配置公司内网的防火墙安全区域和策略并配置NAT访问1.1.1.1

最新推荐文章于 2025-07-31 16:44:51 发布
原创 最新推荐文章于 2025-07-31 16:44:51 发布 · 678 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络 #linux

拓扑图如下:
要求:
1.生产区在工作时间内可以访问服务器区,仅可以访问http服务器

2.办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10

3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理

4.办公区设备可以访问公网,其他区域不行。

1.先配二层的交换机LSW7,生产区在vlan 2 ,办公区在vlan 3 ,g0/0/1 是access类型  ,g0/0/2是  access类型  , g0/0/3是trunk类型
LSW7配置:
[Huawei]vlan batch 2 3 
[Huawei]interface GigabitEthernet 0/0/1  
[Huawei-GigabitEthernet0/0/1]port link-type access   
[Huawei-GigabitEthernet0/0/1]port default vlan 2


[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access    
[Huawei-GigabitEthernet0/0/2]port default vlan 3
 

[Huawei]interface GigabitEthernet 0/0/3  
[Huawei-GigabitEthernet0/0/3]port link-type trunk  
[Huawei-GigabitEthernet0/0

最低0.47元/天 解锁文章
C°683
关注
计算机网络-防火墙工作原理与安全策略
Linux基础知识、计算机网络基础学习分享。
02-21 2650
流量的转发有区域内区域间,通过安全策略进行控制,安全策略匹配五元组、时间、用户等条件,匹配完成后进行允许或拒绝的动作,以此实现流量过滤。因为这种设备虽然部署在内网,但是经常需要被外网访问,存在较大安全隐患,同时一般又不允许其主动访问外网,所以将其部署一个优先级比trust低,但是比untrust高的安全区域中。一个安全区域防火墙若干接口所连网络的集合,一个区域内的用户具有相同的安全属性。当防火墙收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,然后与安全策略的条件进行匹配。
网络实验】华为防火墙基础之安全策略以及easyIPNAPT以及web管理的配置
Vector_seven的博客
08-19 5545
3.在设计拓扑图的时候,管理口思考了很久加入哪个区域,但是后来想可以不加入区域,任何人都访问不到这个区域来,没有安全策略。Untrust区域目前只有一台192.168.2.3的主机,我们配置安全策略使得ip范围在2.4-2.5。配置0/0/0为管理接口,用cloud1去桥接真机,配置web应用口,但是又没有直连0/0/0口。改变策略使得该ip可以通过,此时我们直接改网段的策略,使得2.0网段都可以通过。这一条是防火墙的管理接口的默认ip,我们改成云桥接的ip同一网段的ip。此时去ping,失败。
防火墙安全策略(基本配置
m0_74823561的博客
01-18 2063
凡是由设备构造主动发出的报文均可认为是从Local区域中发出,凡是需要设备响应处理(而不仅是检测或直接转发)的报文均可认为是由local区域接收。此时,即使配置了接口所在安全域允许访问local区域的安全策略,也不能通过该接口访问本地防火墙。缺省安全策略位于策略列表的最底部,优先级最低,所有匹配条件均为any,动作默认为禁止。所以服务器回包时候,会直接查询会话表,实现通信,所以防火墙只需要放行一边就行,流量能出去能建立会话,流量就可以按照会话回来。id表示安全区域ID,取值4~99,默认递增。
中小企业自建Linux防火墙
weixin_34321977的博客
11-27 271
防火墙(Firewall)是在一个可信的网络不可信的网络之间建立安全屏障的软件或硬件产品。Linux操作系统内核具有包过滤能力,系统管理员通过管理工具设置一组规则即可建立一个基于Linux防火墙,用这组规则过滤被主机接收、发送的包或主机从一个网卡转发到另一个网卡的包,无须花费额外资金购买专门的防火墙产品,比较适用于某些中小企业或部门级用户。 一、防火墙的类型设计策略...
企业内网防火墙搭建实验
QwQNightmare的博客
04-10 5006
企业内网防火墙搭建实验 在一些企业中经常会搭建一些如下图所示的网络架构,在企业内部不仅可以正常访问内部网络,也可以正常访问外网。此外外网客户端也可以正常访问企业内部的web服务器。运维人员通常会通过额外端口号远程ssh连接web服务器进行日常维护。下图则是本次实验环境的网络拓扑图。 实验环境准备 一台内网客户端IP地址:192.168.20.20/24 一台防火墙作为内网、外网web的网关。I...
eNSP实验——防火墙配置(Zone 区域配置 + 安全策略配置
记录
04-03 1万+
防火墙(Firewall)是一种网络安全设备(硬件或软件),用于监控控制进出网络的流量,基于预定义的安全规则允许或阻止数据包的传输。其主要目的是在可信网络内网不可信网络(外网)之间建立安全屏障,防止未授权访问、恶意攻击数据泄露。防火墙既可以是二层设备,也可以是三层设备,具体取决于其工作模式部署场景。特性三层防火墙二层防火墙工作层级网络层(Layer 3)数据链路层(Layer 2)IP地址需求需要配置IP地址路由无需IP地址,透明转发部署影响需调整路由表对网络拓扑无影响过滤依据。
创建公网地址池(1.1.1.10-1.1.1.15) nat address-group 1 address 1.1.1.10 1.1.1.15
06-25
以下以华为设备为例,介绍如何配置一个公网地址池(例如1.1.1.10到1.1.1.15)用于NAT转换。 #### 1. 定义NAT地址池 首先,在全局模式下定义一个NAT地址池,指定其起始IP地址结束IP地址。以下是具体的命令示例:...
13、华为 华三中小型企业网络架构搭建 【防火墙篇之安全策略部署】
01-06
13、华为 华三中小型企业网络架构搭建 【防火墙篇之安全策略部署】
【企业级Firewalld防火墙】【企业级防火墙配置】【fierwalld 操作案例】
mingqing的博客
10-05 1682
文章目录企业级Firewalld防火墙**1、区域:**命令详解**firewalld配置使用**更改默认区域向public区域添加服务企业级防火墙配置iptables -Ffierwalld 操作案例 企业级Firewalld防火墙 rhel 7:firewall-cmd工具,firewalld服务 1、区域: firewalld将网卡对应到不同的区域(zone),通过不同的zone定义了不同的安全等级 命令详解** firewalld配置使用** 查看默认区域: 更改默认区域 向public区域
企业级防火墙配置 (运维笔记)
一条漂流鱼
04-16 757
企业级防火墙配置 (运维笔记)
企业网络项目调试系列-07防火墙配置
king01299的博客
09-25 1573
内网用户192.168.40.1--> 123.1.1.2:8443 ,在路由器上完成目标NAT后,目标IP变成了172.16.3.2,由内部网络将tcp 握手报文发给了172.16.3.2,3.2收到报文后回包,发现目标ip是192.168.40.1,因为服务器用户在同一网络,服务器之间走本地路由将报文发给了用户,这时候问题来了,用户是想123.1.1.2来建立连接,但是结果是172.16.3.2给回的包,TCP 握手没办法建立连接,用户就没办法用公网ip来访问内部的服务。这里智能抛砖引玉了。
手动部署企业级防火墙
c_hristmas的博客
07-25 687
部署企业级防火墙 手动部署防火墙1)清空所有的规则,用户自定义链以及计数器。 [root@192 ~]# iptables -F [root@192 ~]# iptables -X [root@192 ~]# iptables -Z (2)将默认规则设置为DROP ​ 先设置ssh相关数据为ACCEPT: //两种使用一种就可以 [root@192 ~]# iptables -A INPUT -p tcp -s 192.168.40.0/24 -j ACCEPT [r
【如何快速搭建企业级的WAF防火墙
zheng_le的博客
05-14 2194
基于 Centos -7、 OpenResty、Best-Nginx-Waf 快速搭建起企业级的网站WAF防火墙;
企业级iptalbes防火墙
zbw0323的博客
02-29 1175
Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤(对OSI模型的四层或者是四层以下进行过滤)的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入流出服务器的数据包进行很精细的控制。主要针对网络访问iptables其实不是真正的防火墙,我们可以把他理解为一个客户端的代理,用户是通过iptables这个代理,将用户的安全设定执行到对应的“安全框架”中,这个“安全框架”才是真正的防火墙。这个框架叫做“netfilter”。​。
防火墙配置【最详细的实验演示】
ZL_1618的博客
03-09 4920
以上操作可定义一个名称为new,优先级为60的安全域。
华为防火墙 策略路由实现多ISP接入Internet
一直被模仿,从未被超越
08-01 2723
PC3上网访问Server1时走ISP1。PC4上网访问Server1时走ISP2。1配置接口IP加入相应的安全区域。二、ISP2 运营商 R2路由器。一、ISP1 运营商 R1路由器。
安全圈最被低估的10个神器:一个比一个强大,大佬都在偷偷用!零基础入门到精通,看这篇就够了!赶紧收藏!
baimao__Ch的博客
02-14 2854
这些冷门的网络安全工具是你工具箱中的强大补充,它们提供了独特的功能,覆盖从侦察到漏洞利用的多个环节。虽然像 Nmap Burp Suite 这样的工具不可或缺,但探索像 CyberChef、BloodHound Impacket 这样的“宝藏工具”能让你在网络安全工作中更加高效灵活。
【成长笔记】【防火墙】小型企业组网ensp配置
最新发布
Jerry_Gao921的博客
07-31 1081
实现办公区生产区的网络隔离与访问控制
如何配置防火墙?看这篇就够了
热门推荐
wuli1024的博客
11-27 2万+
例如,一个企业按图 1-3 划分防火墙安全区域内网接口加入 trust 安全区域,外网接口加入 untrust 安全区域,服务器区接口加入 dmz 安全区域,另外为访客区自定义名称为 guest 的安全区域。反之如果防火墙主动访问其他安全区域的对象,例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等,需要配置 local 到其他安全区域安全策略。另外除了物理接口,防火墙还支持逻辑接口,如子接口、VLANIF、Tunnel 接口等,这些逻辑接口在使用时也需要加入安全区域
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值