eNSP—防火墙基本操作3

已于 2023-03-09 23:24:31 修改
阅读量860 收藏 6
点赞数
文章标签: 网络互联
于 2022-02-25 21:28:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_46237205/article/details/123141006
版权
本文档详细介绍了防火墙的基本配置,包括不同接口的IP地址设置及区域划分。接着,为满足特定需求,配置了多个策略:1) 允许Client1访问Client2的ICMP服务;2) 允许PC1访问PC2的HTTP和FTP服务;3) 只允许Client2访问HTTP服务;4) 客户端通过DNS服务访问100.1.1.1。这些配置确保了网络间的安全通信和访问控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

拓扑如下:
在这里插入图片描述

【1】防火墙的基本配置:

[SRG]int g0/0/1
[SRG-GigabitEthernet0/0/1]ip add 10.1.1.254 24
[SRG-GigabitEthernet0/0/1]int g0/0/4
[SRG-GigabitEthernet0/0/4]ip add 10.1.2.254 24
[SRG-GigabitEthernet0/0/4]int g0/0/3
[SRG-GigabitEthernet0/0/3]ip add 100.1.1.254 24
[SRG-GigabitEthernet0/0/3]int g0/0/2
[SRG-GigabitEthernet0/0/2]ip add 20.1.1.254 24
[SRG-GigabitEthernet0/0/2]int g0/0/5
[SRG-GigabitEthernet0/0/5]ip add 20.1.2.254 24
[SRG-GigabitEthernet0/0/5]quit
[SRG]firewall zone trust 
[SRG-zone-trust]add int g0/0/4
[SRG-zone-trust]add int g0/0/1
[SRG-zone-trust]quit
[SRG]firewall zone name dmz1
[SRG-zone-dmz1]set priority 59
[SRG-zone-dmz1]add int g0/0/3
[SRG-zone-dmz1]quit
[SRG]firewall zone untrust 
[SRG-zone-untrust]add int g0/0/2
[SRG-zone-untrust]add int g0/0/5

【2】要求1( client1 可以访问client2 ICMP服务)的配置:

[SRG]policy interzone trust untrust outbound 	
[SRG-policy-interzone-trust-untrust-outbound]policy 1
[SRG-policy-interzone-trust-untrust-outbound-1]policy source 10.1.1.1 0
[SRG-policy-interzone-trust-untrust-outbound-1]policy destination 20.1.1.1 0
[SRG-policy-interzone-trust-untrust-outbound-1]policy service service-set icmp
[SRG-policy-interzone-trust-untrust-outbound-1]action permit

在这里插入图片描述

【3】要求2(PC1 可以访问PC2 ICMP服务)的配置:

[SRG]policy interzone trust dmz1 outbound 
[SRG-policy-interzone-trust-dmz1-outbound]policy 1
[SRG-policy-interzone-trust-dmz1-outbound-1]policy source 10.1.1.1 0	
[SRG-policy-interzone-trust-dmz1-outbound-1]policy destination 100.1.1.1 0
[SRG-policy-interzone-trust-dmz1-outbound-1]policy service service-set http
[SRG-policy-interzone-trust-dmz1-outbound-1]action permit 
[SRG-policy-interzone-trust-dmz1-outbound-1]quit
[SRG-policy-interzone-trust-dmz1-outbound]policy 2
[SRG-policy-interzone-trust-dmz1-outbound-2]policy source 10.1.1.1 0
[SRG-policy-interzone-trust-dmz1-outbound-2]policy destination 100.1.1.1 0
[SRG-policy-interzone-trust-dmz1-outbound-2]policy service service-set ftp 
[SRG-policy-interzone-trust-dmz1-outbound-2]action permit 
[SRG-policy-interzone-trust-dmz1-outbound-2]quit
[SRG-policy-interzone-trust-dmz1-outbound]quit
[SRG]firewall interzone trust dmz1
[SRG-interzone-trust-dmz1]detect ftp

在这里插入图片描述
在这里插入图片描述

4、要求3(client2只允许访问HTTP服务)的配置:

[SRG]policy interzone untrust dmz1 inbound 
[SRG-policy-interzone-dmz1-untrust-inbound]policy 1
[SRG-policy-interzone-dmz1-untrust-inbound-1]policy source 20.1.1.1 0
[SRG-policy-interzone-dmz1-untrust-inbound-1]policy destination 100.1.1.1 0
[SRG-policy-interzone-dmz1-untrust-inbound-1]policy service service-set http
[SRG-policy-interzone-dmz1-untrust-inbound-1]action permit

在这里插入图片描述

5、要求4(client1可以通过域名来访问100.1.1.1)的配置:

[SRG-policy-interzone-trust-dmz1-outbound]policy 3
[SRG-policy-interzone-trust-dmz1-outbound-3]policy source 10.1.1.1 0
[SRG-policy-interzone-trust-dmz1-outbound-3]policy destination 100.1.1.1 0	
[SRG-policy-interzone-trust-dmz1-outbound-3]policy service service-set dns	
[SRG-policy-interzone-trust-dmz1-outbound-3]action permit

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

德暮
关注
华为eNSP防火墙USG5500基本配置
mxiang5087的博客
12-04 3328
查询防火墙配置文件,使用命令dis cu,找到数据包过滤部分的配置,local到trust区域的数据包允许进也允许出,所以防火墙报文到各自区域都有outbound,报文都能通过。配置防火墙端口地址,并定义DMZ、Trust、Untrust区域,把接口分配到三个不同的区域,需注意Local区域没有定义,但是代表防火墙本身,192.168.0.1是防火墙自带的管理地址,10.1.1.1、10.1.30.1、20.1.1.1都是防火墙Local内的地址。修改防火墙的策略,使得DMZ区域的主机能进行ping测试。
ENSP 防火墙USG6000V1配置学习实验
m0_57772191的博客
03-30 5729
防火墙是将网络划分为各个安全区域,并对安全区域进行策略配置,其中的安全策略和放行流量都可根据需要进行设置,本实验中没有进行特定流量过滤。状态防火墙因为具有首包创建会话功能,使得工作效率大大提升,流量进入防火墙后会查询会话表,匹配到会话表则直接处理。防火墙也具有路由和交换的功能,有的网络中可能会没有路由器而是用防火墙代替的,但是防火墙相较于路由器,在巨量流量处理和效率上能力不足。
ENSP5500防火墙基础配置
xtggbmdk的博客
12-08 580
华为防火墙系统默认的系统默认区域有四个,且优先级不能更改:非受信区(Untrust) 优先级5,非军事化区(DMZ)优先级50,受信区(Trust) 优先级85,本地区域(Local) 优先级100;Untrust区域:不信任的接口,是用来接internet的,这个接口的信息内网不接受,可以通过untrust口访问DMZ,但不能访问trust口。是局域网的接口,此接口外网和DMZ无法访问,外部不能访问trust口,DMZ不能访问trust口。就算是黑客把DMZ服务器拿下,也不能使用服务器来控制内网的网络
华为eNSP-防火墙实验
热门推荐
weixin_45745641的博客
12-14 1万+
1规划并配置IP地址 2将网络分别加入对应的区域 3实现pc1访问pc2,pc2访问服务器,其他不能互访
华为Ensp 防火墙(usg5500)基础配置
最新发布
m0_63180480的博客
04-28 624
华为Ensp防火墙(usg5500)基础配置 trust、untrust、dmz区域划分,匹配对应规则,保证连通信
华为ENSP实验之防火墙基础配置与安全区域配置(保姆级教程)
2301_77508242的博客
08-08 1万+
内容是使用华为USG6000V防火墙和Cloud以及AR2220路由器、交换机、客户机、PC机来搭建起网络安全拓扑图并对防火墙基础配置与安全区域配置进行具体分析配置等
ensp 防火墙示例_ensp实战之防火墙安全转发策略
weixin_39604516的博客
12-22 1702
本次实验用防火墙是USG6000V,拓扑图如下:步骤一:按上面配好PC1、2、3以及WWW服务器的IP地址、子网掩码以及网关;步骤二:进入防火墙的CLI命令模式下,按一下命令配置:配置各个接口的IP 地址,并加入相应的安全区域。system-view[USG6000V1]int g 1/0/0[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.5.1 24...
ensp防火墙基本配置dmz
01-04
### ENSP 防火墙 DMZ 基本配置教程 #### 了解DMZ区域概念 DMZ(Demilitarized Zone),即非军事化区,在网络安全架构中扮演着特殊角色。此区域位于内部信任网络(Trust)与外部不可信网络(Untrust)之间,用于放置...
ensp防火墙基本配置vlanif
03-08
### ENSP防火墙中VLANIF接口基本配置 在ENSP环境中,对于防火墙设备而言,VLANIF接口用于实现不同虚拟局域网(VLAN)之间的通信。通过给物理端口分配不同的VLAN ID并创建对应的VLANIF逻辑接口,可以灵活管理网络...
华赛防火墙USG2200&5500web配置方式
12-04
华赛防火墙USG2200&5500web配置方式
ENSP防火墙USG5500 NAT/FTP配置
sxjk1987的专栏
01-16 8363
常见的企业的NAT场景的配置过程。这个企业在对外FTP服务的同时,还有部分员工需要通过NAT访问Internet。由于该企业只有一个公网IP资源,已经作为设备连接外网的接口的IP地址,所以使用easy-ip方式借用这个接口的IP地址来提供NAT服务。 企业内网网段:10.3.0.0/24 --->防火墙GE0/0/0 安全区域trust 企业内IP地址自动分配,通过NA...
ensp基于防火墙USG5500配置的安全策略
weixin_73918876的博客
11-09 6202
需要注意的是,防火墙并非是绝对的安全措施,因此建议综合使用其他安全措施,如安全软件、定期更新软件补丁和培训用户安全意识,以建立全面的网络安全防护体系。记录和审计:防火墙通常具备记录和审计功能,可以记录进出网络的流量、事件和安全日志。拦截恶意软件:防火墙可以检测和拦截传播恶意软件(如病毒、蠕虫和特洛伊木马)的网络流量,从而保护计算机和网络免受感染和数据泄露的风险。阻止未经授权的访问:防火墙可以识别和拦截来自未经授权的用户或恶意攻击者的网络流量,以防止他们进入受保护的网络和系统。步骤二、配置防火墙
防火墙基于Ensp的基本配置(SecureCRT的SSH登录配置)
weixin_45365331的博客
04-19 1619
防火墙基于Ensp的基本配置(SecureCRT的SSH登录配置)
ENSP实验十三——USG5500的基本配置(一)
qq_21230015的博客
12-16 8774
一、设备清单及目标 1,设备 10台PC,4台交换机S5700,2台路由器AR2220,2台服务器server,1台防火墙USG5500。 2,目标 ①Trust区域各个主机可以互联 ②trust区域内各个主机可以访问dmz ③trust区域内192.168.2.0/24网段不能访问外网untrust区域,.1.0/24可以 ④开启域名服务器使trust内192.168.1.0/24可以直接ping域名。 二、拓扑图 三、配置 1,PC PC1:IP/掩码 192.168.1..
ensp模拟防火墙
qq_46464118的博客
04-21 3195
基础准备 构建小型局域网 在此基础上拓展操作添加Cloud和防火墙FW1 并设置如下: 防火墙与路由器连通地址:192.168.5.1/24 路由器与防火墙连通地址:192.168.5.2/24 外网地址:192.168.11.9/24 Cloud配置 配置好网云后添加防火墙,对G0/0/1口进行配置 FW1配置 <SRG>system-view [SRG]firewall zo...
ENSP实验十二——USG5500策略配置命令验证
qq_21230015的博客
12-15 7582
一、设备清单及目标 1,设备 3台PC,1台USG5500。 2,目标 配置并验证USG5500一些策略配置命令。 二、拓扑图 三、配置 1,PC PC1作为trust区域 IP/掩码 1.1.1.1/24,GW1.1.1.254 PC2作为untrust区域 IP/掩码 2.2.2.2/24,GW2.2.2.254 PC3作为dmz区域 IP/掩码3.3.3.3/24,GW3.3.3.254 2,防火墙 要求一: trust可以访问dmz和untrust,untru
eNSP防火墙入门配置
sml1692812762的博客
07-07 784
开启管理服务[USG6000V1-GigabitEthernet0/0/0]service-manage all permit。入接口选择1 出接口选择2 点击双向通道再点增加。防火墙地址必须和虚拟网卡地址在同一个网段。可以改防火墙地址也可以改虚拟网卡地址。输入防火墙地址进入防火墙登录界面。输入初始密码Admin@123。点击y输入旧密码再输入新密码。系统视图进入g0/0/0接口。输入之前设置的密码账号。输入账号:admin。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值