新华三防火墙相关实验

最新推荐文章于 2025-03-27 14:24:29 发布
最新推荐文章于 2025-03-27 14:24:29 发布
阅读量3.6k 收藏 45
点赞数 19
分类专栏: HCL 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dingxingaq/article/details/143666341
版权

防火墙:内网用户通过防火墙访问外网

防火墙会对内网访问外网的流量进行安全监测,防火墙上的每一个接口都要对应的设置安全区

域。授信区域和非授信区域。

如果防火墙连接的还有内部的服务器,比如web服务器、ftp服务器,要被外部的互联网用户去访问,通常这个服务器我们会把它设置为DMZ区域。

防火墙有一个自身的区域,叫做local区域。还有管理区域。上图的pc2所连接的是内部区域,右边的是互联网区域。

要求:pc2去访问互联网的主机地址8.8.8.8

1、对防火墙接口进行受信区域和非授信区域的配置

2、因为是不同网段的通信,要进行路由设置,在防火墙上配置缺省路由

3、配置安全策略,放行trust区域到untrust区域

4、在防火墙上做nat地址转换,因为私网是不能到公网上去路由的,把源地址为私网的地址转换成公网接口的地址,这叫做easyip的方式(通过转换成100.0.0.1以后再去访问外网)

配置:

打开防火墙

F1090:intg1/0/0

ip address 192.168.10.254 24(用于pc2的网关)

quit

security-zone name Trust(设置安全区域为受信区域)

import intGigbitethernet 1/0/0(将接口加入到trust区域中)

quit

int g1/0/1

ip address 100.0.0.1 24(配置的是通往公网的ip地址quit

security-zone name Untrust

import int GigbitEthernet 1/0/1

quit

配置路由:

ip route-static 0.0.0.0 0 100.0.0.2(下一跳指向LSP的0/0口地址)放行trust区域到untrust区域之前先配置ISP

ISP:intg0/0

ip address 100.0.0.2 24

quit

int LoopBack0

ip address 8.8.8.8 24(主要用于模拟连接到运营商路由器设配上的一台主机)

quit

?:pc2ping192.168.10.254可以通吗

不行,虽然是同一网段,但是防火墙并没有对内网的主机实行trust到untrust区域的放行,安全策略没有配置,但是也可以通过设置ping权限来使其通

F1090:intg1/0/0

manage?(查看防火墙的管理权限)

ping有两种,inbound是入站方向是入防火墙,表示主机去ping防火墙可以通,outbound是出战方向,表示防火墙去ping主机可以通

manage ping inbound

manage ping outbound

这时就可以ping通了

创建安全策略:

security-policy ip(基于ip的安全策略)

rule name TtoU(设置规则的名称,表示Trust到Untrust)

source-zone trust(设置源安全区域,源安全区域就是trust区域)

destination-zone untrust(目的安全区域就是untrust区域)

source-ip-subnet 192.168.10.0(subnet表示子网)

配置服务:

如果希望配置所有服务就不需要输入命令了,如果配置指定服务,比如ping服务、http、https,使用命令:

service ping

service http

service https

display this查看配置哪几个服务

action pass(激活安全策略)

quit

私网要向公网地址访问就要做nat地址转换:

nat global-policy(进入nat全局策略配置)rulenameTtoU_nat

source-zone trust(源区域为trust区域)

destination-zone untrust

source-ip subnet 192.168.10.0 24(只有被设置nat地址转换的主机才可以访问外网)激活源地址(可以选择方式):

action anat easy-ip(easy-ip的方式就是指把源地址转换成出接口的地址)

quit

display nat session brief(检查nat会话表)

pc2可以ping通外网的8.8.8.8地址了

防火墙:安全策略使得OSPF邻接关系建立

在两台防火墙之间做OSPF路由协议实现全网互通,红色区域是untrust,紫色和绿色区域是trust进入防火墙:

F10901:intg1/0/0

ip address 192.168.10.254 24

undo info-center enable

security-zone name Trust

import int GigbitEthernet 1/0/0

quit

int g1/0/1

ip address 10.1.1.124

quit

security-zone untrust

import intGigbitEthernet 1/0/1

quit

ospf 1 router-id 192.168.10.254

area1

network 192.168.10.0 0.0.0.255

quit

area0

network10.1.1.10.0.0.0

quit

quit

===============================================================

F10902:int GigabitEthernet 1/0/1

ip address 10.1.1.2 24

quit

security-zone name untrust

import int Gigabitethernet 1/0/1

quit

intg1/0/0

ip address 192.168.20.254 24

quit

security-zone name trust

import int GigabitEthernet 1/0/0

quit

ospf 1

如果不配置router-id会自动从防火墙上的两个接口上选择一个ip做router-idarea0

network 10.1.1.2 0.0.0.0

quit

area2

network 192.168.20.0 0.0.0.255

quit

quit

display ospf peer(查看是否能建立邻居关系)

发现两个防火墙建不了,因为要放行一个策略,使local区域可以访问untrust区域,untrust区域可以访问local区域

===============================================================

F10901:security-policy ip

rule name LtoU

source-zone local

destination-zone untrust

service ospf

action pass

quit

rule name UtoL

source-zone untrust

destination-zone local

service ospf

action pass

quit

quit

F10902:security-policy ip

rule name LtoU

security-zone local

destination-zone untrust

service ospf

action pass

quit

rule name UtoL

source-zone untrust

destination-zone local

service ospf

action pass

quit

quit

这样就建立了ospf邻居关系

查询ospf的routing:

此时pc5不能访问pc7

因为没有放行trust区域到untrust区域,同样也要放行untrust区域到trust区域,因为要回包

F10901:security-policy ip

rule name TtoU

source-zone trust

destination-zone untrust

source-ip-subnet 192.168.10.0 24

destination-ip-subnet 192.168.20.0 24

action pass

quit

rule name UtoT

source-zone untrust

destination-zone trust

source-ip-subnet 192.168.20.0 24

destination-ip-subnet 192.168.10.0 24

action pass

===============================================================

F10902:security-policy ip

rule name TtoU

source-zone trust

destination-zone untrust

source-ip-subnet 192.168.20.0 24

destination-ip-subnet 192.168.10.0 24

action pass

quit

rule name UtoT

source-zone untrust

destination-zone trust

source-ip-subnet 192.168.10.0 24

destination-ip-subnet 192.168.20.0 24

action pass

quit

pc5可以ping通pc7了,pc7也可以回访

防火墙:配置DHCP服务器自动为申请ip地址的主机分配地址

用admin用户名和密码登陆防火墙

F1090:int g1/0/0

 ip address 192.168.10.254 24

 将pc2规划为trust区域:

 security-zone name Trust

 import int GigbitEthernet 1/0/0

 quit

 配置dhcp服务器:

 dhcp enable

 dhcp server ip-pool pool10(配置ip地址池)

 配置pc的网关(直连的ip地址):

 gateway-list 192.168.10.254

 network 192.168.10.0 mask 255.255.255.0(配置主机ip地址的范围)

 dns-list 8.8.8.8(设置pc的dns服务器列表)

====================================================

其他设置:

 比如禁止一些ip地址给主机使用:

 forbidden-ip-range 192.168.10.1 192.168.10.10(那么这些地址就排除在分配给主机使用的ip地址范围内了)

 配置租期:

 expired day 3(租期为3天,默认为1天)

 quit

 ====================================================

int g1/0/0

 dhcp select server(配置dhcp基于服务器的方式,也可以不写因为是默认的)

 dhcp server apply ip-pool pool10(把地址池应用到接口上)

 开启trust区域到防火墙local区域的安全策略:

 security-policy ip(配置安全策略,是基于ip的)

 rule name DHCP(配置策略名称)

 source-zone trust

 destination-zone local

 source-zone local

 destination-zone trust

 action pass

 打开pc2的dhcp,可以获取到地址

此时pc5不能访问pc7

因为没有放行trust区域到untrust区域,同样也要放行untrust区域到trust区域,因为要回包F10901:security-policyip

rulenameTtoUsource-zonetrustdestination-zoneuntrust

source-ip-subnet192.168.10.024destination-ip-subnet192.168.20.024actionpass

quit

rulenameUtoTsource-zoneuntrustdestination-zonetrust

source-ip-subnet192.168.20.024destination-ipsubnet192.168.10.024actionpass

F10902:security-policyiprulenameTtoUsource-zonetrustdestination-zoneuntrust

source-ip-subnet192.168.20.024destination-ip-subnet192.168.10.024actionpass

quit

rulenameUtoTsource-zoneuntrustdestination-zonetrust

source-ip-subnet192.168.10.024destination-ip-subnet192.168.20.024actionpass

quit

pc5可以ping通pc7了,pc7也可以回访

防火墙:配置DHCP服务器自动为申请ip地址的主机分配地址

用admin用户名和密码登陆防火墙F1090:intg1/0/0

ipaddress192.168.10.25424将pc2规划为trust区域:security-zonenameTrustimportintGigbitEthernet1/0/0quit

配置dhcp服务器:

dhcpenable

dhcpserverip-poolpool10(配置ip地址池)配置pc的网关(直连的ip地址):gateway-list192.168.10.254

network192.168.10.0mask255.255.255.0(配置主机ip地址的范围)dns-list8.8.8.8(设置pc的dns服务器列表)

其他设置:——————————————————————————————————————比如禁止一些ip地址给主机使用:

forbidden-ip-range192.168.10.1192.168.10.10(那么这些地址就排除在分配给主机使用的ip地址范围内了)

配置租期:

expiredday3(租期为3天,默认为1天)quit

—————————————————————————————————————————

intg1/0/0

dhcpselectserver(配置dhcp基于服务器的方式,也可以不写因为是默认的)dhcpserverapplyip-poolpool10(把地址池应用到接口上)

开启trust区域到防火墙local区域的安全策略:security-policyip(配置安全策略,是基于ip的)rulenameDHCP(配置策略名称)

source-zonetrustdestination-zonelocalsource-zonelocaldestination-zonetrustactionpass

打开pc2的dhcp,可以获取到地址

H3C防火墙双机热备实验
m0_62621003的博客
08-11 5768
primary:表示设备为HA中的主管理设备。PS:secondary:表示设备为HA中的从管理设备。configuration sync-check interval 1 开启一致性配置检查,1小时检查一次,默认为24小时。standby:设置VRRP备份组与HA关联,当前路由器加入到VRRP Standby组中,设备初始角色为Backup。active:设置VRRP备份组与HA关联,当前路由器加入到VRRP Active组中,设备初始角色为Master。
H3C防火墙实验
m0_56063470的博客
11-27 2002
配置ip和默认路由省略(ip rou 0.0.0.0 0 10.0.0.2/ip rou 0.0.0.0 0 20.0.0.2) 改名(第一部做) 改名 sysname fn 绑定防火墙安全域端口 [fn]security-zone name Trust [fn-security-zone-Trust]import interface g1/0/0 [fn]security-zone name untrust [fn-security-zone-Untrust]import interfa
华三防火墙快速入门教程
11-16
H3C V5 V7版本的命令行配置和web配置都有,让你快速上手华三防火墙基本配置,成为优秀的系统集成工程师
H3C安全防火墙配置实验手册V7.rar
07-28
H3C安全防火墙配置实验手册V7 内容丰富
H3C 防火墙配置端口映射
最新发布
zneVue
03-27 1212
通过以上配置,你可以成功在 H3C 防火墙上实现端口映射。如果有其他问题,欢迎继续提问!在 H3C 防火墙配置端口映射(Port Forwarding)通常需要使用。如果需要将外网的不同端口映射到不同的内网服务器,可以分别配置。命令将外网地址和端口映射到内网地址和端口。,确认是否可以访问内网的 HTTP 服务。如果需要映射多个端口,可以配置多条。功能,具体来说是通过。
H3C SecPath系列防火墙典型配置案例集
12-18
H3C SecPath系列防火墙典型配置案例集
华三防火墙开启web登录访问配置
zengliguang的专栏
10-26 8837
请注意,以上步骤可能会因华三防火墙的具体型号和软件版本而有所不同。在进行配置之前,建议参考华三防火墙的用户手册或咨询华技术支持人员1。
华三防火墙应用二层和层的配置实例
IT技术
03-13 1万+
主要是为了实现数据区域的按大多数的环境用二层来做一些策略限制对数据区域的安全,出口防火墙nat。 核心交换机配置: dis current-configuration version 7.1.075, Alpha 7571 sysname hx irf mac-address persistent timer irf auto-update enable undo irf link-delay irf member 1 priority 1 dhcp enable lldp global ena.
防火墙命令行基础配置实验(H3C模拟器)
Red_carp的博客
11-26 4535
在H3C模拟器上用命令行配置防火墙策略,配置OSPF协议(OSPF协议的简单使用)、Loopback0地址。
华三防火墙-策略NAT
qq_53146347的博客
05-01 6890
到达防火墙匹配源和目的转换后,将源地址10.1.1.2更改为80.38.1.16;目的地址80.38.1.16:8080更改为192.168.20.20:81进行访问。1.新建策略NAT,规则类型选择NAT44,源和目的根据流向选择,源IP填写源网段或指定IP,目的IP填写需要访问的地址或any,转换方式使用动态IP+端口的形式,地址类型使用easy ip。通过宿主机在浏览器上访问防火墙的外网接口8080端口能正常访问到服务器的内容,验证成功。注意:策略NAT和接口NAT互斥;查看防火墙的会话转换过程。
H3C安全防火墙配置实验培训视频.rar
11-21
目录 实验01防火墙出厂和 Console登录mp4 实验02安全域知识和登录防火墙mp4 实验03基于包过滤策略的安全域之间访问配置mp4 实验04基于包过滤的动态NAT配置mp4 实验05基于包过滤的内部服务器NAT配置mp4 实验06包过滤互访和 DNS mapping. mp4 回实验07基于对象策略的区域访问配置mp44 回实验08基于对象策路的Pec典型配置mp4 回实验09防火墙安全防护典型配置mp4
H3C华 SecPath防火墙WEB管理的典型配置
11-30
H3C华 SecPath防火墙WEB管理的典型配置
H3C模拟器VLAN配置实验配套环境(Access、Trunk、Hybrid)
08-05
实验围绕“H3C模拟器VLAN配置”展开,主要涵盖了Access接口、Trunk接口和Hybrid接口种类型的VLAN配置,这些都是企业网络中常见的接口类型,对于理解VLAN工作原理和实际操作具有重要意义。 VLAN(Virtual Local ...
h3cne综合实验网络设备的配置网络拓扑的设计与实现、故障模拟与排查
06-08
h3cne综合实验 H3CNE(H3C认证网络工程师)综合实验通常是指在网络工程领域的综合性实践项目,旨在考察学员对网络设计、配置、故障排除等方面的综合能力。这种实验可能涉及到网络设备的配置网络拓扑的设计与实现...
2.防火墙-SNAT和DNAT
夜海赤竹的博客
05-22 1047
由外网到内网:从外网发来的数据包的目标IP由公网IP转换成私网IP,网关服务器在根据私网IP转发到内网服务器。由外网到内网:从外网发到内网的数据包的目的IP由公网IP转换成私网IP。由内网到外网:从内网发到外网的数据包的源IP由私网IP转换成公网IP。由内网到外网:内网服务器响应数据包的源IP从内网IP转换为外网IP。
MSTP简单配置(使用新华HCL模拟器配置
yumingkun11的博客
02-13 1421
一、实验拓扑图 郑州新思齐科技有限公司 实验拓扑图 二、简单配置 1.LSW1 [LSW1]dis cur # sysname LSW1 # vlan 1 # vlan 2 # stp region-configuration region-name HCL revision-level 12 instance 2 vlan 2 active region-configuration # stp instance 2 root primary stp global enable # inter
新华 HCL模拟器配置ssh远程登陆
zhangzc0408的博客
12-13 4535
hcl模拟器配置ssh服务
华三防火墙安全策略配置
热门推荐
weixin_46322576的博客
02-07 1万+
1.组网需求 ⑴ leadership和staff之间通过FW1实现互连,该公司的工作时间为每周工作日的8点到18点。 ⑵ 通过配置安全策略规则,允许leadership在任意时间、staff在工作时间访问外网。 2. 组网图 3. 配置步骤 (1) 配置接口IP地址、路由保证网络可达。 [FW1]int g1/0/2 [FW1-GigabitEthernet1/0/2]nat outbound [FW1-GigabitEthernet1/0/2]ip addre...
模拟器防火墙配置
03-08
### H3C模拟器中的防火墙配置指南 在H3C模拟器中进行防火墙配置涉及多个方面,包括基本设置、安全策略制定以及具体命令的应用。对于希望了解如何在该环境中配置防火墙的用户来说,可以参考官方文档或者特定教程来获取详细的指导[^1]。 通常情况下,在启动任何配置之前,应该先熟悉所使用的设备型号及其特性。接着按照如下方式操作: - **进入系统视图**:通过输入`system-view`指令切换至系统模式下; - **定义区域**:利用`firewall zone name <zone-name>`创建并命名不同的逻辑分区; - **关联接口到相应区域**:比如执行`interface GigabitEthernet 0/0/1`,随后指定其所属的安全域如`port link-mode route` 和 `firewall zone untrust add interface GigabitEthernet 0/0/1`; - **设定访问控制列表(ACL)**:采用类似于`acl number 2000 rule permit source any destination any`这样的语句构建过滤规则; - **应用ACL于方向上**:例如`traffic classifier basic match acl 2000`用于匹配流量分类,并且可以通过`traffic behavior basic filter deny`决定处理动作;最后再用`traffic policy basic classifier basic behavior basic`将两者绑定在一起应用于具体的网络连接路径之上。 以上过程仅作为一般性的描述,实际环境下的参数可能有所不同,请参照产品手册获得最准确的信息。 ```bash # 进入系统视图 system-view # 定义一个名为 'untrust' 的区域 firewall zone name untrust # 将GigabitEthernet端口加入到'untrust'区域内 interface GigabitEthernet 0/0/1 port link-mode route firewall zone untrust add interface GigabitEthernet 0/0/1 # 创建允许所有源地址到达目的地址的数据包通行的ACL条目 acl number 2000 rule permit source any destination any # 配置流量行为以拒绝符合条件的数据流 traffic classifier basic match acl 2000 traffic behavior basic filter deny # 绑定上述条件与行动形成完整的策略链路 traffic policy basic classifier basic behavior basic ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值