华为防火墙 DMZ 设置

news2024/12/28 4:15:32

DMZ 是英文"Demilitarized Zone"的缩写,中文名称为"隔离区"

它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个位于内部网络与外部网络之间的缓冲区,在这个网络区域内可以放置一些公开的服务器资源。

例如FTP服务器、E-Mail服务器及网站服务器等允许外部用户访问这些服务器,但不可能接触到存放在内网中的信息,就算黑客入侵DMZ服务器,也不会影响到公司内部网络安全,不允许任何外部网络的直接访问,实现内外网分离,在企业的信息安全防护加了一道屏障。

环境:

虚拟机2台:Windows10,Windows Server 2012 R2

外网IP3个: 192.168.137.11,192.168.137.12,192.168.137.13

实现的功能:

1、内网客户端和DMZ服务器可以上网

2、内网可以访问DMZ服务器,但是DMZ服务器不能访问内网

3、外网可以远程桌面DMZ服务器

拓扑图如下:

一、外网 

1、配置外网IP

<Huawei>sys
[Huawei]sys R1
[FW1]un in en

# 开启 DHCP
[FW1]dhcp enable

# 配置三个外网
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip addr 192.168.137.10 24
[FW1-GigabitEthernet1/0/0]ip addr 192.168.137.11 24 sub
[FW1-GigabitEthernet1/0/0]ip addr 192.168.137.12 24 sub
[FW1-GigabitEthernet1/0/0]service-manage all permit
[FW1-GigabitEthernet1/0/0]quit

# 配置外网区域
[FW1]firewall zone untrust
[FW1-zone-untrust]add int g1/0/0
[FW1-zone-untrust]quit

2、安全策略

# 安全策略
[FW1]security-policy
[FW1-policy-security]rule name "untrust to local"
[FW1-policy-security-rule-untrust to local]source-zone untrust
[FW1-policy-security-rule-untrust to local]destination-zone local
[FW1-policy-security-rule-untrust to local]action permit

[FW1-policy-security-rule-untrust to local]rule name "local to untrust"
[FW1-policy-security-rule-local to untrust]source-zone local
[FW1-policy-security-rule-local to untrust]destination-zone untrust
[FW1-policy-security-rule-local to untrust]action permit

[FW1-policy-security-rule-local to untrust]rule name "trust to untrust"
[FW1-policy-security-rule-trust to untrust]source-zone trust
[FW1-policy-security-rule-trust to untrust]destination-zone untrust
[FW1-policy-security-rule-trust to untrust]source-address address-set 192.168.100.*
[FW1-policy-security-rule-trust to untrust]action permit
[FW1-policy-security-rule-trust to untrust]quit
二、内网 

1、配置内网IP

# 配置内网
[FW1-policy-security]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip addr 192.168.100.254 24
[FW1-GigabitEthernet1/0/1]dhcp select int
[FW1-GigabitEthernet1/0/1]dhcp server dns-list 114.114.114.114
[FW1-GigabitEthernet1/0/1]service-manage ping permit
[FW1-GigabitEthernet1/0/1]quit

# 配置内网区域
[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/1
[FW1-zone-trust]quit

# 配置地址列表
[FW1]ip address-set 192.168.100.* type object
[FW1-object-address-set-192.168.100.*]address 0 192.168.100.0 mask 24
[FW1-object-address-set-192.168.100.*]quit

# 配置Nat策略实现上网
[FW1]nat-policy
[FW1-policy-nat]rule name "snat 1"
[FW1-policy-nat-rule-snat 1]source-zone trust
[FW1-policy-nat-rule-snat 1]egress-interface GigabitEthernet1/0/0
[FW1-policy-nat-rule-snat 1]action source-nat easy-ip
[FW1-policy-nat-rule-snat 1]quit

2、配置路由和DNS

# 设置静态路由
[FW1-policy-nat]ip route-static 0.0.0.0 0.0.0.0 192.168.137.1

# 防火墙配置 DNS
[FW1]dns resolve
[FW1]dns server 114.114.114.114
三、DMZ 

1、配置DMZ区域IP

# 配置DMZ
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip addr 192.168.200.254 24
[FW1-GigabitEthernet1/0/2]dhcp select int
[FW1-GigabitEthernet1/0/2]dhcp server dns-list 114.114.114.114
[FW1-GigabitEthernet1/0/2]service-manage ping permit
[FW1-GigabitEthernet1/0/2]quit

# 配置DMZ区域
[FW1]firewall zone dmz
[FW1-zone-dmz]add int g1/0/2
[FW1-zone-dmz]quit

# 配置地址列表
[FW1]ip address-set 192.168.200.* type object
[FW1-object-address-set-192.168.200.*]address 0 192.168.200.0 mask 24
[FW1-object-address-set-192.168.200.*]quit

2、配置安全策略 

# 安全策略
[FW1]security-policy
[FW1-policy-security]rule name "dmz to untrust"
[FW1-policy-security-rule-dmz to untrust]source-zone dmz
[FW1-policy-security-rule-dmz to untrust]destination-zone untrust
[FW1-policy-security-rule-dmz to untrust]source-address address-set 192.168.200.*
[FW1-policy-security-rule-dmz to untrust]action permit

[FW1-policy-security-rule-dmz to untrust]rule name "untrust to dmz"
[FW1-policy-security-rule-untrust to dmz]source-zone untrust
[FW1-policy-security-rule-untrust to dmz]destination-zone dmz
[FW1-policy-security-rule-untrust to dmz]destination-address address-set 192.168.200.*
[FW1-policy-security-rule-untrust to dmz]action permit

[FW1-policy-security-rule-untrust to dmz]rule name "trust to dmz"
[FW1-policy-security-rule-trust to dmz]source-zone trust
[FW1-policy-security-rule-trust to dmz]destination-zone dmz
[FW1-policy-security-rule-trust to dmz]source-address address-set 192.168.100.*
[FW1-policy-security-rule-trust to dmz]destination-address address-set 192.168.200.*
[FW1-policy-security-rule-trust to dmz]action permit
[FW1-policy-security-rule-trust to dmz]quit

3、配置NAT策略

# nat策略 实现上网
[FW1-policy-security]nat-policy
[FW1-policy-nat]rule name "snat 2"
[FW1-policy-nat-rule-snat 2]source-zone dmz
[FW1-policy-nat-rule-snat 2]egress-interface GigabitEthernet1/0/0
[FW1-policy-nat-rule-snat 2]action source-nat easy-ip

# nat策略 实现目标端口转换
[FW1-policy-nat-rule-snat 2]rule name "dnat 1"
[FW1-policy-nat-rule-dnat 1]source-zone untrust
[FW1-policy-nat-rule-dnat 1]destination-address 192.168.137.11 mask 255.255.255.255
[FW1-policy-nat-rule-dnat 1]service protocol tcp source-port 0 to 65535 destination-port 33389
[FW1-policy-nat-rule-dnat 1]action destination-nat static port-to-port address 192.168.200.2 3389
[FW1-policy-nat-rule-dnat 1]quit
四、验证 

1、客户端上网

2、服务器上网 

3、内网可以访问DMZ

4、DMZ 不能访问 内网

4、验证目的端口转换

当我们访问 192.168.137.11 33389 端口时,已成功转到换 Win2012 这台服务器的 3389 端口上面

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1232952.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

用户增长常见分析模型

一、用户增长是什么 用户增长基本上会涉及生意场上的各行各业&#xff0c;你开个店面希望有更多的客户光顾&#xff0c;你做了个APP希望有更多的用户经常使用&#xff0c;你搭建了个电商平台希望有更多的人下单买东西。 用户增长&#xff0c;即以提升用户LTV为目的&#xff08…

Oauth2认证及Spring Security Oauth2授权码模式

Oauth2认证 Oauth2简介 简介 第三方认证技术方案最主要是解决认证协议的通用标准问题&#xff0c;因为要实现跨系统认证&#xff0c;各系统之间要遵循一定的接口协议。 OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时&#xff0c;任何第三方都可以使…

企企通亮相广东智能装备产业发展大会:以数字化采购促进智能装备产业集群高质量发展

制造业是立国之本&#xff0c;是国民经济的主要支柱、是推动工业技术创新的重要来源。 广东作为我国制造业大省&#xff0c;装备制造业规模增长快速&#xff0c;技术水平居于全国前列。为全面贯彻学习党的二十大精神&#xff0c;进一步推动机械装备可靠性设计&#xff0c;促进新…

【Proteus仿真】【Arduino单片机】多功能数字时钟设计

文章目录 一、功能简介二、软件设计三、实验现象联系作者 一、功能简介 本项目使用Proteus8仿真Arduino单片机控制器&#xff0c;使用PCF8574、LCD1602液晶、DS1302温度传感器、DS1302时钟、按键、蜂鸣器等。 主要功能&#xff1a; 系统运行后&#xff0c;LCD1602显示当前日期…

放大招:腾讯云5年服务器和3年轻量应用服务器租用价格表

腾讯云3年轻量和5年云服务器CVM优惠活动入口&#xff0c;3年轻量应用服务器配置可选2核2G4M和2核4G5M带宽&#xff0c;5年CVM云服务器可以选择2核4G和4核8G配置可选&#xff0c;阿腾云atengyun.com分享腾讯云3年轻量应用服务器和5年云服务器CVM优惠活动入口和配置报价&#xff…

【C++上层应用】5. 文件和流

文章目录 【 1. 打开文件 】1.1 open 函数1.2 open 多种模式的结合使用 【 2. 关闭文件 】【 3. 写入 & 读取文件 】【 4. 文件位置指针 】 和 iostream 库中的 cin 标准输入流和 cout 标准输出流类似&#xff0c;C中另一个库 fstream 也存在文件的读取流和标准写入流。fst…

erlang语言为什么天生支持高并发

Erlang 语言天生支持高并发的主要原因可以归结于它的设计哲学和一些核心特性。以下是 Erlang 支持高并发的几个关键方面&#xff1a; 轻量级进程&#xff1a;Erlang 使用轻量级的并发实体&#xff0c;通常称为“进程”&#xff0c;这些进程在Erlang虚拟机内部运行&#xff0c;而…

为什么几乎所有的量化交易都用Python?

因为python好用啊&#xff01;Python&#xff0c;作为一种功能强大且易于学习的编程语言&#xff0c;已经成为金融分析师的首选工具。 以下我将从3个方面给大家分析python为何成为量化交易的理想选择。 一、语言特性与金融分析的匹配性 1、简单易懂的语言 Python就像我们的日…

存储区域网络(SAN)之FC-SAN和IP-SAN的比较

存储区域网络(Storage Area Network&#xff0c;SAN)用于将多个系统连接到存储设备和子系统。 早期FC-SAN&#xff1a; 采用光纤通道(Fibre Channel&#xff0c;FC)技术&#xff0c;通过光纤通道交换机连接存储阵列和服务器主机&#xff0c;建立专用于数据存储的区域网络。 传…

Ubuntu apt-get换源

一、参考资料 ubuntu16.04更换镜像源为阿里云镜像源 二、相关介绍 1. apt常用命令 sudo apt-get clean sudo apt-get update2. APT加速工具 轻量小巧的零配置 APT 加速工具&#xff1a;APT Proxy GitHub项目地址&#xff1a;apt-proxy 三、换源关键步骤 1. 更新阿里源 …

【开源】基于JAVA的学生日常行为评分管理系统

项目编号&#xff1a; S 010 &#xff0c;文末获取源码。 \color{red}{项目编号&#xff1a;S010&#xff0c;文末获取源码。} 项目编号&#xff1a;S010&#xff0c;文末获取源码。 目录 一、摘要1.1 项目介绍1.2 项目录屏 二、系统设计2.1 功能模块设计2.2.1 登录注册模块2.2…

美国费米实验室SQMS启动“量子车库”计划!30+顶尖机构积极参与

​11月6日&#xff0c;美国能源部费米国家加速器实验室(SQMS)正式启动了名为“量子车库”的全新旗舰量子研究设施。这个6,000平方英尺的实验室是由超导量子材料与系统中心负责设计和建造&#xff0c;旨在联合国内外的科学界、工业领域和初创企业&#xff0c;共同推动量子信息科…

Java零基础-Mybatis篇

【Mybatis】 1.JDBC不足 JDBC作为Java操作数据库的模板&#xff0c;如果想要对数据库进行操作&#xff0c;必须使用JDBC&#xff0c;但是在使用JDBC进行数据库操作时&#xff0c;重复代码多&#xff0c;动态SQL构建繁琐&#xff0c;将查询结果转化为对象&#xff0c;相当麻烦…

基于SSM的网盘管理系统的设计与实现

末尾获取源码 开发语言&#xff1a;Java Java开发工具&#xff1a;JDK1.8 后端框架&#xff1a;SSM 前端&#xff1a;Vue 数据库&#xff1a;MySQL5.7和Navicat管理工具结合 服务器&#xff1a;Tomcat8.5 开发软件&#xff1a;IDEA / Eclipse 是否Maven项目&#xff1a;是 目录…

企业办公文件数据防泄密系统 | 文件、文档、设计图纸、源代码、音视频等核心数据资料防止外泄!

天锐绿盾防泄密软件采用智能透明加密技术&#xff0c;对文件、文档、图纸、源代码、音视频等数据进行加密保护&#xff0c;防止数据泄露。这种加密技术是内核级透明加密技术&#xff0c;可以在不影响员工正常工作的情况下&#xff0c;对需要保护的数据进行加密操作。 PC端访问地…

DCDC同步降压控制器SCT82A30\SCT82630

SCT82A30是一款100V电压模式控制同步降压控制器&#xff0c;具有线路前馈。40ns受控高压侧MOSFET的最小导通时间支持高转换比&#xff0c;实现从48V输入到低压轨的直接降压转换&#xff0c;降低了系统复杂性和解决方案成本。如果需要&#xff0c;在低至6V的输入电压下降期间&am…

一种可度量的测试体系-精准测试

行业现状 软件行业长期存在一个痛点&#xff0c;即测试效果无法度量。通常依赖于测试人员的能力和经验&#xff0c;测试结果往往不可控&#xff0c;极端情况下同一个业务功能&#xff0c;即使是同一个人员在不同的时间段&#xff0c;测试场景和过程也可能不一致&#xff0c;从而…

十大最常用电子元器件基础知识

对于电子行业的工程师来说&#xff0c;电子元件&#xff0c;就像人们入口的大米&#xff0c;每天都需要接触和使用。但事实上&#xff0c;许多工程师可能都不完全理解里面的门道。以下是工程师常用的十种电子元件以及相关的基本概念和知识。让我们一起学习了解一下。 一&#…