防火墙作业

于 2025-02-04 04:26:52 发布
阅读量646 收藏 10
点赞数 23
CC 4.0 BY-SA版权
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CJHT0/article/details/145435623

拓扑

需求:
1.vlan2属于办公区,vlan3属于生产区

交换机上创建vlan和分配接口acess和trunk
2.办公区pc在工作日时间(星期1-5,早8-晚6)可以正常访问oa区其他时间不允许

创建地址集bg和oa

时间段:work(星期1-5,早8-晚6)

源区域:trust

目的区域:dmz
源地址:bg

目的地址:oa

时间段:work

动作:permit(允许)
3.办公区pc可以任意时刻访问web区

创建地址集:web

源区域:trust

目的区域:dmz
源地址:bg

目的地址:web

动作:permit(允许)


4.生产区pc可以任意时刻访问oa,但是不能访问web(就只访问oa即可)

创建地址集:sc

源区域:trust

目的区域:dmz
源地址:sc

目的地址:oa

动作:permit(允许)

5。特例,生产区pc可以在每周一早10-11访问web,用来更新企业最新产品信息

创建时间段:update(每周一早10-11)

源区域:trust

目的区域:dmz
源地址:sc

目的地址:web

时间段:update

动作:permit(允许)

pc配置ip

pc1:

pc2:

pc3:

pc4:

pc5:

Sw2配置:

配置vlan
[sw2]vlan 2

[sw2]vlan 3

access和trunk接口配置
[sw2]interface GigabitEthernet 0/0/1

[sw2-GigabitEthernet0/0/1]port link-type trunk

[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan all

[sw2-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2

[sw2-GigabitEthernet0/0/2]port link-type access

[sw2-GigabitEthernet0/0/2]port default vlan 2

[sw2-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3

[sw2-GigabitEthernet0/0/3]port link-type access

[sw2-GigabitEthernet0/0/3]port default vlan 3

[sw2-GigabitEthernet0/0/3]interface GigabitEthernet 0/0/4

[sw2-GigabitEthernet0/0/4]port link-type access

[sw2-GigabitEthernet0/0/4]port default vlan 3

Fw:

Web:
接口配置:

1/0/0:

1/0/1.1:

1/0/1.2:

开启1/0/1.1和1/0/1.2的ping功能(或者在1/0/1接口上配置IP后在删除)
[FW]interface GigabitEthernet 1/0/1.1

[FW-GigabitEthernet1/0/1.1]service-manage ping permit

[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2

[FW-GigabitEthernet1/0/1.2]service-manage ping permit

安全策略:

需求:

1.vlan2属于办公区,vlan3属于生产区

2.办公区pc在工作日时间(星期1-5,早8-晚6)可以正常访问oa区其他时间不允许:

Bg区:

Work时间段:

测试:

3.办公区pc可以任意时刻访问web区
Web地址集:

策略:

测试:

4.生产区pc可以任意时刻访问oa,但是不能访问web(直接访问oa)
Sc地址集:

策略:

测试:

5.特例,生产区pc可以在每周一早10-11访问web,用来更新企业最新产品信息
Update时间段:

策略:

测试:

策略web界面:

命令行:
接口配置;
1/0/0:

[FW]interface GigabitEthernet 1/0/0

[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24

1/0/1.1:

[FW]interface GigabitEthernet 1/0/1.1

[FW-GigabitEthernet1/0/1.1]ip address 192.168.1.126 25

[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 2

1/0/1.2:

[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2

[FW-GigabitEthernet1/0/1.2]ip address 192.168.1.254 25

[FW-GigabitEthernet1/0/1.2]vlan-type dot1q 3

将接口划入对于区域
Dmz区域:

[FW]firewall zone dmz

[FW-zone-dmz]add interface GigabitEthernet 1/0/0

Trust区域:

[FW]firewall zone trust

[FW-zone-trust]add interface GigabitEthernet 1/0/1.1

[FW-zone-trust]add interface GigabitEthernet 1/0/1.2

查看区域命令(看区域对应接口):
[FW]display zone

开启1/0/1.1和1/0/1.2的ping功能(或者在1/0/1接口上配置IP后在删除)
[FW]interface GigabitEthernet 1/0/1.1

[FW-GigabitEthernet1/0/1.1]service-manage ping permit

[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2

[FW-GigabitEthernet1/0/1.2]service-manage ping permit

安全策略:
需求:

1.vlan2属于办公区,vlan3属于生产区
2.办公区pc在工作日时间(星期1-5,早8-晚6)可以正常访问oa区其他时间不允许
Bg地址集:
[FW]ip address-set bg -----创建地址集--名字

[FW-object-address-set-bg]address 192.168.1.0 mask 25----地址ip或网段

Oa:
[FW]ip address-set oa

[FW-object-address-set-oa]address 10.0.0.1 mask 32

查看所以地址集:
[FW]display ip address-set all

时间段:
Work:
[FW]time-range work------创建时间段

[FW-time-range-work]period-range 08:00:00 to 18:00:00 working-day ------设置时间段的时间

( working-day 星期1-5)

安全策略:
[FW]security-policy----进入策略

[FW-policy-security]rule name polic1-----策略名字

[FW-policy-security-rule-polic1]description bg_to_oa----策略描述

[FW-policy-security-rule-polic1]source-zone trust--源区域 

[FW-policy-security-rule-polic1]destination-zone dmz --目的区域

[FW-policy-security-rule-polic1]source-address address-set bg---源地址

[FW-policy-security-rule-polic1]destination-address address-set oa --目的地址

[FW-policy-security-rule-polic1]time-range work--时间段

[FW-policy-security-rule-polic1]action permit -----策略动作--允许

3.办公区pc可以任意时刻访问web区
Web地址集:
[FW]ip address-set web

[FW-object-address-set-web]address 10.0.0.2 mask 32

策略:
[FW]security-policy

[FW-policy-security]rule name polic2

[FW-policy-security-rule-polic2]description bg_to_web

[FW-policy-security-rule-polic2]source-zone trust

[FW-policy-security-rule-polic2]destination-zone dmz

[FW-policy-security-rule-polic2]source-address address-set bg

[FW-policy-security-rule-polic2]destination-address address-set web

[FW-policy-security-rule-polic2]action permit

4.生产区pc可以任意时刻访问oa,但是不能访问web
Sc地址集:
[FW]ip address-set sc

[FW-object-address-set-sc]address 192.168.1.128 mask 25

策略:
[FW]security-policy

[FW-policy-security]rule name polic3

[FW-policy-security-rule-polic3]description sc_to_oa

[FW-policy-security-rule-polic3]source-zone trust

[FW-policy-security-rule-polic3]destination-zone dmz

[FW-policy-security-rule-polic3]source-address address-set sc(如果没写地址集sc可以直接写192.168.1.128 25)

[FW-policy-security-rule-polic3]destination-address address-set oa(如果没写oa直接写

10.0.0.1 32)

[FW-policy-security-rule-polic3]action permit

5。特例,生产区pc可以在每周一早10-11访问web,用来更新企业最新产品信息
Update时间段:
[FW]time-range update

[FW-time-range-update]period-range 10:00:00 to 11:00:00 Mon

策略:
[FW]security-policy

[FW-policy-security]rule name polic4

[FW-policy-security-rule-polic4]description sc_to_web

[FW-policy-security-rule-polic4]source-zone trust

[FW-policy-security-rule-polic4]destination-zone dmz

[FW-policy-security-rule-polic4]source-address address-set sc

[FW-policy-security-rule-polic4]destination-address address-set web

[FW-policy-security-rule-polic4]time-range update

[FW-policy-security-rule-polic4]action permit

四,会话表和server  map表
会话表
[FW]display firewall session table 

server map表

[FW]display firewall server-map 

计算机网络期末大作业:以防火墙作为出口设备的小型企业园区网络架构设计与实现
m0_74169440的博客
01-18 2593
计算机网络毕业设计(期末大作业):以防火墙作为出口设备的小型企业园区网络架构设计与实现
【实战教程】掌握防火墙双机热备,确保业务不间断!
didiplus
01-25 1870
网络安全的领域中,保障连续性和可靠性至关重要。而防火墙双机热备技术,宛如网络的安全双保险,确保在一台防火墙发生故障或停机时,另一台能够即时接管,实现无缝切换,保持网络的不间断运行。这种高可用性的设计为网络架构提供了额外的安全层,应对潜在风险,确保网络的稳定与安全。
华为防火墙easy-ip
qq_35511540的博客
04-07 8863
ip address-set 1// 名称 type object //定义转换的ip地址范围 address 0 10.1.0.0 mask 16 nat-policy rule name nat source-zone trust egress-interface GigabitEthernet1/0/0 //使用本接口的ip进行转换,也就是外网口 source-address add...
usg防火墙安全策略
u010674101的专栏
05-30 2388
总体来说,该规则可以实现对特定源地址和目标地址的访问限制,避免未授权的用户或主机访问生产环境中的 Pulsar 系统,保障系统的安全性和稳定性。需要注意的是,该规则仅作为安全策略中的一部分,应该结合其他规则和安全措施进行综合考虑和管理。: 表示目标地址为域名集合“生产pulsar组”,即限制访问生产 Pulsar 系统中使用的一组域名。:表示对该规则进行了简要描述,说明该规则的作用是限制办公网络访问生产环境的 Pulsar 系统。:表示本规则匹的数据流来自于名为“trust”的安全区域。
华为防火墙 DMZ 设置
一直被模仿,从未被超越
11-21 4457
例如FTP服务器、E-Mail服务器及网站服务器等允许外部用户访问这些服务器,但不可能接触到存放在内网中的信息,就算黑客入侵DMZ服务器,也不会影响到公司内部网络安全,不允许任何外部网络的直接访问,实现内外网分离,在企业的信息安全防护加了一道屏障。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个位于内部网络与外部网络之间的缓冲区,在这个网络区域内可以放置一些公开的服务器资源。DMZ 是英文"Demilitarized Zone"的缩写,中文名称为"隔离区"
华为eNSP安全策略
YT的博客
01-11 1万+
安全策略置原则 首包做安全策略过滤;后续包不做安全策略过滤,而是根据会话表进行转发。 安全策略业务流程 流量通过下一代防火墙(NGFW)时,安全策略的处理流程如下: ①NGFW会对收到的流量进行检测,检测出流量的属性,包括:源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段。 ②NGFW将流量的属性与安全策略的条件进行匹。如果所...
华为USG5500和USG6000的一些置命令
热门推荐
不光要学,知识要能说出口
08-20 4万+
一、默认置 管理接口:g0/0/0,而且默认开启了dhcp sever ip地址:192.168.0.1/24 用户名:admin 密码:Admin@123(注意大小写) 二、端口和区域置 进入端口视图 interface GigabitEthernet 0/0/1 置ip地址 ip address 192.168.1.1 255.255.255.0 开启端口
防火墙期末设计大作业(ensp)
08-09
企业网可通过IPsec VPN在公网上为三个甚至三个异地私有网络提供安全通信通道,通过加密通道保证连接的安全性,此时内部的服务器仅对认可的用户开放服务,大大的提高了网络的扩展性、便捷性与安全性。...
12-SGISLOP-SA14-10防火墙等级保护测评作业指导书三级.pdf
07-11
12-SGISLOP-SA14-10防火墙等级保护测评作业指导书三级.pdf12-SGISLOP-SA14-10防火墙等级保护测评作业指导书三级.pdf12-SGISLOP-SA14-10防火墙等级保护测评作业指导书三级.pdf12-SGISLOP-SA14-10防火墙等级保护测评...
主变防火墙主体施工作业指导书.pdf
11-05
"主变防火墙主体施工作业指导书" 该文件主要介绍了主变防火墙主体施工作业的指导书,旨在提供详细的施工指导和技术要求,确保施工项目的顺利进行。以下是该指导书中所涉及的主要知识点: 一、工程概况 * 项目概况...
防火墙网络地址转换技术
zljszn的博客
10-13 5068
先来简单的阐述一下什么是源NAT地址的方式,第一种方式是不带端口号进行转换,就是需要置一个公网地址池,私网地址转换的时候找公网地址池当中的其中一个没有在使用的公网地址转换即可,其实着也是一对一的关系,如果公网地址池当中的地址被转换完后其他的私网主机想出来上网就无法上网课,第二种方式就是带端口转换,就是也需要一个公网地址池,但是这个地址池里面只需要一个公网地址即可,内网的主机出来转换的时候就转换到这个公网地址的不同端口即可,端口的范围是0~65535,这样才能做到真正节约公网地址的目的。
防火墙的源NAT技术详解-武汉科云
weixin_69109701的博客
10-09 1640
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------上面两个技术了解即可。(谁来找我要,我就给谁分池里子未使用的公网地址,并且在分之后,会将该公网地址标注为use状态)
firewall命令
最新发布
zhao_xinhu的博客
01-17 1337
查看防火墙状态firewall-cmd--state 停止防火墙 systemctlstopfirewalld.service 启动防火墙 systemctlstartfirewalld.service 开放8080端口(所有IP) firewall-cmd--zone=public--add-port=8085/tcp--permanent 指定IP与端口 firewa..................
通信-X9 防火墙
h1825819493的博客
05-18 402
华为防火墙的双击热备就是进行hrp和vrrp的防火墙置永不超时的置。
华为防火墙置安全策略限制一台主机只能访问两个域名其他不能访问
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
04-28 3883
设备 华为USG6311E V200R007C00SPC091 置说明 内网一台主机做安全策略限制只能访问两个域名其他不能访问 1·先把相关对象设置好 2· rule name dns source-zone local #放通防火墙自身发送的dns请求报文 source-zone trust #放通客户端发送的dns请求报文过墙 destination-zone untrust destination-address address-set
华为USG防火墙置命令
weixin_43465752的博客
09-17 1万+
华为USG防火墙置命令
防火墙置基本
u011533346的专栏
11-28 8627
域:默认有几个系统自定义的区域local、trust、untrust、dmz,每个区域有各自的优先级; 域间安全策略 outbound代表数据包出方向,即从设备的某接口出去的方向 inbound代表数据包进方向,即由设备的某接口进来的方向 端口置IP、vrrpIP: interface GigabitEthernet0/0/6  combo enable fiber  de
Linux中的网络设置(一)ipaddress的设定
weixin_45649763的博客
10-28 4067
文章目录ipaddress的设定临时设定永久设定nm-connection-editor (manual )nm-connetcion-editor (auto)nmtuinmcli将动态的ip修改为静态将动态的修改为静态的在网络置文件里设定 ipaddress的设定 临时设定 永久设定 nm-connection-editor (manual ) 写命令时,请尽可能的使用tab键,防止手误出错...
linux置网卡IP地址命令详细介绍及一些常用网络置命令
郭耀今 -- 蓝天白云
02-09 9892
<br />ifconfig eth0 192.168.1.102 netmask 255.255.255.0  //添加IP地址route add default gw 192.168.1.1   //添加网关<br />启动生效:<br />vim /etc/sysconfig/network-scripts/ifcfg-eth0    //(某些版本中可能没有vim这个编辑器比如centos,大家可能用vi替换)<br />IPADDR=192.168.1.102  //添加IP地址<br />NET
ensp防火墙期末大作业
12-29
### ENSP防火墙置实验报告模板 #### 一、实验目的 本实验旨在通过ENSP平台搭建并置华为USG系列防火墙,掌握基本的安全策略设置方法以及网络流量控制技术。 #### 二、实验环境准备 - 使用ENSP软件构建如下拓扑结构:PC机连接至交换机SWITCH,再由该交换机接入两台路由器ROUTER1与ROUTER2;其中一台作为内部网关设备,另一台模拟外部互联网出口。同时,在两者之间部署一台USG防火墙用于隔离内外网通信[^1]。 ```plaintext +--------+ +---------+ | PC |------->| SWITCH | +--------+ +----+----+ | +---v-----+ | USG FW | +----+----+ | +----v-------+ | ROUTER1 | +------------+ (内网) +------------+ | ROUTER2 | +------------+ (外网) ``` #### 三、具体操作步骤说明 ##### (一)基础参数设定 登录进入USG防火墙命令行界面后,依次完成以下初始化工作: 1. 设置主机名; 2. 置管理IP地址及其默认路由; 3. 开启HTTP/HTTPS服务以便后续Web页面访问管理功能。 ##### (二)安全区域划分 定义不同逻辑分区来区分受信任程度各异的数据流路径,比如trust区代表企业内部可信源端口,untrust则对应不可信的目标位置如公网接口等。 ##### (三)访问控制列表ACL应用 基于业务需求编写相应规则集,实现精细化权限管控机制,防止非法入侵行为发生的同时保障合法用户的正常通讯权利不受侵犯。 #### 四、测试验证环节 利用抓包工具Wireshark合实际场景演练,检验所设各项措施的有效性和准确性,并记录下关键数据供分析总结之用。 #### 五、结论部分 综述整个实践过程中的收获体会,指出可能存在的不足之处及改进建议方向。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值