ensp简单防火墙

最新推荐文章于 2025-04-03 19:43:36 发布
最新推荐文章于 2025-04-03 19:43:36 发布
阅读量5.3k 收藏 51
点赞数 7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_46626894/article/details/114982711
版权

防火墙配置

文章目录

实验环境

在这里插入图片描述

实验思路

  • 设置PC和Server的IP与网关
  • 配置防火墙端口
  • 在防火墙设置trust和untrust区
  • 测试连通性,查看防火墙是否起作用

实验过程

1、pc和server IP设置

PC:

在这里插入图片描述

server:

在这里插入图片描述

2、端口设置
[USG6000V1]int g1/0/0

[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24

[USG6000V1-GigabitEthernet1/0/0]int g1/0/1

[USG6000V1-GigabitEthernet1/0/1]ip add 200.1.1.254 24

[USG6000V1-GigabitEthernet1/0/1]
3、配置防火墙
[USG6000V1]firewall zone trust 

[USG6000V1-zone-trust]add int g1/0/0

[USG6000V1]firewall zone untrust 

[USG6000V1-zone-untrust]add int g1/0/2

[USG6000V1]int g1/0/0

[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit

在这里插入图片描述

trust区绑定g1/0/0口和untrust区绑定g1/0/1口,并允许ping g1/0/0口,此时可以ping通防火墙两端端口,却无法与服务器联通,需要允许trust区的流量通过防火墙进入untrust区,进行一下操作

[USG6000V1]security-policy 

[USG6000V1-policy-security]rule name t_u

[USG6000V1-policy-security-rule-t_u]source-address 192.168.1.1 24

[USG6000V1-policy-security-rule-t_u]destination-address 200.1.1.1 24	

[USG6000V1-policy-security-rule-t_u]action permit
4、连通性

在这里插入图片描述
在这里插入图片描述

可以看到从pc到server的流量可以通过,从server ping pc无法ping通。

总结

防火墙是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术,通过合理配置合理部署防火墙安全策略以及安全区域,可以实现内网用户可以访问外网用户,反之不能访问内网用户和外网用户均可以访问服务器

ensp防火墙
m0_63199267的博客
03-15 3869
防火墙是一种隔离(非授权用户在区)并过滤(对受保护网络有害流量或数据包)的设备授权用户非授权用户防火墙的区:区的划分,根据安全等级来划分。
ENSP防火墙实验综合应用
dgw2648633809的博客
07-19 1352
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW113,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M14,销售部保证email应用在办公时至少可以使用10M的带宽,每个人至少1M15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分。
eNSP实验——防火墙配置(Zone 区配置 + 安全策略配置)
最新发布
记录
04-03 3017
防火墙(Firewall)是一种网络安全设备(硬件或软件),用于监控和控制进出网络的流量,基于预定义的安全规则允许或阻止数据包的传输。其主要目的是在可信网络(内网)和不可信网络(外网)之建立安全屏障,防止未授权访问、恶意攻击和数据泄露。防火墙既可以是二层设备,也可以是三层设备,具体取决于其工作模式和部署场景。特性三层防火墙二层防火墙工作层级网络层(Layer 3)数据链路层(Layer 2)IP地址需求需要配置IP地址和路由无需IP地址,透明转发部署影响需调整路由表对网络拓扑无影响过滤依据。
eNSP防火墙
qq_53365842的博客
04-26 4322
防火墙的相关知识 display ip interface brief //查看接口 display ip interface [FW-GigabitEthernet0/0/0]dis th dis zone //查看安全区 防火墙的web模式 ensp装在虚拟机里面就需要新建一个网络配置器,主机就操作主机的vmnet1 ip地址只要是192.168.0.X 网段的都可 192.168.0.1:84443 admin Admin@123 通过远程登入防火墙 telnet
ensp-防火墙
西部壮仔的博客
05-18 6046
实验拓扑: 工作模式: ①透明网桥模式(可将防火墙当成二层交换机) ②路由模式 (可将防火墙当成三层路由器) DMZ:demilitarized zone,通常给该区放服务器 注:优先级越高表示越信任 将接口划入区 方向 outbound:高优先级访问低优先级 inbound:低优先级访问高优先级 注:“访问”仅指的是出包即主动发起的第一个报文,即建立会话(session)的过程。 五元组 防火墙NAT ① NAT转换:firewall 允许内网私网用户访问外网服务器 nat-policy
ensp简单防火墙策略实验USG6000V
sgslwms的博客
12-14 5384
1:配置ip地址 <Huawei>sys [Huawei]sys User1 [User1]un in en [User1]int g0/0/0 [User1-GigabitEthernet0/0/0]ip add 10.1.1.1 24 <Huawei>sys [Huawei]sys User2 [User2]un in en [User2]int g0/0/0 [User2-GigabitEthernet0/0/0]ip add 192.168.1.1 24 <H..
ensp通过防火墙做nat dns
qq_60582114的博客
10-14 3364
前言 以usg6000v为例,防火墙分为四个常见区:trust区(优先级85),dmz区(优先级50),untrust区(优先级5)和local区(优先级100)。需要注意的是,如果需要区通信,则需要通过安全策略放行通信来实现,下面,我们将通过简单的拓扑使用防火墙做nat和dns…… 1.实验拓扑内网通过dhcp接口下放192.168.1.0网段,FW1的g1/0/1接口ip为10.1.1.1/24,AR1的looback口ip为1.1.1.1/32,以此类推,外网做ospf实现通信。 实验
华为的ENSP设备包(防火墙USG6000V)
02-22
ENSP中导入USG6000V设备包的步骤相对简单。用户首先需要从相关渠道下载到ENSP设备包的压缩文件,通常是.zip格式。下载完成后,用户需要将压缩包解压到本地存储设备上。在ENSP软件中,用户可以通过设备导入功能来...
ensp防火墙------安全策略实验
m0_74355247的博客
07-11 1743
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地址10.0.3.10。5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时设定为10天,用户不允许多人使用。1、配置IP,创建一个测试以太网,给cloud增加端口,并给防火墙配置(开启所有允许服务、修改登录密码),划分vlan。
ensp登陆防火墙.doc
10-28
ensp中,防火墙6000默认是登录不上的,需要添加设备包,本文档提供了华为ensp防火墙的俩种登录方式,登录配置即可
ENSP 防火墙USG6000V1配置学习实验
m0_57772191的博客
03-30 5716
防火墙是将网络划分为各个安全区,并对安全区进行策略配置,其中的安全策略和放行流量都可根据需要进行设置,本实验中没有进行特定流量过滤。状态防火墙因为具有首包创建会话功能,使得工作效率大大提升,流量进入防火墙后会查询会话表,匹配到会话表则直接处理。防火墙也具有路由和交换的功能,有的网络中可能会没有路由器而是用防火墙代替的,但是防火墙相较于路由器,在巨量流量处理和效率上能力不足。
eNSP实验——防火墙firewall配置实验
2301_78942293的博客
07-22 570
1、将接口加入安全区;2、新建安全区时(处trust,untrust,dmz以外的区)需要设置与缺省优先级不同的优先级;3、设置安全策略(由严格到宽松);
防火墙的双机热备+带宽管理
m0_67441173的博客
07-16 669
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分。
ensp防火墙实验
CvtNhso的博客
07-11 2535
目的地址可以直接填写DMZ区的IP地址,也可以新建地址都行,用户这里先不写,后面在进行修改,服务这里因为是服务器区,所以我们要勾选我们需要的服务,不需要的我们就不勾选,默认这边就访问了其他的服务,时段这里新建时段,选我们工作期的时,动作选允许,之后选确定。5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次。账号国企时在创建用户时设置,在用户属性选项中,要求设置为10天,不允许多人使用,
ENSP防火墙配置
G2511624722的博客
05-28 3242
文章介绍了ensp防火墙配置web界面,以及web界面的详细配置,内网到外网的互通,内网之的互通,配置安全策略,安全区等...
ENSP实现防火墙策略与用户管理
qq_69294474的博客
07-10 1301
LSW7交换机配置vlan,其中生产区在vlan2,办公区在vlan3.防火墙在G1/0/3上配置子接口分别实现管理,命令如下。注意顺序,单个IP先允许访问ping,而后在拒绝所有。要先有身份再有登录用户!
ensp防火墙
03-16
### ENSP防火墙配置教程及使用指南 #### 1. 设备注册与初始化 在eNSP中搭建USG6000V防火墙时,首要步骤是完成设备的注册过程。这是非常重要的一步,因为只有成功注册后才能正常运行并应用后续配置[^1]。 #### 2. 创建与启动防火墙实例 通过eNSP软件界面创建USG6000V虚拟防火墙实例,并确保其能够顺利启动。随后按照标准拓扑图连接客户端或其他网络组件。 #### 3. 接口划分与区设定 防火墙通常涉及多个不同的逻辑区,主要包括`Untrust`(外部不可信网络)、`Trust`(内部可信网络)以及可选的`DMZ`(隔离区)。这些区用于区分不同信任级别的流量处理方式[^2]: - **Untrust**: 外部公共互联网接入部分。 - **Trust**: 内部局网保护对象所在位置。 - **DMZ**: 提供公共服务的同时保持一定安全性的地方。 #### 4. 基础功能启用与IP分配 为了使防火墙具备完整的防护能力,需依次打开所需的各种特性和服务模块。同时还需要合理规划各接口上的IPv4地址资源^,^[^4]: ```bash interface GigabitEthernet 0/0/0 ip address 192.168.0.1 255.255.255.0 service-manage https permit service-manage ping permit ``` 上述命令片段展示了如何给指定物理端口赋予静态IP参数,并允许特定类型的管理访问请求穿过该链路层实体。 #### 5. NAT转换机制部署 当企业内部私有LAN试图经由公网出口对外通信时,则不可避免要涉及到地址翻译操作。下面是一段关于简易型源NAT(`Easy IP`)策略的具体实施说明[^3]^,^[^5]: ```bash nat-policy rule name to_internet action source-nat easy-ip quit ``` 这段脚本定义了一个名为`to_internet`的新规条目,在匹配条件下自动执行相应的易用版地址映射动作。 #### 6. WEB图形化控制台登陆指引 如果倾向于采用更直观便捷的方式来进行日常运维管理工作的话,那么可以考虑利用web界面对防火墙进行远程操控。以下是几个关键要点: - 确认PC主机上已安装适配好的虚拟网络适配器驱动程序; - 将新增加出来的虚拟NIC卡设成跟目标防火墙管辖区内的子网一致; - 测试连通状况无误之后再尝试输入URL链接字符串`https://<firewall_ip>:8443`来触发身份验证对话框; 默认初始用户名为`admin`, 对应密码则是`Admin@123`. 不过出于安全考量建议尽快更改为自己定制化的组合形式比如`Huawei@123`. ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值