华为5500&6000v防火墙配置命令简介

最新推荐文章于 2024-12-12 11:08:49 发布
原创 最新推荐文章于 2024-12-12 11:08:49 发布 · 8.2k 阅读 · 79 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#华为 #网络

文章提供了华为5500和6000V防火墙的安全策略配置示例,包括开启服务、定义安全区域、配置接口IP、设定规则以允许或拒绝特定流量,并通过ping测试验证配置效果。强调了策略匹配的顺序原则和配置策略的注意事项。

随笔一篇,如有错误欢迎留言指正
ensp版本:1.3.00.100

目录

5500

命令

  1.  [1/0/0] service-manage service permit:接口视图下开启对应服务
  2.  [SRG] firewall zone (name) trust / dmz / untrust / xxxx:系统视图下进入对应安全区域视图

     firewall zone name xxxx:自定义策略名字

  3.  [trust / dmz / untrust / xxxx] add int g1/0/0:区域视图下将接口加入对应安全区域
  4.  [SRG] policy interzone trust untrust outbound:系统视图下选择 源区域目的区域方向 进行配置
  5.  [SRG-policy-interzone-trust-untrust-outbound] policy 1:自定义规则序号(防火墙从上到下按照序号从小到大依次匹配规则)
  6.  [SRG-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.00.0.0.255(反掩码):添加源地址
  7.  [SRG-policy-interzone-trust-untrust-outbound-1] policy destination 192.168.2.00.0.0.255(反掩码):添加目的地址
  8.  [SRG-policy-interzone-trust-untrust-outbound-1] action permit / deny:设置动作允许/拒绝
  9.  [SRG] dis firewall session table (verbose):查看会话表五元组(协议、源地址、源端口、目的地址、目的端口)信息,加上“verbose”即查看详细信息

简例

要求:

  • trust (PC1) ——> untrust (Server1) √
  • trust (PC1) ——> untrust (PC2) ×
    在这里插入图片描述
<SRG>sy
[SRG]undo info-center enable		#关闭消息中心
Info: Information center is disabled

#配置接口IP并加入相应的安全区域
[SRG] int g0/0/1
[SRG-GigabitEthernet0/0/1] ip add 192.168.1.254 24
[SRG-GigabitEthernet0/0/1] service-manage ping permit		#开启ping服务
[SRG-GigabitEthernet0/0/1] interface GigabitEthernet0/0/2
[SRG-GigabitEthernet0/0/2] ip address 192.168.2.254 24
[SRG-GigabitEthernet0/0/2] service-manage ping permit
[SRG-GigabitEthernet0/0/2] interface GigabitEthernet0/0/3
[SRG-GigabitEthernet0/0/3] ip add 192.168.3.254 24
[SRG-GigabitEthernet0/0/2] service-manage ping permit
[SRG-GigabitEthernet0/0/3] q

[SRG] firewall zone trust		#进入trust安全区域
[SRG-zone-trust] add int g0/0/1		#将接口加入安全区域
[SRG-zone-trust] q
[SRG] firewall zone untrust 
[SRG-zone-untrust] add int g0/0/2
[SRG-zone-untrust] q
[SRG] firewall zone untrust 
[SRG-zone-untrust] add int g0/0/3
[SRG-zone-untrust] q

#配置安全策略:允许源地址为192.168.1.0网段的报文通过,拒绝目的地址为192.168.3.0网段的报文通过
[SRG] policy interzone trust untrust outbound					#添加由trust到untrust区域出方向的规则
[SRG-policy-interzone-trust-untrust-outbound] policy 1			#添加规则1(按照规则序号从小到大依次执行)
[SRG-policy-interzone-trust-untrust-outbound-1] policy destination 192.168.3.0 0.0.0.255		#添加目的地址
[SRG-policy-interzone-trust-untrust-outbound-1] action deny		#设置动作拒绝

[SRG-policy-interzone-trust-untrust-outbound] policy 2			#添加规则2(按照规则序号从小到大依次执行)
[SRG-policy-interzone-trust-untrust-outbound-2] policy source 192.168.1.0 0.0.0.255		#添加源地址
[SRG-policy-interzone-trust-untrust-outbound-2] policy destination 192.168.2.0 0.0.0.255		#添加目的地址
[SRG-policy-interzone-trust-untrust-outbound-2] action permit	#设置动作允许
[SRG-policy-interzone-trust-untrust-outbound-2] q

#检查配置
[SRG-policy-interzone-trust-untrust-outbound] dis this

#
policy interzone trust untrust outbound
 policy 1 
  action deny 
  policy destination 192.168.3.0 0.0.0.255

 policy 2 
  action permit 
  policy source 192.168.1.0 0.0.0.255
  policy destination 192.168.2.0 0.0.0.255
#
return

#ping命令验证
<PC1>ping 192.168.2.1

Ping 192.168.2.1: 32 data bytes, Press Ctrl_C to break
From 192.168.2.1: bytes=32 seq=1 ttl=254 time=62 ms
From 192.168.2.1: bytes=32 seq=2 ttl=254 time=32 ms
From 192.168.2.1: bytes=32 seq=3 ttl=254 time=32 ms
From 192.168.2.1: bytes=32 seq=4 ttl=254 time=31 ms
From 192.168.2.1: bytes=32 seq=5 ttl=254 time=15 ms

--- 192.168.2.1 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 15/34/62 ms

<PC1>ping 192.168.3.1

Ping 192.168.3.1: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!

--- 192.168.3.1 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss

注意:华为5500防火墙安全策略的匹配是存在顺序之分的,依照从上到下逐条查找区域间存在的安全策略,如果报文命中了某一条策略,防火墙就会执行该策略的动作,并且不会再继续向下查找重复的部分,否则继续查找。所以配置策略时应遵循“先精细,后粗犷”的原则,先配置匹配范围较小,条件更精确的策略,然后再配置匹配范围大、条件宽泛的策略(和ACL匹配机制同理)。

6000V

命令

  1.  [1/0/0] service-manage service permit:接口视图下开启对应服务
  2.  [USG6000V] firewall zone (name) trust / dmz / untrust / xxxx:系统视图下进入对应安全区域视图

     firewall zone name xxxx:自定义策略名字

  3.  [trust / dmz / untrust / xxxx] add int g1/0/0:区域视图下将接口加入对应安全区域
  4.  [USG6000V] security-policy:进入安全策略视图
  5.  [USG6000V-policy-security] rule name xxxx:创建并命名规则
  6.  [USG6000V-policy-security-rule-xxxx] source-zone trust / dmz / untrust / xxxx:设置源区域
  7.  [USG6000V-policy-security-rule-xxxx] destination-zone trust / dmz / untrust / xxxx:设置目的区域
  8.  [USG6000V-policy-security-rule-xxxx] source-address 192.168.1.00.0.0.255(反掩码):设置源地址
  9.  [USG6000V-policy-security-rule-xxxx] destination-address 192.168.2.00.0.0.255(反掩码):设置目的地址
  10.  [USG6000V-policy-security-rule-xxxx] action permit / deny:设置动作允许 / 拒绝
  11.  [USG6000V-policy-security] dis firewall session table (verbose):查看会话表五元组(协议、源地址、源端口、目的地址、目的端口)信息,加上“verbose”即查看详细信息

简例

要求:

  • trust (PC1) ——> dmz √
  • trust (PC1) ——> untrust √
  • trust (PC2) ——> dmz ×
  • trust (PC2) ——> untrust ×
  • dmz ——> untrust ×
    在这里插入图片描述
<
最低0.47元/天 解锁文章
PiB
关注
华为USG5500和USG6000的一些配置命令
不光要学,知识要能说出口
08-20 4万+
一、默认配置 管理接口:g0/0/0,而且默认开启了dhcp sever ip地址:192.168.0.1/24 用户名:admin 密码:Admin@123(注意大小写) 二、端口和区域配置 进入端口视图 interface GigabitEthernet 0/0/1 配置ip地址 ip address 192.168.1.1 255.255.255.0 开启端口
使用华为 USG6000防火墙配置安全策略
最新发布
2301_81601351的博客
08-28 1358
3、配置PC1:192.168.1.1/32,PC2:192.168.1.129/32,PC3:192.168.1.130/32。2、分别进入G0/0/2,G0/0/3,G0/0/4配置为access类型且分别属于Vlan2,Vlan3,Vlan3。6、在FW的G1/0/1接口下新建两个子接口G1/0/1.1和G1/0/1.2并分别配置IP,两接口均为trust区。3、进入G0/0/1接口配置为trunk类型,允许Vlan2、Vlan3通过。2、进入G0/0/0接口修改IP为Cloud1中所选网段。
华为eNSP防火墙USG5500基本配置
mxiang5087的博客
12-04 3796
查询防火墙配置文件,使用命令dis cu,找到数据包过滤部分的配置,local到trust区域的数据包允许进也允许出,所以防火墙报文到各自区域都有outbound,报文都能通过。配置防火墙端口地址,并定义DMZ、Trust、Untrust区域,把接口分配到三个不同的区域,需注意Local区域没有定义,但是代表防火墙本身,192.168.0.1是防火墙自带的管理地址,10.1.1.1、10.1.30.1、20.1.1.1都是防火墙Local内的地址。修改防火墙的策略,使得DMZ区域的主机能进行ping测试。
华为防火墙配置笔记
weixin_30375247的博客
07-05 7633
防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。 初始化防火墙 初始化防火墙: 默认用户名为admin,默认的密码Admin@12...
华为USG5500防火墙配置实验一.pdf
11-18
华为USG5500防火墙配置实验一.pdf
华为防火墙配置命令手册
02-20
华为 防火墙 配置 命令 手册。正版书籍不得转送. 防火墙配置指南.pdf 系列安全产品 操作手册(V1.06).pdf 系列安全产品 Web配置手册(V1.04).pdf 系列安全产品 命令手册..pdf ....
华为防火墙 配置命令总结
彪哥.TOP的博客
11-21 2016
配置NAT-Server策略,将服务器的ftp、http服务通过将内部IP192.168.2.2.转换成10.10.10.3,给外网访问!防火墙配置安全策略(允许untrust(外网)区域访问DMZ(服务器)区域的FTP、HTTP服务)DMZ区域:允许源untrust、trust区域访问目的dmz区域。NAT-Server(仅用于服务器地址转换)配置NAPT地址池(可以设置一个或者多个)无需配置地址池,直接配置NAT策略。进接口,开启相关服务。
华为防火墙的基本命令
不定期分享一些自己的学习笔记
10-16 2843
安全设备:防毒墙、VPN设备、IPS、IDS、漏洞扫描、WAF(web应用防火墙)、上网行为管理等等;用web 界面访问防火墙:默认的管理地址为:192.168.0.1。tips :旧版本的防火墙需要开启web 的管理界面;显示路由表:dis ip routing-table。tips :下一代防火墙特点:应用层的包过滤;功能:包过滤防火墙(老ACL)、状态防火墙。、华为防火墙的WEb配置界面介绍。形态:软件防火墙、硬件防火墙。二层模式:透明网桥模式。
华为防火墙 USG6000v 配置详细版.docx
03-19
针对华为ensp模拟软件,为学习者提供USG6000v防火墙详细配置教程以及调试方法供使用者学习,更好的进行模拟实验,帮助了解防火墙配置流程以及技术要领
华为USG防火墙配置命令
热门推荐
weixin_43465752的博客
09-17 1万+
华为USG防火墙配置命令
常用华为防火墙命令
12-12
常用华为防火墙命令
华为USG防火墙配置实例
03-24
USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。可广泛应用于运营商、企业、政府、金融、能源、学校等领域的网络边界。USG5500系列产品部署于网络出口处,有效阻止Internet上的黑客入侵、DDoS攻击,阻止内网用户访问非法网站,限制带宽,为内部网络提供一个安全可靠的网络环境。
华为---登录USG6000V防火墙---console、web、telnet、ssh方式登录
m0_74823452的博客
12-12 4040
USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0 //将GigabitEthernet 1/0/0端口添加到信任区域。[USG6000V1-aaa-manager-user-sshuser]service-type ssh web terminal //服务类型为ssh、web、terminal。[USG6000V1-aaa-manager-user-telnetuser]service-type telnet //服务类型为telnet。
华为USG5500防火墙配置NAT
2402_88627342的博客
11-15 4611
实验要求:1.按照拓扑图部署网络环境,使用USG5500防火墙,将防火墙接口加入相应的区域,添加区域访问规则使内网trust区域可以访问DMZ区域的web服务器和untrust区域的web服务器。2.在防火墙配置easy-ip,使trust区域主机能够访问untrust区域的服务器。3.在防火墙配置nat server,使untrust区域的客户端能够通过目标地址转换访问DMZ区域的服务器。1.启动设备2..配置IP地址3.配置默认路由条目[SRG]ip route-static 0.0.0.0 0.0.
华为防火墙配置命令-trust-dmz-untrust
weixin_45986422的博客
05-12 1万+
R1配置命令 &lt;Huawei&gt;sys Enter system view, return user view with Ctrl+Z. [Huawei]undo inf enable Info: Information center is disabled. [Huawei]sys R1 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.9.195 24 [R1-GigabitEthernet0/0/0]undo sh Inf..
华为防火墙配置命令大全
Hello
05-05 7317
防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。Tips:本章内容为学习而整理,顺便分享给有需要的人,有不足的地方欢迎大家来补充!初始化防火墙默认用户名为admin,默认的密码Admin@123,这里修改密码为along@163。
华为防火墙(IPSec)命令配置案例
仓鼠OO的博客
12-06 2810
华为防火墙(IPSec)命令配置案例
华为ensp5500v防火墙配置
09-14
华为 ENSP5500V 防火墙配置可以分为以下几个步骤: 1. 登录设备:使用 SSH 或者控制台连接到 ENSP5500V 防火墙设备。 2. 进入系统视图:输入 &quot;system-view&quot; 命令,进入系统视图。 3. 配置 IP 地址:使用 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

PiB

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值