防火墙作业

原创 于 2025-02-04 04:26:52 发布 · 689 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

拓扑

需求:
1.vlan2属于办公区,vlan3属于生产区

交换机上创建vlan和分配接口acess和trunk
2.办公区pc在工作日时间(星期1-5,早8-晚6)可以正常访问oa区其他时间不允许

创建地址集bg和oa

时间段:work(星期1-5,早8-晚6)

源区域:trust

目的区域:dmz
源地址:bg

目的地址:oa

时间段:work

动作:permit(允许)
3.办公区pc可以任意时刻访问web区

创建地址集:web

源区域:trust

目的区域:dmz
源地址:bg

目的地址:web

动作:permit(允许)


4.生产区pc可以任意时刻访问oa,但是不能访问web(就只访问oa即可)

创建地址集:sc

源区域:trust

目的区域:dmz
源地址:sc

目的地址:oa

动作:permit(允许)

5。特例,生产区pc可以在每周一早10-11访问web,用来更新企业最新产品信息

创建时间段:update(每周一早10-11)

源区域:trust

目的区域:dmz
源地址:sc

目的地址:web

时间段:update

动作:permit(允许)

pc配置ip

pc1:

pc2:

pc3:

pc4:

pc5:

Sw2配置:

配置vlan
[sw2]vlan 2

[sw2]vlan 3

access和trunk接口配置
[sw2]interface GigabitEthernet 0/0/1

[sw2-GigabitEthernet0/0/1]port link-type trunk

[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan all

[sw2-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2

[sw2-GigabitEthernet0/0/2]port link-type access

[sw2-GigabitEthernet0/0/2]port default vlan 2

[sw2-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3

[sw2-GigabitEthernet0/0/3]port link-type access

[sw2-GigabitEthernet0/0/3]port default vlan 3

[sw2-GigabitEthernet0/0/3]interface GigabitEthernet 0/0/4

[sw2-GigabitEthernet0/0/4]port link-type access

[sw2-GigabitEthernet0/0/4]port default vlan 3

Fw:

Web:
接口配置:

1/0/0:

1/0/1.1:

1/0/1.2:

开启1/0/1.1和1/0/1.2的ping功能(或者在1/0/1接口上配置IP后在删除)
[FW]interface GigabitEthernet 1/0/1.1

[FW-GigabitEthernet1/0/1.1]service-manage ping permit

[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2

[FW-GigabitEthernet1/0/1.2]service-manage ping permit

安全策略:

需求:

1.vlan2属于办公区,vlan3属于生产区

2.办公区pc在工作日时间(星期1-5,早8-晚6)可以正常访问oa区其他时间不允许:

Bg区:

Work时间段:

测试:

3.办公区pc可以任意时刻访问web区
Web地址集:

策略:

测试:

4.生产区pc可以任意时刻访问oa,但是不能访问web(直接访问oa)
Sc地址集:

策略:

测试:

5.特例,生产区pc可以在每周一早10-11访问web,用来更新企业最新产品信息
Update时间段:

策略:

测试:

策略web界面:

命令行:
接口配置;
1/0/0:

[FW]interface GigabitEthernet 1/0/0

[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24

1/0/1.1:

[FW]interface GigabitEthernet 1/0/1.1

[FW-GigabitEthernet1/0/1.1]ip address 192.168.1.126 25

[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 2

1/0/1.2:

[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2

[FW-GigabitEthernet1/0/1.2]ip address 192.168.1.254 25

[FW-GigabitEthernet1/0/1.2]vlan-type dot1q 3

将接口划入对于区域
Dmz区域:

[FW]firewall zone dmz

[FW-zone-dmz]add interface GigabitEthernet 1/0/0

Trust区域:

[FW]firewall zone trust

[FW-zone-trust]add interface GigabitEthernet 1/0/1.1

[FW-zone-trust]add interface GigabitEthernet 1/0/1.2

查看区域命令(看区域对应接口):
[FW]display zone

开启1/0/1.1和1/0/1.2的ping功能(或者在1/0/1接口上配置IP后在删除)
[FW]interface GigabitEthernet 1/0/1.1

[FW-GigabitEthernet1/0/1.1]service-manage ping permit

[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2

[FW-GigabitEthernet1/0/1.2]service-manage ping permit

安全策略:
需求:

1.vlan2属于办公区,vlan3属于生产区
2.办公区pc在工作日时间(星期1-5,早8-晚6)可以正常访问oa区其他时间不允许
Bg地址集:
[FW]ip address-set bg -----创建地址集--名字

[FW-object-address-set-bg]address 192.168.1.0 mask 25----地址ip或网段

Oa:
[FW]ip address-set oa

[FW-object-address-set-oa]address 10.0.0.1 mask 32

查看所以地址集:
[FW]display ip address-set all

时间段:
Work:
[FW]time-range work------创建时间段

[FW-time-range-work]period-range 08:00:00 to 18:00:00 working-day ------设置时间段的时间

( working-day 星期1-5)

安全策略:
[FW]security-policy----进入策略

[FW-policy-security]rule name polic1-----策略名字

[FW-policy-security-rule-polic1]description bg_to_oa----策略描述

[FW-policy-security-rule-polic1]source-zone trust--源区域 

[FW-policy-security-rule-polic1]destination-zone dmz --目的区域

[FW-policy-security-rule-polic1]source-address address-set bg---源地址

[FW-policy-security-rule-polic1]destination-address address-set oa --目的地址

[FW-policy-security-rule-polic1]time-range work--时间段

[FW-policy-security-rule-polic1]action permit -----策略动作--允许

3.办公区pc可以任意时刻访问web区
Web地址集:
[FW]ip address-set web

[FW-object-address-set-web]address 10.0.0.2 mask 32

策略:
[FW]security-policy

[FW-policy-security]rule name polic2

[FW-policy-security-rule-polic2]description bg_to_web

[FW-policy-security-rule-polic2]source-zone trust

[FW-policy-security-rule-polic2]destination-zone dmz

[FW-policy-security-rule-polic2]source-address address-set bg

[FW-policy-security-rule-polic2]destination-address address-set web

[FW-policy-security-rule-polic2]action permit

4.生产区pc可以任意时刻访问oa,但是不能访问web
Sc地址集:
[FW]ip address-set sc

[FW-object-address-set-sc]address 192.168.1.128 mask 25

策略:
[FW]security-policy

[FW-policy-security]rule name polic3

[FW-policy-security-rule-polic3]description sc_to_oa

[FW-policy-security-rule-polic3]source-zone trust

[FW-policy-security-rule-polic3]destination-zone dmz

[FW-policy-security-rule-polic3]source-address address-set sc(如果没写地址集sc可以直接写192.168.1.128 25)

[FW-policy-security-rule-polic3]destination-address address-set oa(如果没写oa直接写

10.0.0.1 32)

[FW-policy-security-rule-polic3]action permit

5。特例,生产区pc可以在每周一早10-11访问web,用来更新企业最新产品信息
Update时间段:
[FW]time-range update

[FW-time-range-update]period-range 10:00:00 to 11:00:00 Mon

策略:
[FW]security-policy

[FW-policy-security]rule name polic4

[FW-policy-security-rule-polic4]description sc_to_web

[FW-policy-security-rule-polic4]source-zone trust

[FW-policy-security-rule-polic4]destination-zone dmz

[FW-policy-security-rule-polic4]source-address address-set sc

[FW-policy-security-rule-polic4]destination-address address-set web

[FW-policy-security-rule-polic4]time-range update

[FW-policy-security-rule-polic4]action permit

四,会话表和server  map表
会话表
[FW]display firewall session table 

server map表

[FW]display firewall server-map 

防火墙作业1
hhj123k的博客
01-20 555
FW-time-range-work]period-range08:00:00to18:00:00working-day------设置时间段的时间。[FW-policy-security-rule-polic1]source-addressaddress-setbg---源地址。[FW-policy-security-rule-polic1]actionpermit-----策略动作--允许。[FW]ipaddress-setbg-----创建地址集--名字。
华为防火墙 DMZ 设置
一直被模仿,从未被超越
11-21 4864
例如FTP服务器、E-Mail服务器及网站服务器等允许外部用户访问这些服务器,但不可能接触到存放在内网中的信息,就算黑客入侵DMZ服务器,也不会影响到公司内部网络安全,不允许任何外部网络的直接访问,实现内外网分离,在企业的信息安全防护加了一道屏障。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个位于内部网络与外部网络之间的缓冲区,在这个网络区域内可以放置一些公开的服务器资源。DMZ 是英文"Demilitarized Zone"的缩写,中文名称为"隔离区"
2023-03-24 网工进阶(四十)华为防火墙技术---概述、基本概念(安全区域、安全策略、会话表)、ASPF、虚拟系统
x629242的博客
04-02 7322
在通信领域,防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵,通常被应用于网络边界,例如企业互联网出口、企业内部业务边界、数据中心边界等。防火墙根据设备形态分为,框式防火墙、盒式防火墙和软件防火墙,支持在云上云下灵活部署。防火墙的转发流程比路由器复杂。以框式设备为例,硬件上除了接口、LPU(Line Processing Unit)、交换网板等外,防火墙还特有,用于实现防火墙的安全功能。
华为eNSP防火墙基本配置命令
热门推荐
YT的博客
01-11 5万+
VRP命令行 VRP系统命令采用分级保护方式,命令被划分为参观级、监控级、配置级、管理级4个级别。 参观级:网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(包括:Telnet客户端、SSH、Rlogin)等,该级别命令不允许进行配置文件保存的操作。 监控级:用于系统维护、业务故障诊断等,包括display、debugging命令,该级别命令不允许进行配置文件保存的操...
华为防火墙地址对象地址组、服务对象服务组
HCIE 数通、RHCE、HCIP 欧拉、MySQL OCP 持证工程师。
04-17 3201
在地址对象中添加MAC地址时,其格式可以为XXXX-XXXX-XXXX、XX:XX:XX:XX:XX:XX或XX-XX-XX-XX-XX-XX(其中X是1位十六进制数)。地址对象是地址的集合,可以包括一个或多个IPv4地址、IPv6地址、MAC地址。跟地址对象不同的是,地址组中不仅可以添加各种地址,也可以添加地址对象、地址组。向地址组中添加地址的操作,跟向地址对象中添加地址的方法是一样的。source-address address-set R&D_Dept //以地址组方式指定源地址。
防火墙期末设计大作业(ensp)
08-09
企业网可通过IPsec VPN在公网上为三个甚至三个异地私有网络提供安全通信通道,通过加密通道保证连接的安全性,此时内部的服务器仅对认可的用户开放服务,大大的提高了网络的扩展性、便捷性与安全性。...
计算机网络期末大作业:以防火墙作为出口设备的小型企业园区网络架构设计与实现
m0_74169440的博客
01-18 2729
计算机网络毕业设计(期末大作业):以防火墙作为出口设备的小型企业园区网络架构设计与实现
【实战教程】掌握防火墙双机热备,确保业务不间断!
didiplus
01-25 2020
网络安全的领域中,保障连续性和可靠性至关重要。而防火墙双机热备技术,宛如网络的安全双保险,确保在一台防火墙发生故障或停机时,另一台能够即时接管,实现无缝切换,保持网络的不间断运行。这种高可用性的设计为网络架构提供了额外的安全层,应对潜在风险,确保网络的稳定与安全。
ensp防火墙综合实验作业+实验报告
m0_73996670的博客
07-12 996
实验目的要求及拓扑图:我的拓扑:更改防火墙和交换机: 防火墙配置子接口:防火墙策略建立:nat策略可以上网的关键:用户和组的创建最终
12-SGISLOP-SA14-10防火墙等级保护测评作业指导书三级.pdf
07-11
12-SGISLOP-SA14-10防火墙等级保护测评作业指导书三级.pdf12-SGISLOP-SA14-10防火墙等级保护测评作业指导书三级.pdf12-SGISLOP-SA14-10防火墙等级保护测评作业指导书三级.pdf12-SGISLOP-SA14-10防火墙等级保护测评...
网络技术联盟站】网络安全 | 瑞哥带你全方位解读防火墙技术!
网络技术联盟站
09-30 3075
今天这篇文章是在高铁上写完的,蛮有意思的: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FGLEbBex-1601471854670)(https://cdn.jsdelivr.net/gh/chjswr/mdnicePicture/2020-9-29/1601383610720-image.png)] 防火墙概述 1.防火墙概述 简单地说,防火墙的主要作用是划分网络安全边界,实现关键系统与外部环境的安全隔离,保护内部网络免受外部攻击。与路由器相比防火墙提供了更丰富的安全
华为防火墙easy-ip配置
qq_35511540的博客
04-07 9002
ip address-set 1// 名称 type object //定义转换的ip地址范围 address 0 10.1.0.0 mask 16 nat-policy rule name nat source-zone trust egress-interface GigabitEthernet1/0/0 //使用本接口的ip进行转换,也就是外网口 source-address add...
set ip address
积累与备忘
03-19 780
ifconfig 查看网卡名称 cd /etc/sysconfig/network-scripts vim ifcfg-ens32 BOOTPROTO="static" ONBOOT="yes" IPADDR=192.168.10.44 GATEWAY=192.168.10.1 NETMASK=255.255.255.0 DNS=211.168.230.100
华为防火墙地址组和对象有什么区别?
lvshiliang123的博客
03-06 1271
选择type时,group和object有什么区别呢?总结:也就是说group的范围比object大。
usg防火墙安全策略配置
u010674101的专栏
05-30 2497
总体来说,该规则可以实现对特定源地址和目标地址的访问限制,避免未授权的用户或主机访问生产环境中的 Pulsar 系统,保障系统的安全性和稳定性。需要注意的是,该规则仅作为安全策略中的一部分,应该结合其他规则和安全措施进行综合考虑和管理。: 表示目标地址为域名集合“生产pulsar组”,即限制访问生产 Pulsar 系统中使用的一组域名。:表示对该规则进行了简要描述,说明该规则的作用是限制办公网络访问生产环境的 Pulsar 系统。:表示本规则匹配的数据流来自于名为“trust”的安全区域。
用命令设置 ip 地址
yuanfei0501的博客
10-27 6585
一. 用命令设置 ip 地址 用管理员的身份运行cmd窗口 输入netsh, 之后再输入interface C:\WINDOWS\system32>netsh netsh>interface 3. 输入IP netsh interface>ip 4. 设置 ip 子网掩码 默认网关 # set address "以太网" static ip地址 子网掩码 默认网关 set address "以太网" static 192.168.1.101 255.255.255.0 192
华为防火墙配置-基于IP地址和端口的安全策略
专研计算机网络,数据通信,网络安全,系统集成
10-27 2711
通过配置安全策略,实现基于IP地址、时间段以及服务(端口)的访问控制。
华为USG5500和USG6000的一些配置命令
不光要学,知识要能说出口
08-20 4万+
一、默认配置 管理接口:g0/0/0,而且默认开启了dhcp sever ip地址:192.168.0.1/24 用户名:admin 密码:Admin@123(注意大小写) 二、端口和区域配置 进入端口视图 interface GigabitEthernet 0/0/1 配置ip地址 ip address 192.168.1.1 255.255.255.0 开启端口
Linux下的网络配置
qq_43943846的博客
01-17 305
1.什么是IP ASSRESS internet protocol ADDRESS ##网络进程地址 ipv4 internet version 4 ip是由32个01组成 11111110.11111110.11111110.11111110 =254.254.254.254 2.子网掩码 用来划分网络区域 子网掩码非0的为对应的ip上的数字表示这个ip的网络为位 网络位表示网络区域 主机位表...
ensp防火墙期末大作业
最新发布
12-29
### ENSP防火墙配置实验报告模板 #### 一、实验目的 本实验旨在通过ENSP平台搭建并配置华为USG系列防火墙,掌握基本的安全策略设置方法以及网络流量控制技术。 #### 二、实验环境准备 - 使用ENSP软件构建如下拓扑...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值