防火墙实验一

原创 已于 2022-09-12 16:00:19 修改 · 2.2k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #服务器

于 2022-09-11 18:45:57 首次发布
本文详细介绍了如何配置防火墙接口、划分安全区域、VLAN及IP地址设置,包括创建安全策略、路由配置和内外网互通测试。遇到的问题和解决方案也有所提及,适合深入理解网络架构和防火墙管理。

实验要求——实验拓扑

在这里插入图片描述

对cloud1进行配置

在这里插入图片描述

对防火墙的g0/0/0端口进行一些配置

1.首先进入端口g0/0/0,将他配置ip与cloud1处于同一个网段

< USG6000V1 >system-view
[USG6000V1] int g0/0/0
[USG6000V1-GigabitEthernet0/0/0] ip add 172.25.10.2 24
这里要注意的是一定要在g0/0/0口进行配置,应为这个是一个管理口,并且所配置的ip要和cloud选中的除了UDP的另一个的网段是相同的。

然后启动服务

[USG6000V1-GigabitEthernet0/0/0] service-manage all permit

使用浏览器进入网站

使用浏览器访问你给防火墙加入的IP;用户名和密码就是你在今天防火墙命令配置界面的那个。
在这里插入图片描述
登录进入后,要进行一个选择网络可以看见他已经划分了4个区域
在这里插入图片描述
这里所显示的优先级也可以理解为是他的安全信任度,优先级越高他越信任。同时也有一个说法就是,从高到低的流量就是outbound;而从低到高的流量就叫做inbound。
我们也可以进行一个区域的新建划分:
在这里插入图片描述

对接口进行划分

有两种方式:
1.在安全区域内进行划分
在这里插入图片描述
2.直接在接口处进行一个选则
在这里插入图片描述
然后就用上面方式将接口1/0/1划分到trust区域;接口1/0/2划分到untrust区域;接口1/0/0划分到dmz区域

对交换机LSW1 进行一个接口vlan的划分

首先先划分出3个vlan分别是vlan2、vlan3、vlan10
1.进入到g0/0/2接口,然后进行一个vlan的配置:

[sw-GigabitEthernet0/0/2]port link-type access
[sw-GigabitEthernet0/0/2]port default vlan 2

2.进入到g0/0/3接口,然后配置为vlan3

[sw-GigabitEthernet0/0/3]port link-type access
[sw-GigabitEthernet0/0/3]port default vlan 3

3.进入到g0/0/1接口,然后划分vlan10

[sw-GigabitEthernet0/0/1]port link-type access
[sw-GigabitEthernet0/0/1]port default vlan 10

对各个vlan配置IP

vlan 2

[sw]int vlan 2
[sw-Vlanif2]ip add 172.16.2.1 24

vlan 3

[sw-Vlanif2]int vlan 3
[sw-Vlanif3]ip add 172.16.3.1 24

vlan10

[sw-Vlanif3]int vlan 10
[sw-Vlanif10]ip add 172.16.1.2 24

配置server服务器的IP地址

在这里插入图片描述

配置R2的接口g0/0/0的IP地址

[r2]int e0/0/0
[r2-Ethernet0/0/0]ip add 100.1.1.2 24

在防火墙上配置接口IP地址

配置方式参考下图:
配置g1/0/1接口的IP
在这里插入图片描述
配置g1/0/2接口的IP
在这里插入图片描述
配置g1/0/0接口的IP地址
在这里插入图片描述

然后需要在vlan2 和vlan3上写一个回程路由

在这里插入图片描述
然后在策略中进行修改
在这里插入图片描述
在分别对R1、R2和LSW1加上 一个缺省路由
R1:

[r1]ip route-static 0.0.0.0 0 172.16.2.1
在这里插入图片描述
R2:
[r2]ip route-static 0.0.00 0 100.1.1.1

在这里插入图片描述
LSW1:

[sw]ip route-static 0.0.0.0 0 172.16.1.1

在这里插入图片描述

在防火墙允许的情况下查看是否可以ping通

在这里插入图片描述

防火墙策略一:

先新建一个安全策略来设置内网能够访问外网

首先新建一个策略
在这里插入图片描述
新建地址组:
在这里插入图片描述
然后按照图填写,填写完毕后点击确认
在这里插入图片描述
这样的话安全策略就新建成功
在这里插入图片描述
然后测试是否能从内网ping通外网
在这里插入图片描述
在防火墙的配置界面也可以看到命数加1;如果没有出现尝试一下刷新
在这里插入图片描述

这里可能会有疑问就是明明我发的是5个,并且都ping通了;为什么命中数显示为1
这个原因就是因为它遵循的是首包原则

防火墙策略二——外网想访问DMZ区域

首先我们要开启server的HTTP服务

在这里插入图片描述

建立一个新的安全策略

新建策略的方法和刚刚的相同,只不过要多选一个服务。
在这里插入图片描述
这样的话就建立成功了
在这里插入图片描述

然后进行一个测试

在这里进行一个获取查看是否能获取到
在这里插入图片描述

我在这里遇到一个问题就是client2和server1是连接没有问题的、配置也没有问题,但是它一直获取失败,但是当我调整了一下server访问的路径,就连接成功,所以这可能是因为权限不够造成的
在这里插入图片描述

9.3 配置VRRP的跟踪接口及认证
qq_45382474的博客
11-06 1397
原理概述 当VRRP的Master设备的上行接口出现问题,而Master设备直保持Active状态,那么就会导致网络出现中断,所以必须要使得VRRP的运行状态和上行接口都能够关联。在配置了VRRP冗余的网络中,为了进步提高网络可靠性,需要在Master设备上配置上行接口监视,监视连接了外网的出接口。当此忌口断掉时,自动减小优先级定的数值(需人为配置),使减小后的优先级小于Backup设备的优先级,这样Backup设备就会抢占Master角色接替工作。 VRRP支持报文的认证。默...
网络安全——防御实验
Nirvana92的博客
07-09 1954
# 防御实验 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/63794e616c244387a03fae34450d6f00.png) #### 拓扑结构展示: ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/eb297641443c4f78b6c93c432e2b5286.png) ## 、 ### 根据题目,先为办公区做**安全策略**主要策略有以下几点: 1、书写名称和描述,名称和描述要**明确**,让除本人
防火墙配置【最详细的实验演示】
最新发布
A1_3_9_7的博客
10-04 1088
以上操作可定义个名称为new,优先级为60的安全域。
第二天防火墙:ASPF 和 NAT实验
weixin_62870380的博客
03-21 594
防火墙的ASPF策略、防火墙的NAT各种策略、防火墙的端口映射配置实验
防火墙实验1
qq_52016943的博客
09-08 1941
防火墙策略
华为 — 路由和交换(OSPF+VRRP+PAT+MSTP)及USG防火墙实验案列+配置)
qq_62311779的博客
10-05 5253
、拓扑+需求:二、配置:(1)路由与交换:—基础配置命令&相关查看命令接口ip的配置和子接口的配置相关vlan和trunk的配置接口下关闭:核心交换机关闭接口二层功能(二层变三层)配置vlan ip华为端口聚合捆绑:(按照顺序配置:)DHCP地址池:VRRP配置:MSTP:路由配置路由器PAT配防火墙: 接口配置: ——ospf 路由处理 ——PAT转换 ——静态NAT映射
精选资源
实验7 路由器模拟防火墙实验 - 实验步骤 - 要求.doc
06-21
实验7 路由器模拟防火墙实验知识点 实验7 路由器模拟防火墙实验旨在使用路由器实现包过滤防火墙功能,了解和熟悉防火墙的包过滤功能,并体会包过滤功能在网络安全中的重要性。 实验原理: 在该实验中,我们...
防火墙实验
wxhxmj的博客
07-10 686
5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统密码openlab123,其次登陆需要修改密码,用户过期时间设定10天,用户不允许多人使用。5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统密码openlab123,其次登陆需要修改密码,用户过期时间设定10天,用户不允许多人使用。2、生产区不允许访问互联网,办公区和游客区允许访问互联网。
ensp防火墙实验
CvtNhso的博客
07-11 2801
目的地址可以直接填写DMZ区的IP地址,也可以新建地址都行,用户这里先不写,后面在进行修改,服务这里因为是服务器区,所以我们要勾选我们需要的服务,不需要的我们就不勾选,默认这边就访问了其他的服务,时间段这里新建时间段,选我们工作期间的时间,动作选允许,之后选确定。5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统密码openlab123,首次。账号国企时间在创建用户时设置,在用户属性选项中,要求设置为10天,不允许多人使用,
win7个人防火墙实验.doc
06-15
个人防火墙实验 1.实验目的 (1)通过实验深入理解防火墙的功能和工作原理; (2)以win7防火墙为例熟悉配置个人防火墙; 2.实验原理 2.1防火墙的实现技术 (1)包过滤技术
精选资源
华为USG5500防火墙配置实验.pdf
11-18
华为USG5500防火墙配置实验.pdf
配置华为防火墙为三层核心交换机SVI
杨奇的博客
08-07 3455
Web配置防火墙三层核心交换机SVI: 配置防火墙接口: 配置防火墙安全区域: 划分VLAN:
防火墙实验(实现trust、untrust、DMZ区域互通)
weixin_64311421的博客
03-17 6581
通了之后在浏览器上输入192.168.81.2,输入用户密码。先给交换机LSW1接口配置划分VLAN2和VLAN3。分别在server1 和server3上测试是否成功。用LSW1上ping 防火墙10.1.255.2。在PC1上ping 10.1.255.2。在交换机上配置vlan10 vlan11。修改g1/0/2和g1/0/3连接类型。在FW1上配置个静态路由。到这里区域内部都互通了。在LSW1上写个缺省路由。再在物理主机上ping。在server2上配置。先配置GE0/0/0
防火墙拓扑
weixin_72593821的博客
02-19 699
为了分公司设备访问DMZ的http服务器可以做服务器映射,把http服务器的10.0.3.10:80映射到12.0.0.3:80上面,分公司直接访问12.0.0.3就可以访问到http服务器。5,办公区上网用户限制流量不超过60M,其中销售部人员在其基础上限制流量不超过30M,且销售部共10人,每人限制流量不超过3M。2.分公司设备可以通过总公司的移动链路和电信链路访问到DMZ区的http服务器。分公司内部的设备要访问分公司的http服务器就要做双向NAT。这样分公司的设备就可以访问到1.1.1.1了。
防御防火墙之综合拓扑的搭建
super_tool_man的博客
01-25 843
定要记得登录web端时在防火墙上进入 G 0/0/0接口并输入 service-manage all permit。现在就剩web端的操作了,首先我们需要知道,因为下面的vlan有两个但是,连接防火墙只有个接口,因此。首先我们需要进入web端的防火墙---需要注意的是第二张网卡,要自己创立张虚拟网卡,并且网段要与防火墙的网段样,只有这样,我们才可以web端登陆。那我们首先将防火墙下面的办公区和生产区的电脑配置上ip。我们的目标是所有的分区的主机都可以通过防火墙。解决问题的第步就是列出问题。
[华为eNSP入门]interface g0/0/0是什么意思
m0_70429755的博客
10-01 5042
IP需要接口处配置,因此需要指定配置的是什么接口 "interface" 表示你正在配置个接口。 "g0/0/0" 是接口的标识符。在华为设备中,"g" 通常表示千兆以太网接口(Gigabit Ethernet),而 "0/0/0" 表示插槽、端口和子端口的编号。在这种情况下,"g0/0/0" 表示第个插槽、第个端口、第个子端口的千兆以太网接口。
防火墙基础
weixin_42528239的博客
08-11 1019
防火墙基础 1、作用 区域间网络访问的控制 2、WEB界面 防火墙有个默认管理接口,g0/0/0用于WEB界面或远程登录管理 service-manage ftp(协议) permit/deny 接口下应用管理协议 远程地址:https://192.168.0.1:8443/ 3、接口应用 防火墙接口默认无法正常使用,必须将接口加入到相应的安全区域(zone)中 安全区域使用规则: (1)防火去默认自带四个安全区域trust(85)、untrust(5)、dmz(50)、local(100) (2)这四个安
0基础学RS(三)路由器基本配置
weixin_45816894的博客
04-06 4027
路由器基本配置 点击路由器就可以看到下面这个界面了 新路由器刚启动时会问你是否进入初始配置,咋了我们现在no然后进入用户EXEC模式 输入enable进入特权EXEC模式 我们要对路由器进行配置需要输入configure terminal进入全局配置模式 输入hostname R1可为路由器配置名为R1主机名 enable password cisco为特权EXEC模式创建密码 输入两次exit退出特权EXEC模式然后再进入,验证密码是否配置成功 注:输入的密码是不会显示出来的 接口配置 再
iptables 防火墙详解
热门推荐
shenyuanhaojie的博客
09-16 3万+
文章目录前言1. iptables 概述2. iptables 的表、链结构2.1 **ptables的四表五链结构介绍**2.1.1 **四表五链**2.1.2 **四表**2.1.3 **五链**2.2 **数据包过滤的匹配流程**(数据包到防火墙是)3. 编写防火墙规则3.1 iptabes 安装3.2 iptables 基本语法、数据包控制类型3.3 添加、查看、删除规则等基本操作3.3.1 iptables 命令的常用管理选项3.3.2 添加新的规则3.3.3 查看规则列表3.3.4 删除、清
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值