网络设备及软件也是预防此类攻击的有效手段。
神州数码防火墙配置
weixin_54073223的博客
12-03 3810
【代码】神州数码防火墙配置。
OSPF协议的配置(以华为eNSP为例)
m0_54803732的博客
07-23 2207
OSPF协议的配置(以华为eNSP为例)
DCN(DCFW-1800)防火墙ospf简单配置
LYHyyds1013的博客
05-29 6513
拓扑图: Sw-1 Sw-1(config)#vlan 4 Sw-1(config-vlan4)#switchport interface ethernet 1/0/1 Sw-1(config)#vlan 5 Sw-1(config-vlan5)#switchport interface ethernet 1/0/2 Sw-1(config)#interface vlan 4 Sw-1(config-if-vlan4)#ip address 10.1.10.2 255.2...
华为设备为企业配置OSPF防火墙上的nat,nat server,ip-link,hrp(2)
wz18819790551的博客
10-01 1761
ospf ip-link 防火墙 nat, nat server
基于OSPF路由协议的防火墙(基本功能)
qq_44751470的博客
06-18 4215
示例图 一、实验目的 1.配置基于OSPF路由协议的防火墙 二、注意事项 1.由于使用的是OSPF路由协议,防火墙本身要处理、响应报文,所以要开启 Local区域到其他接口加入的相应区域的安全策略,也要开启其他接口加入 的相关区域到Local的安全策略 三、防火墙的安全区域 1.Trust 区域,该区域内网络的受信任程度高,通常用来定义内部用户所在的网络 2.DMZ 区域,该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络 3.Untrust 区域,该区域代表的是不受信任的网络,通常用
安全策略遇上OSPF
weixin_34148508的博客
11-21 683
安全策略初体验一篇中,强叔提到,路由协议一般是不受安全策略控制的,防火墙直接允许路由协议的报文通过。强叔还提到,这和具体产品实现有关,不同型号的产品会有差异。大家看完帖子后感觉有点语焉不详,纷纷向强叔咨询这个问题。今天,强叔就使用华为防火墙USG9000(软件版本为V300R001)来实际验证一把,看一看当安全策略遇上OSPF路由协议时,会发生什么事情。需要说明一点,本篇验...
防火墙上设置ospf路由linux,51CTO博客-专业IT技术博客创作平台-技术成就梦想
weixin_42604188的博客
05-15 729
R2和R3配置OSPF宣告指定的OSPF区域R3和R4配置OSPF宣告的指定的区域R4和PC1、DMZ区域的服务器通信使用默认路由ASA访问访问OSPF内部网络配置默认路由R4配置路由重分发全网互通DMZ服务器模拟web和telnet将服务器发布到Outside指定的IP地址上,使用PC访问测试实验步骤:**R1进入0/0接口配置IP地址192.168.1.1R1(config)#in f0/0R...
华为防火墙技术漫谈_针对OSPF协议…
荆盼的博客
08-18 4462
FW配置(USG600v) firewall zone untrust  set priority 5  add interface GigabitEthernet1/0/0   ospf 1  area 0.0.0.1   network 192.168.0.0 0.0.0.255     R1配置 ospf 1   area 0.0.0.1    network 19...
出口路由或防火墙上配置ospf和内网打通后配全网ospf默认路由
IT技术
05-08 2947
1、关于default-route-advertise命令 Ospf是可以通过import-route命令引入外部路由的,但很少有人会注意到,在默认情况下,ospf是不会引入来自外部路由的缺省路由的。但ospf有一个变通的方法,就是通过default-route-advertise命令,将自己作为默认路由的下一跳宣告到ospf区域内,这样,ospf里的其他路由器就会将缺省流量发送给自己,然后本路由器再根据其他协议的路由表进行转发。 2、关于always选项如果没有配置always,则default-rout
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值