防火墙作业

于 2025-02-08 20:43:23 发布
阅读量634 收藏 16
点赞数 23
CC 4.0 BY-SA版权
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/quencep/article/details/145521934

一.拓扑图

 二.需求

需求:
1.vlan2属于办公区,vlan3属于生产区

交换机上创建vlan和分配接口acess和trunk
2.办公区pc在工作日时间(星期1-5,早8-晚6)可以正常访问oa区其他时间不允许

创建地址集bg和oa

时间段:work(星期1-5,早8-晚6)

源区域:trust

目的区域:dmz
源地址:bg

目的地址:oa

时间段:work

动作:permit(允许)
3.办公区pc可以任意时刻访问web区

创建地址集:web

源区域:trust

目的区域:dmz
源地址:bg

目的地址:web

动作:permit(允许)

4.生产区pc可以任意时刻访问oa,但是不能访问web(就只访问oa即可)

创建地址集:sc

源区域:trust

目的区域:dmz
源地址:sc

目的地址:oa

动作:permit(允许)

5。特例,生产区pc可以在每周一早10-11访问web,用来更新企业最新产品信息

创建时间段:update(每周一早10-11)

源区域:trust

目的区域:dmz
源地址:sc

目的地址:web

时间段:update

动作:permit(允许)

三.配置与测试

IP配置

SW2配置

创建vlan和分配接口acess和trunk

[sw2]vlan 2
[sw2]vlan 3
[sw2]interface GigabitEthernet 0/0/1
[sw2-GigabitEthernet0/0/1]port link-type trunk
[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[sw2-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[sw2-GigabitEthernet0/0/2]port link-type access
[sw2-GigabitEthernet0/0/2]port default vlan 2
[sw2-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[sw2-GigabitEthernet0/0/3]port link-type access
[sw2-GigabitEthernet0/0/3]port default vlan 3
[sw2-GigabitEthernet0/0/3]interface GigabitEthernet 0/0/4
[sw2-GigabitEthernet0/0/4]port link-type access
[sw2-GigabitEthernet0/0/4]port default vlan 3

FW:

Web:

接口配置:

1/0/0

1/0/1.1

1/0/1.2

开启1/0/1.1和1/0/1.2的ping功能

[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]service-manage ping permit
[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]service-manage ping permit

安全策略:

需求:

1.vlan2属于办公区,vlan3属于生产区

2.办公区pc在工作日时间可以正常访问oa区,其他时间不允许

BG区

OA区

Work时间段

为了测试将时间改为any看是否可以ping通:

在星期一进行的ping测试:

3.办公区pc可以任意时刻访问web区

Web地址集

策略

测试

4.生产区pc可以任意时刻访问oa,但是不能访问web(直接访问oa)

SC地址集
策略
测试

5.特例,生产区pc可以在每周一早10-11访问web,用来更新企业最新产品信息

Update时间段
策略
测试

Web界面

命令行

接口配置

1/0/0:
[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24

1/0/1.1:
[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]ip address 192.168.1.126 25
[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 2

1/0/1.2:
[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]ip address 192.168.1.254 25
[FW-GigabitEthernet1/0/1.2]vlan-type dot1q 3

将接口划入对于区域

Dmz区域:
[FW]firewall zone dmz
[FW-zone-dmz]add interface GigabitEthernet 1/0/0

Trust区域:
[FW]firewall zone trust
[FW-zone-trust]add interface GigabitEthernet 1/0/1.1
[FW-zone-trust]add interface GigabitEthernet 1/0/1.2

查看区域命令(看区域对应接口):

[FW]display zone

开启1/0/1.1和1/0/1.2的ping功能(或者在1/0/1接口上配置IP后在删除)

[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]service-manage ping permit
[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]service-manage ping permit

安全策略

需求

1.vlan2属于办公区,vlan3属于生产区

2.办公区pc在工作日时间(星期1-5,早8-晚6)可以正常访问oa区其他时间不允许

Bg地址集:
[FW]ip address-set bg -----创建地址集--名字
[FW-object-address-set-bg]address 192.168.1.0 mask 25----地址ip或网段
OA
[FW]ip address-set oa
[FW-object-address-set-oa]address 10.0.0.1 mask 32
 查看所以地址集:
[FW]display ip address-set all

时间段:

Work:
[FW]time-range work------创建时间段
[FW-time-range-work]period-range 08:00:00 to 18:00:00 working-day ------设置时间段的时间
( working-day 星期1-5)
安全策略
[FW]security-policy----进入策略
[FW-policy-security]rule name polic1-----策略名字
[FW-policy-security-rule-polic1]description bg_to_oa----策略描述
[FW-policy-security-rule-polic1]source-zone trust--源区域 
[FW-policy-security-rule-polic1]destination-zone dmz --目的区域
[FW-policy-security-rule-polic1]source-address address-set bg---源地址
[FW-policy-security-rule-polic1]destination-address address-set oa --目的地址
[FW-policy-security-rule-polic1]time-range work--时间段
[FW-policy-security-rule-polic1]action permit -----策略动作--允许

3.办公区pc可以任意时刻访问web区

Web地址集:

[FW]ip address-set web
[FW-object-address-set-web]address 10.0.0.2 mask 32

策略:

[FW]security-policy
[FW-policy-security]rule name polic2
[FW-policy-security-rule-polic2]description bg_to_web
[FW-policy-security-rule-polic2]source-zone trust
[FW-policy-security-rule-polic2]destination-zone dmz
[FW-policy-security-rule-polic2]source-address address-set bg
[FW-policy-security-rule-polic2]destination-address address-set web
[FW-policy-security-rule-polic2]action permit

4.生产区pc可以任意时刻访问oa,但是不能访问web

SC地址集

[FW]ip address-set sc
[FW-object-address-set-sc]address 192.168.1.128 mask 25

策略:

[FW]security-policy
[FW-policy-security]rule name polic3
[FW-policy-security-rule-polic3]description sc_to_oa
[FW-policy-security-rule-polic3]source-zone trust
[FW-policy-security-rule-polic3]destination-zone dmz
[FW-policy-security-rule-polic3]source-address address-set sc(如果没写地址集sc可以直接写192.168.1.128 25)
[FW-policy-security-rule-polic3]destination-address address-set oa(如果没写oa直接写
10.0.0.1 32)
[FW-policy-security-rule-polic3]action permit

5.特例,生产区pc可以在每周一早10-11访问web,用来更新企业最新产品信息

Update时间段:
[FW]time-range update
[FW-time-range-update]period-range 10:00:00 to 11:00:00 Mon

策略:

[FW]security-policy
[FW-policy-security]rule name polic4
[FW-policy-security-rule-polic4]description sc_to_web
[FW-policy-security-rule-polic4]source-zone trust
[FW-policy-security-rule-polic4]destination-zone dmz
[FW-policy-security-rule-polic4]source-address address-set sc
[FW-policy-security-rule-polic4]destination-address address-set web
[FW-policy-security-rule-polic4]time-range update
[FW-policy-security-rule-polic4]action permit

四,会话表和server  map表

会话表

[FW]display firewall session table 

server map表

[FW]display firewall server-map 

 

quencep
关注
计算机网络期末大作业:以防火墙作为出口设备的小型企业园区网络架构设计与实现
m0_74169440的博客
01-18 2599
计算机网络毕业设计(期末大作业):以防火墙作为出口设备的小型企业园区网络架构设计与实现
【实战教程】掌握防火墙双机热备,确保业务不间断!
didiplus
01-25 1891
网络安全的领域中,保障连续性和可靠性至关重要。而防火墙双机热备技术,宛如网络的安全双保险,确保在一台防火墙发生故障或停机时,另一台能够即时接管,实现无缝切换,保持网络的不间断运行。这种高可用性的设计为网络架构提供了额外的安全层,应对潜在风险,确保网络的稳定与安全。
华为防火墙easy-ip配置
qq_35511540的博客
04-07 8872
ip address-set 1// 名称 type object //定义转换的ip地址范围 address 0 10.1.0.0 mask 16 nat-policy rule name nat source-zone trust egress-interface GigabitEthernet1/0/0 //使用本接口的ip进行转换,也就是外网口 source-address add...
usg防火墙安全策略配置
u010674101的专栏
05-30 2401
总体来说,该规则可以实现对特定源地址和目标地址的访问限制,避免未授权的用户或主机访问生产环境中的 Pulsar 系统,保障系统的安全性和稳定性。需要注意的是,该规则仅作为安全策略中的一部分,应该结合其他规则和安全措施进行综合考虑和管理。: 表示目标地址为域名集合“生产pulsar组”,即限制访问生产 Pulsar 系统中使用的一组域名。:表示对该规则进行了简要描述,说明该规则的作用是限制办公网络访问生产环境的 Pulsar 系统。:表示本规则匹配的数据流来自于名为“trust”的安全区域。
华为防火墙 DMZ 设置
一直被模仿,从未被超越
11-21 4487
例如FTP服务器、E-Mail服务器及网站服务器等允许外部用户访问这些服务器,但不可能接触到存放在内网中的信息,就算黑客入侵DMZ服务器,也不会影响到公司内部网络安全,不允许任何外部网络的直接访问,实现内外网分离,在企业的信息安全防护加了一道屏障。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个位于内部网络与外部网络之间的缓冲区,在这个网络区域内可以放置一些公开的服务器资源。DMZ 是英文"Demilitarized Zone"的缩写,中文名称为"隔离区"
华为USG5500和USG6000的一些配置命令
热门推荐
不光要学,知识要能说出口
08-20 4万+
一、默认配置 管理接口:g0/0/0,而且默认开启了dhcp sever ip地址:192.168.0.1/24 用户名:admin 密码:Admin@123(注意大小写) 二、端口和区域配置 进入端口视图 interface GigabitEthernet 0/0/1 配置ip地址 ip address 192.168.1.1 255.255.255.0 开启端口
华为eNSP安全策略配置
YT的博客
01-11 1万+
安全策略配置原则 首包做安全策略过滤;后续包不做安全策略过滤,而是根据会话表进行转发。 安全策略业务流程 流量通过下一代防火墙(NGFW)时,安全策略的处理流程如下: ①NGFW会对收到的流量进行检测,检测出流量的属性,包括:源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段。 ②NGFW将流量的属性与安全策略的条件进行匹配。如果所...
防火墙期末设计大作业(ensp)
08-09
企业网可通过IPsec VPN在公网上为三个甚至三个异地私有网络提供安全通信通道,通过加密通道保证连接的安全性,此时内部的服务器仅对认可的用户开放服务,大大的提高了网络的扩展性、便捷性与安全性。...
12-SGISLOP-SA14-10防火墙等级保护测评作业指导书三级.pdf
07-11
12-SGISLOP-SA14-10防火墙等级保护测评作业指导书三级.pdf12-SGISLOP-SA14-10防火墙等级保护测评作业指导书三级.pdf12-SGISLOP-SA14-10防火墙等级保护测评作业指导书三级.pdf12-SGISLOP-SA14-10防火墙等级保护测评...
主变防火墙主体施工作业指导书.pdf
11-05
"主变防火墙主体施工作业指导书" 该文件主要介绍了主变防火墙主体施工作业的指导书,旨在提供详细的施工指导和技术要求,确保施工项目的顺利进行。以下是该指导书中所涉及的主要知识点: 一、工程概况 * 项目概况...
防火墙网络地址转换技术
zljszn的博客
10-13 5076
先来简单的阐述一下什么是源NAT地址的方式,第一种方式是不带端口号进行转换,就是需要配置一个公网地址池,私网地址转换的时候找公网地址池当中的其中一个没有在使用的公网地址转换即可,其实着也是一对一的关系,如果公网地址池当中的地址被转换完后其他的私网主机想出来上网就无法上网课,第二种方式就是带端口转换,就是也需要一个公网地址池,但是这个地址池里面只需要一个公网地址即可,内网的主机出来转换的时候就转换到这个公网地址的不同端口即可,端口的范围是0~65535,这样才能做到真正节约公网地址的目的。
防火墙的源NAT技术详解-武汉科云
weixin_69109701的博客
10-09 1644
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------上面两个技术了解即可。(谁来找我要,我就给谁分配池里子未使用的公网地址,并且在分配之后,会将该公网地址标注为use状态)
firewall命令
最新发布
zhao_xinhu的博客
01-17 1353
查看防火墙状态firewall-cmd--state 停止防火墙 systemctlstopfirewalld.service 启动防火墙 systemctlstartfirewalld.service 开放8080端口(所有IP) firewall-cmd--zone=public--add-port=8085/tcp--permanent 指定IP与端口 firewa..................
通信-X9 防火墙
h1825819493的博客
05-18 414
华为防火墙的双击热备就是进行hrp和vrrp的配置防火墙配置永不超时的配置。
华为防火墙配置安全策略限制一台主机只能访问两个域名其他不能访问
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
04-28 3890
设备 华为USG6311E V200R007C00SPC091 配置说明 内网一台主机做安全策略限制只能访问两个域名其他不能访问 1·先把相关对象设置好 2· rule name dns source-zone local #放通防火墙自身发送的dns请求报文 source-zone trust #放通客户端发送的dns请求报文过墙 destination-zone untrust destination-address address-set
华为USG防火墙配置命令
weixin_43465752的博客
09-17 1万+
华为USG防火墙配置命令
防火墙配置基本
u011533346的专栏
11-28 8636
域:默认有几个系统自定义的区域local、trust、untrust、dmz,每个区域有各自的优先级; 域间安全策略 outbound代表数据包出方向,即从设备的某接口出去的方向 inbound代表数据包进方向,即由设备的某接口进来的方向 端口配置IP、vrrpIP: interface GigabitEthernet0/0/6  combo enable fiber  de
Linux中的网络设置(一)ipaddress的设定
weixin_45649763的博客
10-28 4072
文章目录ipaddress的设定临时设定永久设定nm-connection-editor (manual )nm-connetcion-editor (auto)nmtuinmcli将动态的ip修改为静态将动态的修改为静态的在网络配置文件里设定 ipaddress的设定 临时设定 永久设定 nm-connection-editor (manual ) 写命令时,请尽可能的使用tab键,防止手误出错...
linux配置网卡IP地址命令详细介绍及一些常用网络配置命令
郭耀今 -- 蓝天白云
02-09 9918
<br />ifconfig eth0 192.168.1.102 netmask 255.255.255.0  //添加IP地址route add default gw 192.168.1.1   //添加网关<br />启动生效:<br />vim /etc/sysconfig/network-scripts/ifcfg-eth0    //(某些版本中可能没有vim这个编辑器比如centos,大家可能用vi替换)<br />IPADDR=192.168.1.102  //添加IP地址<br />NET
ensp防火墙期末大作业
12-29
### ENSP防火墙配置实验报告模板 #### 一、实验目的 本实验旨在通过ENSP平台搭建并配置华为USG系列防火墙,掌握基本的安全策略设置方法以及网络流量控制技术。 #### 二、实验环境准备 - 使用ENSP软件构建如下拓扑...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值