[FW]防火墙基础实验

最新推荐文章于 2025-06-11 19:43:41 发布
最新推荐文章于 2025-06-11 19:43:41 发布
阅读量365 收藏 8
点赞数 4
分类专栏: 华为Ensp实验配置学习 文章标签: 华为 路由交换 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_57076217/article/details/144571617
版权
今天说一下简单的FW配置实验,模拟器给的建议用USG6000V,并且模拟器的FW种类太少了,有很多命令都不咋支持,就只能用 security-policy 来做(使用interzone就不支持,)
拓扑图

![[Pasted image 20241218223730.png]]

需求

配置防火墙的区域间策略,使得PC1能够主动发起访问ping通PC2,但是PC2无法主动ping通PC1;PC2能够主动发起访问WEB服务。

镜像下载

eNSP下载
下载USG6000V
![[Pasted image 20241218212628.png]]

第一次添加设备会弹出导入路径,也可以右键[导入设备配置]
![[Pasted image 20241218212754.png]]

实验步骤

FW配置
第一次使用FW,需要重新设置

华为FW默认用户名:admin
密码:Admin@123
密码组合: 大写、小写、数字、特殊符号 缺一不可 Huawei@123

![[Pasted image 20241218213913.png]]

  1. 配置接口IP
[USG6000V1]int g1/0/2
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[USG6000V1-GigabitEthernet0/0/0]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address 10.1.1.254 24
[USG6000V1-GigabitEthernet1/0/0]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 172.16.1.254 24
  1. 添加安全区域接口
[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add int g1/0/2
[USG6000V1-zone-trust]q
[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add int g1/0/0
[USG6000V1-zone-untrust]q
[USG6000V1]firewall zone dmz 
[USG6000V1-zone-dmz]add int g1/0/1
  1. 配置security-policy策略,使得trust区域的192.168.1.0/24网段用户能够访问untrust区域的10.1.1.0/24网段。
#
 rule name pc1_to_pc2
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  destination-address 10.1.1.0 mask 255.255.255.0
  service icmp
  action permit
#
return

##########

#
 rule name pc2_to_pc1_deny
  source-zone untrust
  destination-zone trust
  source-address 10.1.1.0 mask 255.255.255.0
  destination-address 192.168.1.0 mask 255.255.255.0
  action deny
#
  1. 配置security-policy策略,使得untrust区域的10.1.1.0/24网段用户能够访问DMZ区域的web服务
 rule name pc2_to_dmz_http
  source-zone untrust
  destination-zone dmz
  source-address 10.1.1.0 mask 255.255.255.0
  destination-address 172.16.1.0 mask 255.255.255.0
  service http
  service icmp
  action permit
#

完成上述配置后,PC1即可主动发起访问PC2,而PC2无法主动访问PC1;另外,PC2能够访问WebServer的HTTP服务。下面做一些简单的验证及查看:

验证

查看安全区域

dis zone

![[Pasted image 20241218224752.png]]

PC1访问PC2
![[Pasted image 20241218224540.png]]

PC2访问PC1
![[Pasted image 20241218224647.png]]

PC2访问web![[Pasted image 20241218224711.png]]

防火墙综合实验
earthtoearth的博客
08-05 954
1、在交换机1和交换机2之间设立trunk链路trunk12包含g/0/21和g/0/22,设置为trunk接口并允许所有VLAN通过。5、将交换机1和交换机2的g/0/12端口设置为两台防火墙之间的心跳线,将VLAN设置为254,端口类型为access。4、将交换机3的g/0/1、g/0/2、g/0/3口设置为access接口并设置VLAN为10、20、100。2、将交换机1的g/0/23和交换机2的g/0/24设置为trunk接口并允许所有VLAN通过。
ENSP实验一:防火墙基础配置
热门推荐
Carohuan的博客
07-19 1万+
配置client(内网)、FTP Server(外网)的IP地址。进入防火墙,输入密码:默认为admin@123。
防火墙基础实验配置
weixin_72380152的博客
07-10 782
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10;5.生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,首次登录需要修。5.生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修。
防火墙基础实验
hey1616的博客
11-13 209
防火墙的五种类型、防火墙基础实验
安全进阶:虚拟防火墙基础实验
网络技术联盟站
11-18 1104
我们发现,在跟防火墙的路由表中,直连路由只有192.168.1.0/24及192.168.2.0/24两个网段,而192.168.11.0/24及192.168.13.0/24这两个网段的接口由于被添加到了虚拟防火墙vfw1中,所以查看根防火墙路由表是看不到这两条直连路由的。现在假设客户新增了一个需求,希望位于根防火墙的PC1能够访问位于虚拟防火墙上的Server2,能否实现?PC2与Server2属于一个敏感的业务,这个业务的流量要求与防火墙上的其他流量完全隔离,使用虚拟防火墙技术实现这个需求;
防火墙基础实验2
ln2385650611的博客
07-16 266
子公司通过电信和移动访问内部http服务器。首先创建dx,yd安全区域(与接口对应)10.0.2.10不能通过移动上网。子公司通过域名访问自己的服务器。子公司通过电信访问主公司服务器。配置子公司dns服务器。接着上一篇完成实验要求。fw1配置nat 策略。内部访问自己的服务器。fw2配置nat策略。
防火墙基础实验配置(三)
2202_75594192的博客
07-20 407
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分。
防火墙实验
m0_74851380的博客
07-10 862
1.配置各pc、server、FW的IP地址,生产区为vlan2,办公区为vlan3,在lsw3添加vlan2和vlan3,将g0/0/2口和g0/0/3口配为access口并分别加入vlan2和vlan3。[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.1 24 --------默认是有个ip地址的(192.168.0.1/24)可以修改。1.DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问。
华为ENSP防火墙基础实验安全区域配置、ftp配置
A1111_599的博客
12-10 1651
Cloud配置,先去控制面板-网络,找到VMnet8,将IP改成192.168.1.2,然后再到Cloud绑定信息中选择刚刚新配置的VMnet8,增加端口。然后我们再ping一下100.1.1.100,发现也是可以的(ping100.1.1.100的时候其实连接到内部网络中的172.16.1.2服务器)然后我们进入百度,输入192.168.0.1就会显示以下的界面,然后点击高级-继续访问192.168.0.1。点击Client2,在目的IP中输入server1的IP,查看是否可以发送。
华为ENSP实验防火墙基础配置与安全区域配置(保姆级教程)
2301_77508242的博客
08-08 1万+
内容是使用华为USG6000V防火墙和Cloud以及AR2220路由器、交换机、客户机、PC机来搭建起网络安全拓扑图并对防火墙基础配置与安全区域配置进行具体分析配置
华为防火墙基本配置实验
andy66868的博客
07-07 870
4、验证网络通断(如果不通,检查下fw1的g1/0/1的接口是否开启了ping,使用service-manage ping permit开启)6、配置区域间安全策略,允许untrust访问dmz区域的http服务器并做内网映射。1、创建trust、untrust、dmz区域,并添加相关接口。7、client1访问server1的http服务。3、客户端client1访问server1;2、允许trust区域访问isp;1、根据拓扑图划分相关区域;2、配置区域间安全策略。5、配置server1。
华为Pura 80系列发布 6499元起
weixin_61434268的博客
06-11 317
具体来说,华为Pura 80 Ultra搭载1英寸超高动态主摄,采用业界首创超大积分电容,大幅提升满肼容量,配合TCG三重实时融合技术,三路高容量信号分别捕捉超高亮、高亮和暗部细节,实现亮处有暗,暗处有光的超高动态效果,动态范围达到业界最高的16EV,不论是夜景下的火焰,还是暗光或逆光人像,都能做到超亮不过曝。售价方面,Pura 80 Pro 12GB+256GB售价6499元,12GB+512GB售价6999元,12GB+1TB售价7999元,6月14日发售。今天下午,华为Pura 80系列正式亮相。
华为服务器obsutil使用方法
qq_44908396的博客
06-11 709
华为云服务器上传下载中转加速操作
华为 “一底双长焦” 专利公布,引领移动影像新变革
RUZHUA的博客
06-06 524
持续的研发投入为华为积累了雄厚的技术实力,2024 年华为研发费用超 1200 亿元,累计专利超 35 万件,这些都为 “一底双长焦” 专利的诞生提供了坚实的技术支撑。此外,影像 CMOS 斜置结构还大大降低了纵向空间的使用,在有效减小摄像头模组体积、更好地控制机身厚度的同时,为传感器移动预留了足够大的空间,这对于实现强大的防抖设计,尤其是在长焦镜头拍摄中至关重要,有效解决了长焦拍摄和轻薄机身难以兼得的行业性难题。此次华为 “一底双长焦” 专利的公布,标志着其在移动影像技术自主研发方面又迈出了重要一步。
华为仓颉语言初识:并发编程之同步机制(上)
jiakuize2291的博客
06-06 1075
线程同步机制是多线程下解决线程对共享资源竞争的主要方式,华为仓颉语言提供了三种常见的同步机制用来保证线程同步安全,分别是原子操作,互斥锁和条件变量。仓颉中的多线程并发安全同步机制十分重要,对于会 Java 的小伙伴来说简单容易上手,但是也有一些需要注意的点,比如 notify 调用前必须要获取到线程锁,用完必须释放否则会导致其他线程无法获取到锁,本篇文章就先讲这些,已经学会了的小伙伴,赶快动手试试吧!。
98%国产的华为麒麟9000C台式机量产,搭载统信 UOS 操作系统
云水木石
06-09 424
该机型还配备了四通道LPDDR5高速内存,搭载安全可靠等级“II级”芯片,国产化率超过98%,操作系统采用的是国产操作系统统信UOS,可以实现极速开机,4K视频播放可以达到59fps。国产化率超过98%,这个数据不要小看,要知道一台计算机涉及的零部件成千上万个,98%的国产化率,也就意味着只有少数几个部件是进口的。长期以来,我们的计算机产业覆盖了中下游,也是全球最大的生产基地,但计算机的核心部件CPU、内存、芯片组、硬盘,都掌握在国外公司手中。这不仅保障了数据的安全性,也体现了我国在核心技术上的自主可控。
最新华为 HCIP-Datacom(H12-821)
最新发布
IT考试认证
06-11 258
在BGP中AS_Path属性按矢量顺序记录了某条路由从本地到目的地址所要经过的所有AS编号,如果BGP Speaker将这条路由通告给IBGP对等体时,会在Open报文中创建一个空的AS_Path列表,从而避免了AS间的路由环路。某企业网络中,用户要求研发人员的流量需按照特定的转发路径进行数据转发,而非研发人员的流量则根据路由表进行转发。在OSPF网络中,NSSA区域与STUB区域都是为了减少LSA数量,两者最主要的区别在于,NSSA区域可以引入外部路由,并同时接收OSPF其他区域引入的外部路由。
关于华为仓颉编程语言
Humbunklung的专栏
06-06 3155
仓颉编程语言凭借高效、安全、全场景适配等特性,成为鸿蒙生态的重要支柱。其设计融合了现代语言的优点,虽编译器实现尚未完全公开,但工具链的成熟度和社区生态已展现出潜力。对于开发者而言,仓颉的学习曲线接近Python和Go,适合全栈及智能应用开发。
华为0528笔试
weixin_46515691的博客
06-10 635
给定一个二维数组 mountainMap 表示一座山的地图,数组中的每个元素 mountainMap[x][y] 代表坐标 (x, y) 处山的高度。登山员从山底出发,爬到山峰。山底的含义:mountainMap中高度为0的坐标点。山峰的含义:mountainMap中高度最高的坐标点。登山员每次移动只能从当前位置向上下左右四个方向移动一格,向高处移动时,移动到的位置山的高度不能高于当前位置的高度加上固定的攀登能力值climbAbility;
ensp双防火墙
03-24
### ENSP中双防火墙配置教程或实验拓扑示例 在ENSP(Enterprise Network Simulation Platform)中实现双防火墙配置,可以通过模拟企业级网络架构来完成。以下是关于如何设计并配置防火墙的具体说明。 #### 设计思路 为了增强网络安全性和冗余能力,在实际的企业环境中通常会采用双防火墙的设计方案。这种设计方案可以提供更高的可靠性以及更精细的安全控制策略。具体来说: - **核心路由器**:作为整个网络的核心节点,负责连接外部互联网和其他内部子网[^2]。 - **交换机**:用于连接局域网内的各种设备,并通过VLAN技术隔离不同业务部门之间的通信流。 - **双防火墙**:分别部署于核心路由器与交换机之间,形成主备模式或者负载均衡机制下的双重保护屏障[^3]。 #### 实验拓扑描述 在此场景下,我们构建如下所示的一个简化版小型企业网络模型: ``` Internet ---- 路由器A (AR1) --- 防火墙FW1 -- 交换机SW1 -- PC_A | FW2 | SW2 -- PC_B ``` 其中: - `路由器A` 是接入公网的第一道关口; - `防火墙FW1 和 FW2` 构成高可用性的防护体系; - `交换机SW1/SW2` 则用来承载本地工作站间的交互活动; - `PC_A/PC_B` 表示最终用户的计算资源实例。 #### 主要操作流程概览 针对上述提到的结构布局,我们需要依次执行以下几个方面的设定工作: ##### 步骤一:初始化硬件参数调整 确保每台虚拟装置均已正确加载镜像文件,并按照需求分配相应的接口数量及属性定义[^4]。 ##### 步骤二:基础IP规划表制定 依据实际情况拟定一份详尽的地址映射清单,以便后续环节能够顺利推进下去。例如: | 设备名称 | 接口编号 | IPv4 地址 | 子网掩码 | 默认网关 | |----------|----------------|--------------------|---------------|-------------| | AR1 | GigabitEthernet0/0/0 | 192.168.1.1 | 255.255.255.0 | N/A | | | GigabitEthernet0/0/1 | 10.0.0.1 | 255.255.255.0 | | | FW1 | Inside | 192.168.1.2 | 255.255.255.0 | 192.168.1.1 | | | Outside | 10.0.0.2 | 255.255.255.0 | | | FW2 | Inside | 192.168.1.3 | 255.255.255.0 | | | | Outside | 10.0.0.3 | 255.255.255.0 | | ##### 步骤三:实施具体的命令行脚本编写 利用CLI方式逐一输入必要的指令片段以达成预期目标。部分关键代码展示如下: 对于防火墙FW1而言, ```bash # 设置inside zone trust level security-policy rule name allow-inside-to-outside source-zone inside destination-zone outside action permit # 定义NAT转换规则 nat outbound acl number 2000 address-group id 1 interface gigabitethernet 0/0/1 mode no-pat acl basic 2000 rule permit ip any host 10.0.0.2 ``` 同样地,也要对另一侧即FW2作出类似的安排处理过程[^1]。 最后一步便是验证整体连通状况良好与否——借助ping测试手段确认各端点间是否存在阻塞现象发生即可[^5]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网工菜鸟-小陈

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值