HUAWEI USG 虚拟接口--DMZ

最新推荐文章于 2025-05-29 13:49:58 发布
最新推荐文章于 2025-05-29 13:49:58 发布
阅读量4.8k 收藏 5
点赞数
CC 4.0 BY-SA版权
分类专栏: HUAWEI USG
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/microlabs/article/details/44152575
本文介绍如何在USG5500防火墙上配置不同区域的网络访问策略,包括Trust、DMZ和Untrust区域之间的访问控制,设置静态NAT转换,并实现NAT地址池和策略配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >



实验设备:USG5500

  1. 配置11.1.1.0/24网段访问Internat

  2. 配置DMZ区域并将DMZ区域的HTTPServer做静态NAT转换

3、将trustDMZ放入子接口进行配置

拓扑图



DMZ配置方法

创建3个zone,分别为trust untrust dmz

L2 SW
L2sw

system-view
 port-group group-member e0/0/1 to e0/0/3
 port link-type access
 quit

vlan 11
 port e0/0/1
 port e0/0/1
vlan 12
 port e0/0/0
 quit

int g0/0/1
 port link-type trun
 port trunk allow-pass vlan all
 quit


配置虚拟接口IP地址
inter g0/0/0.11
 dot1q termination vid 11
 ip add 11.1.1.1 24
 arp broadcast enable
 quit

inter g/0/0/0.12
 dotqq termination vid 12
 ip add 12.1.1.1 24
 arp broadcast enable
 quit

inter g0/0/1
 ip add 200.1.1.1 24
 quit


将接口加入不同的zone
firewall zone trust
 add inter g0/0/0/.11
 quit


firewall zone dmz
 add inter g0/0/0.12
 quit

firewall zone untrust
 add inter g0/0/1
 quit


定义防火墙策略
policy1 允许11.1.1.0/24网段通过报文
trust和untrst域间:
policy interzone trust untrust outbound
 policy 1
  policy source 11.1.1.0 0.0.0.255
  action permit
  quit
 quit

dmz和untrust域间:
policy2 允许目的地址为12.1.1.2,目的端口为21的报文通过
policy3 允许目的地址为12.1.1.3,目的端口为80的报文通过

policy interzone untrust dmz inbound
 policy 2
  policy destination 12.1.1.2 0
   policy service service-set ftp
   action permit
   quit
 policy 3
  policy destination 12.1.1.3 0
   policy service service-set http
   action perimt
   quit
  quit

使用FTP的NAT ALG功能
firewall interzone dmz untrust
 detect ftp
 quit

配置内部服务器静态转换
nat server protocol tcp global 200.1.1.1 80 inside 12.1.1.2 www
nat server protocol tcp global 200.1.1.1 ftp inside 12.1.1.3 ftp



配置NAT地址池:

nat address-group 1 200.1.1.1 200.1.1.1

配置NAT策略:
policy1:允许网段为11.1.1.0/24的内网用户访问internet做地址转换

nat-policy interzone trust untrust outbound
 policy 1
  policy source 11.1.1.0 0.0.0.255
  action source-nat
  address-group 1


查看防火墙NAT会话列表
[SRG]display firewall session table
18:45:42  2014/09/23
 Current Total Sessions : 3
  icmp  VPN:public --> public 11.1.1.12:256[200.1.1.1:2053]-->200.1.1.2:2048
  http  VPN:public --> public 11.1.1.12:2063[200.1.1.1:2055]-->200.1.1.2:80
  http  VPN:public --> public 11.1.1.12:2064[200.1.1.1:2056]-->200.1.1.2:80

华为(huaweiUSG6000的CLI命令行综合配置之安全区域/nat策略/安全策略配置
zsisle的博客
10-16 1351
华为的USG系列防火墙一般部署在园区网出口中,很多朋友对USG系列如何进行配置不是太了解。本案例将用ensp模拟器的USG6000来演示配置真机如何连接USG防火墙以及USG防火墙如何在CLI模式下配置安全区域、nat策略以及安全策略。
防火墙USG5500安全实验-网络地址转换实验
mxiang5087的博客
12-11 1282
将接口加入防火墙安全区域。(GE0/0/0加入trust区域,GE0/0/2加入trust1区域,GE0/0/1加入untrust区域)通过本实验,你将了解NAT outbound 的工作原理及详细配置。配置NAT地址池,公网地址范围为2.2.2.2—2.2.2.5。配置NAT policy。配置域间包过滤策略。
HUAWEI USG 静态地址转换--DMZ
Jason Wang
03-07 2703
 实验设备:USG5500 配置11.1.1.0/24网段访问Internat 配置DMZ区域并将DMZ区域的HTTPServer做静态NAT转换   拓扑图 DMZ配置方法 创建3个zone,分别为trust untrust dmz 配置接口IP地址 inter g0/0/0  ip add 200.1.1.1
【全网最全DMZ区详解】从原理到实战,手把手教你构建企业网络第一道防线!
最新发布
Aishenyanying33的博客
05-29 1344
在企业网络安全体系中,DMZ区(非军事区)可谓是网络防护的第一道门槛,正确构建与防护DMZ区,是防止外部入侵、保护核心数据的关键! 这篇文章将从原理、功能、安全风险到实战部署,手把手教你构建一个安全、可靠的DMZ区环境。
交换机dmz是什么意思?
11-16 1045
这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等。网络设备开发商,利用这一技术,开发出了相应的防火墙解决方案,称“非军事区结构模式”。也就是把你局网的这个IP地址的机器完全暴露在因特网中.比方说你这个机器有FTP服务器,直接输入你外网IP就直接连到你的FTP服务器上.否则连接不上,其实就是把所有端口映射到路由器上。1、你局域网内的一台电脑(以IP地址划分)透过内网限制,映射到外网去,这样下载BT或电驴或迅雷速度会很快,跟UPNP功能有些类似,但比UPNP要强。
学“狂飙”的网络安全,做最强盛的打工人!!
Karka_的博客
03-18 480
*刚刚结课,就有学员找到了14K的薪资。**课程虽已结束,但我们的结业帮扶持续进行。束,但我们的结业帮扶持续进行。
防火墙(ensp USG6000v)---安全策略 + 用户认证综合实验
m0_73994306的博客
07-11 1569
搞定!
华为USG6000V防火墙双机热备宽带管理
duoba_an的博客
07-19 1594
这里使用带宽策略来解决这个流量限制问题,先通过带宽通道设置好办公区用户流量限制在100M,然后新建通道设置销售部员工的流量不超过60M,连接数为10人,每人限流6M。搭建好两台防火墙,之间需要用心跳线进行连接保障之间的实时交互,这里使用双条线,做接口聚合,接着启动双机热备,选择负载分担,进行设置。FW3 :VRID1,2,5,6都是下联设备的虚拟网关配置;FW1:VRID1,2,5,6都是下联设备的虚拟网关配置;邮件服务,在办公时间,保证10M宽带使用,每人保证1M。游客区仅占50M,动态均分。
防御(1)-ensp的华为防火墙USG6000V1(1)
vt_yjx的博客
01-22 1636
1.只能用6000那个防火墙2.初始用户名密码:admin/ADMIN@1233.开启所有服务4.与电脑联通:添加个云,然后增加1个udp并绑定创建的环回网卡4.5.让云可以连接:端口映射错开,设置一个1和25.浏览器登录ip+8443端口。
高可靠性部署系列(1)--- 防火墙双机热备
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
04-25 1430
本文介绍混合模式部署的主备备份的防火墙双机热备系统。
ASA思科防火墙:地址nat转换(pat,静态转换)&& (DMZ)
鲍海超
04-10 2204
虽然他们都是转换公网ip了,但是防火墙没有记录,依旧是不让进可以使用acl让200.1.1.1 和 公网 100.1.1.3 服务器进行相互访问。static + (dmze0/2从那个区域,转换到出方向outside e0/0)+ 把那个公网ip + 转换到那个内网ip。nat + (inside接口名称e0/1)+组号+内网网段 + 子网掩码。全部配置好ip, 接口名称,安全等级,asa防火墙配置一个默认路由向外。global +(outside外网名称e0/0)+组号+DMZ区域静态转换到公网。
DMZ
似水流年
12-01 4764
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域
ENSP防火墙USG5500 NAT/FTP配置
sxjk1987的专栏
01-16 8471
常见的企业的NAT场景的配置过程。这个企业在对外FTP服务的同时,还有部分员工需要通过NAT访问Internet。由于该企业只有一个公网IP资源,已经作为设备连接外网的接口的IP地址,所以使用easy-ip方式借用这个接口的IP地址来提供NAT服务。 企业内网网段:10.3.0.0/24 --->防火墙GE0/0/0 安全区域trust 企业内IP地址自动分配,通过NA...
华为usg6320服务器映射,华为防火墙USG6320透明模式配置
weixin_36150816的博客
07-31 1222
华为防火墙USG6320透明模式配置华为防火墙USG6320透明模式配置拓扑图system-view进入系统视图,键入Ctrl+Z退回到用户视图。配置GigabitEthernet 0/0/1工作在交换模式。[USG6300]interface GigabitEthernet 0/0/1[USG6300-GigabitEthernet0/0/1]portswitch[USG6300-Gigabit...
[eNSP]华为防火墙基础——Local、DMZ、Trust、Untrust互联
m0_64218141的博客
03-07 5540
理解并学会配置防火墙的local、trust、untrust、dmz四种区域的连通。
华为防火墙 DMZ 设置
一直被模仿,从未被超越
11-21 4581
例如FTP服务器、E-Mail服务器及网站服务器等允许外部用户访问这些服务器,但不可能接触到存放在内网中的信息,就算黑客入侵DMZ服务器,也不会影响到公司内部网络安全,不允许任何外部网络的直接访问,实现内外网分离,在企业的信息安全防护加了一道屏障。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个位于内部网络与外部网络之间的缓冲区,在这个网络区域内可以放置一些公开的服务器资源。DMZ 是英文"Demilitarized Zone"的缩写,中文名称为"隔离区"
防火墙实验(实现trust、untrust、DMZ区域互通)
weixin_64311421的博客
03-17 6142
通了之后在浏览器上输入192.168.81.2,输入用户密码。先给交换机LSW1接口配置划分VLAN2和VLAN3。分别在server1 和server3上测试是否成功。用LSW1上ping 防火墙10.1.255.2。在PC1上ping 10.1.255.2。在交换机上配置vlan10 vlan11。修改g1/0/2和g1/0/3连接类型。在FW1上配置一个静态路由。到这里区域内部都互通了。在LSW1上写个缺省路由。再在物理主机上ping。在server2上配置。先配置GE0/0/0。
usg2130 虚拟服务器,USG2130防火墙透明模式,trust-dmz禁止所有流量,仍然可以互通...
weixin_28786193的博客
08-10 438
1、USG2130防火墙透明模式,trust-dmz禁止所以流量,仍然可以互通2、配置如下:(相关配置)firewall packet-filter default deny interzone trust dmz direction inboundfirewall packet-filter default deny interzone trust dmz direction outbound#...
详解DMZ部署与配置
qq_62016430的博客
04-11 4054
被发布的服务器放在内网是可以的,我们在前面的博文中已经讨论了技术上的可能性。因为我们知道,ISA处理数据的访问请求,首先考虑的是这个数据包的源网络和目标网络的网络规则,因此网络规则决定了两个网络之间数据通讯的方向性和可能性。4、 对于除外部网络之外的其他网络的网络适配器后还有其他子网的情况(即可以通过此网络适配器所关联的网络中的某台路由器到达的其他的网络,称之为网络后面的网络), 你必须在ISA防火墙对应的网络的定义中,包含这些子网的地址,否则ISA防火墙会触发IP欺骗或者配置错误的警告。
华为模拟器ar220dmz
01-22
### 华为AR220DMZ模拟器使用教程 #### 下载与安装 对于华为AR220系列设备的仿真学习,通常推荐使用华为eNSP(Enterprise Network Simulation Platform)。该平台支持多种型号的华为网络设备仿真实验,包括但不限于AR220系列路由器。 为了下载并安装eNSP软件: 1. 访问官方网站或官方授权渠道获取最新版本的eNSP安装包。 2. 安装过程中遵循提示完成设置向导操作即可启动应用。 #### 设备配置基础命令集 一旦成功部署好虚拟环境,在开始具体功能配置之前,了解一些基本的操作指令是非常必要的。例如进入系统视图、接口配置模式下的常用命令如下所示[^4]: ```shell <AR>sys # 进入系统视图 [AR]interface GigabitEthernet 0/0/0 # 进入选定物理端口配置子模式 [AR-GigabitEthernet0/0/0]ip address 192.168.1.1 255.255.255.0 # 设置指定网卡IPv4地址及掩码长度 ``` #### DMZ区域安全策略实施指南 针对DMZ区的安全防护措施主要体现在访问控制列表ACLs的应用上。通过定义特定规则允许外部合法请求到达内部服务的同时阻止潜在威胁流量入侵内网资源。下面给出了一种典型场景下如何创建一条仅放行HTTP(S)协议连接至Web服务器实例的语句结构: ```shell [USG6000V]acl number 3000 # 创建高级ACL编号3000用于匹配条件判断 [USG6000V-acl-adv-3000]rule permit tcp source any destination 172.16.10.10 0.0.0.0 eq www https # 允许来自任意源址的目标主机位于DMZ内的web server建立tcp会话 ... [USG6000V]nat-policy interzone untrust dmz outbound acl 3000 action nat # 对应方向的数据流执行NAT转换动作 ``` 以上示例假设存在一台处于非信任域(untrusted zone)之外部用户尝试访问放置于隔离区(DMZ Zone)中的某台提供http(s)服务的工作站;其中`172.16.10.10`代表目标web server IP地址[^1].
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值