ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】

已于 2022-05-18 16:49:07 修改
阅读量1.4w 收藏 227
点赞数 23
CC 4.0 BY-SA版权
文章标签: 网络 安全
于 2022-05-18 11:45:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/JohnnyG2000/article/details/124834586
本文档详细介绍了ENSPI防火墙的配置,包括安全区域划分、静态路由、GRE、IPSec、Easy-ip、NATServer及安全策略的设定。实验目标是实现总部与分支、合作伙伴之间的安全通信,以及所有客户端对WEB服务器的访问。通过验证结果的截图,确认了GRE隧道、IPSec隧道、NAT通信及FTP和HTTP服务的正常运行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】

一、实验要求

1. 总部需要通过VPN与分支和合作伙伴进行通信

1)WEB服务器对外提供的IP地址为69.1.1.100
2)FW部署Easy-ip实现访问公网FTP服务

2. 分支机构(Branch)员工使用NGFW接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。

1)手工方式建立IPSec隧道需要手工配置各项参数:
2)安全参数索引,使用ESP协议的安全联盟的参数
	a)入方向安全联盟的SPI为11111
	b)出方向安全联盟的SPI为11111。
3)安全联盟的认证密钥,使用ESP协议的安全联盟的参数,
	a)入方向安全联盟的认证密钥为字符串12345;
	b)出方向安全联盟的认证密钥为字符串12345
4)FW部署Easy-ip实现访问公网client4(ping)

3. 合作伙伴(Partner)使用NGFW接入总部。要求实训合作伙伴通过GRE隧道与总部进行通信。

1)地址要求:隧道IP地址范围为172.16.12.0/24
2)FW部署部署Easy-ip实现访问公网FTP服务

4. 所有的客户端可以通过公网IP地址来访问WEB服务器

注:所有的通信使用静态路由来保证。

二、实验拓补

请添加图片描述

三、实验配置

1. 防火墙安全区域划分(包括Tunnel接口)

HQ:

trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet1/0/0
#
untrust
 priority is 5
 interface of the zone is (3):
    GigabitEthernet1/0/2
    GigabitEthernet1/0/3
    Tunnel1
#
dmz
 priority is 50
 interface of the zone is (1):
    GigabitEthernet1/0/1

Partner

trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet1/0/0
#
untrust
 priority is 5
 interface of the zone is (2):
    GigabitEthernet1/0/1
    Tunnel1

Branch

trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet1/0/0
#
untrust
 priority is 5
 interface of the zone is (1):
    GigabitEthernet1/0/1

2. 静态路由

HQ

ip route-static 0.0.0.0 0.0.0.0 69.1.1.2
ip route-static 0.0.0.0 0.0.0.0 68.1.1.2
ip route-static 10.1.10.0 255.255.255.0 Tunnel1
ip route-static 10.1.20.0 255.255.255.0 68.1.1.2
ip route-static 111.1.1.0 255.255.255.0 69.1.1.2
ip route-static 112.1.1.0 255.255.255.0 68.1.1.2

注:其实一般公网环境使用缺省即可,两条访问111.1.1.0 & 112.1.1.0的静态路由是为了流量能够正常在公网同行;同时两条访问10.1
最低0.47元/天 解锁文章

200万优质内容无限畅学
Johnny.G
关注
实验 | 利用华为eNSP进行防火墙主备配置
qq_43416206的博客
04-17 1498
在使用华为防火墙USG6000进行网络架构设计时,我们必须意识到生产网络环境中的关键位置通常需要两台网络设备才能实现高可用性。在本文中,我们将在华为防火墙型号 USG6000 上配置主备,这样的话,当一个防火墙单元发生故障时,另一个防火墙单元将接管服务来确保服务的连续性。
ENSP防火墙的配置实验防火墙配置安全策略GRE以及配置NAT进行路由通信
milu_nff的博客
05-16 8659
实验要求如下: 配置GRE 实现总部和分部客户端PC之间私有IPv4地址和IPv6相互通信 隧道IPv4地址:10.1.12.0/24 隧道IPv6地址:2001:12::/64 NAT 实现所有的PC通过NAT转换访问client1,使用Easy-ip技术实现 NAT Server FTP公网IP地址为110.1.1.100,client1通过此公网IP访问FTP服务 路由 全网使用静态路由来实现通信实验拓扑图如下 1、配置底层IP地址信息 FW1的配置 interface GigabitEth
综合实验
Jianyu's blog
04-04 1219
综合实验----双机热备IPSecFTPNAT Server 目录综合实验----双机热备IPSecFTPNAT Server实验环境实验目的具体步骤结果测试总结 实验环境 实验目的 1.规划并配置IP地址,并实现私网访问公网(Client1) 2.通过IPSec VPN技术实现总部和分部互访(只允许PC1和PC2互访) 3.分部服务器(Server1)对公网用户提供FTP服务(公网地址为200.1.2.20/24) 4.总部FW1和FW2使用双机热备技术提高可靠性: ​ 上连ISP的VRRP
ENSP期末神帖:防火墙GRE/IPSec/GRE over IPSec点对点配置 保姆级实验+避坑指南(附拓扑/配置文档)
最新发布
2301_78202824的博客
06-01 2348
(没有这个策略,在防火墙出口可以接收到GRE报文,虽然防火墙有10网段路由,但是在近PC端的接口是没有icmp包的,这时候会命中default策略拒绝掉。)其中采用的方式是将tunnel划分到untrust ,此时的安全策略(控制普通报文到tunnel接口的策略)是将目的区域dmz改成了untrust。接下来又是重复的操作,这里gre over ipsec是我最开始配置的实验,当时不知道g0/0/0接口的特殊,所以配置放在文档中自行查找。//创建策略规则,越先配置的安全策略规则位置越靠前,优先级越高。
安全防御——二、ENSP防火墙实验学习
钟言的博客
11-04 1万+
本篇为安全防御——二、防火墙的基本概念以及配置,Web界面的配置,使用,详细内容包含了:防火墙接口以及模式配置 1、untrust区域 2、trust区域 3、DMZ区域 4、接口对演示 防火墙的策略 1、定义与原理 2、防火墙策略配置 2.1 安全策略工作流程 2.2 查询和创建会话3.实验策略配置 3.1 trust-to-untrust 3.2 trust-to-dmz 3.3 untrust-to-dmz 、防火墙的区域等等
华为eNSP-防火墙实验
weixin_45745641的博客
12-14 1万+
1规划并配置IP地址 2将网络分别加入对应的区域 3实现pc1访问pc2,pc2访问服务器,其他不能互访
防火墙技术综合实验
weixin_34168880的博客
05-15 508
扩展ACL 一,实验拓扑 二,实验步骤: (1)测试网络连通性,PC1 ping 服务器。 (2)配置路由器R0 R0(config)#access-list 110 remark this is an example for extended acl//添加备注,增加可读性 R0(config)#access-list 110 deny tcp ...
ensp防火墙实验
qq_61759561的博客
10-15 3372
配置完成后就能实现pc1和pc2互通。
eNSP综合实例:防火墙GRE over IPSec配置实例(2)
weixin_44611826的博客
04-21 1030
eNSP综合实例:防火墙GRE over IPSec配置实例(2)
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
weixin_44611826的博客
04-20 4711
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
ensp防火墙综合实验lab
enterprise2333的博客
12-20 1万+
实验要求: 1.完成防火墙组网基础配置(IP,安全域,路由(可配置动态路由,只可宣告防火墙untrust所在网段)ISP路由器不能存在防火墙非untrust区域内路由),校本部和南校区防火墙管理地址分别为192.168.0.1/24,192.168.0.2/24 2.校本部防火墙1/0/1设置为二层接口,在防火墙上配置SVI分别为vlan 10和vlan 20的网关,两SVI安全域均为trust 3.PC2可以使用防火墙出接口地址上网访问到百度服务器(可ping通6.6.6.6即可) 4.使用校本部防火墙
ensp——防火墙安全策略配置实验
热门推荐
ChenD的学习笔记
11-08 2万+
ensp——防火墙配置初体验
eNSP防火墙综合实验
lkjh1112的博客
02-18 525
1、防火墙ip和安全区域配置新建两个安全区域ip配置Client1Client2电信DNS百度web-1联通DNS百度web-2R2R1。
防火墙双机热备+带宽管理
m0_67441173的博客
07-16 705
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分。
防火墙ensp实验
weixin_49252364的博客
09-11 2022
防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害的流量或数据包)的设备。
eNSP - 防火墙安全策略和用户认证
m0_74939395的博客
07-10 1262
使用华为模拟器进行的防火墙区域划分配置和简单用户行为管理的模拟实验
防火墙综合实验
2302_76601833的博客
02-18 470
【代码】防火墙综合实验
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值