防火墙详解(三)华为防火墙基础安全策略配置(命令行配置)

news2024/11/15 11:08:38

实验要求

根据实验要求配置防火墙:

  1. 合理部署防火墙安全策略以及安全区域
  2. 实现内网用户可以访问外网用户,反之不能访问
  3. 内网用户和外网用户均可以访问公司服务器

在这里插入图片描述

实验配置

步骤一:配置各个终端、防火墙端口IP地址

终端以服务器为例:

在这里插入图片描述

防火墙进入配置界面,登录密码等问题请阅读文章:通过网页登录配置华为eNSP中USG6000V1防火墙

防火墙端口配置地址:

[USG6000V1]sy FW1      //修改名称
[FW1]un in en          //关闭提示信息
Info: Information center is disabled.
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip ad 10.0.0.254 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip ad 202.196.10.254 24
[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip ad 192.168.10.254 24

可以使用display ip interface brief查看接口IP等信息。

步骤二:根据终端类型,给防火墙的接口合理规划安全区域

区域规划如下图:

区域规划

 将防火墙端口添加到区域中:

[FW1]
[FW1]firewall zone trust                  //进入trust区域
[FW1-zone-trust]add interface g1/0/0      //将接口G1/0/0添加到trust区域中
[FW1-zone-trust]firewall zone untrust     //进入untrust区域
[FW1-zone-untrust]ad interface g1/0/1
[FW1-zone-untrust]q
[FW1]
[FW1]firewall zone dmz                   //进入DMZ区域
[FW1-zone-dmz]ad interface g1/0/2

 配置完成之后可以通过dis zone 查看区域详细信息:

[FW1]dis zone 
local
 priority is 100               //信任值 100
 interface of the zone is (0):
#
trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet0/0/0
    GigabitEthernet1/0/0
#
untrust
 priority is 5
 interface of the zone is (1):
    GigabitEthernet1/0/1
#
dmz
 priority is 50
 interface of the zone is (1):
    GigabitEthernet1/0/2
#

防火墙安全区域概念见文章:防火墙详解(一) 网络防火墙简介

步骤三:根据实验要求配置安全策略

实验要求:

内网用户可以访问外网用户,但是外网用户不能访问内网用户
外网用户和内网用户都可以访问公司服务器
也就是说

Trust区域可以主动访问Untrust区域,但是反之不行。
untrust区域和trust区域都可以访问DMZ区域。
注意防火墙默认不允许所有流量通过所以未配置安全策略时都不能通信。
配置安全策略,使得内网用户可以访问外网用户,但是外网用户不能访问内网用户;内网用户可以访问服务器:

[FW1]
[FW1]security-policy          //进入安全策略视图
[FW1-policy-security]rule name t2ud    //创建名为t2ud的安全规则
[FW1-policy-security-rule-t2ud]source-zone trust     //设置安全规则的源安全地址为trust
[FW1-policy-security-rule-t2ud]destination-zone untrust dmz   //设置安全规则的目的安全地址为untrust和DMZ
[FW1-policy-security-rule-t2ud]source-address 10.0.0.0 24 	 //设置安全规则源网段(上面设置了源、目的区域。其实网段可以不设置,但是保险起见还是设置一下)
[FW1-policy-security-rule-t2ud]destination-address 202.196.10.0 24    //设置规则目的网段
[FW1-policy-security-rule-t2ud]destination-address 192.168.10.0 24  
[FW1-policy-security-rule-t2ud]action permit         //设置安全规则的动作为允许

查看:

[FW1-policy-security-rule-t2ud]dis th
#
 rule name t2ud
  source-zone trust
  destination-zone untrust
  destination-zone dmz
  source-address 10.0.0.0 24
  destination-address 192.168.10.0 24
  destination-address 202.196.10.0 24
  action permit
#
return

验证:
PC1 ping PC2 与 服务器 查看是否能通,发现可以,证明配置成功。

在这里插入图片描述

PC2不能ping通PC1(外网用户不能访问内网用户):

在这里插入图片描述 配置安全策略,外网用户可以访问公司服务器:

[FW1]security-policy 
[FW1-policy-security]rule name u2d
[FW1-policy-security-rule-u2d]source-zone untrust 
[FW1-policy-security-rule-u2d]destination-zone dmz 
[FW1-policy-security-rule-u2d]action permit 

查看:
我们可以通过dis security-policy all 查看全部安全策略:

[FW1]dis security-policy all 
Total:3 
RULE ID RULE NAME                      STATE      ACTION       HITTED          
-------------------------------------------------------------------------------
0       default                        enable     deny         0                
1       t2ud                           enable     permit       25               
2       u2d                            enable     permit       5               
-------------------------------------------------------------------------------

也可以使用dis security-policy rule u2d查看单个规则详细信息:

[FW1]dis security-policy ru	
[FW1]dis security-policy rule u2d
 (5 times matched)
 rule name u2d
  source-zone untrust
  destination-zone dmz
  action permit

验证:
PC2可以 ping 通服务器。

在这里插入图片描述

实验成功!

防火墙配置命令(总)

#
sy FW1      
#
un in en         
#
int g1/0/0
ip ad 10.0.0.254 24
int g1/0/1
ip ad 202.196.10.254 24
int g1/0/2
ip ad 192.168.10.254 24
#
firewall zone trust                 
add interface g1/0/0      
firewall zone untrust     
ad interface g1/0/1
firewall zone dmz                   
ad interface g1/0/2
#
security-policy          
rule name t2ud    
source-zone trust     
destination-zone untrust dmz  
source-address 10.0.0.0 24 
destination-address 202.196.10.0 24    
destination-address 192.168.10.0 24  
action permit        
#
security-policy 
rule name u2d
source-zone untrust 
destination-zone dmz 
action permit 
#


原文链接:https://blog.csdn.net/qq_46254436/article/details/105397534

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2158311.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

go解决引入私有包报错“Repository owner does not exist“的两种方式

当你写好引入的私有包,执行go mod tidy报错: Gogs: Repository owner does not exist fatal: Could not read from remote repository. Please make sure you have the correct access rights and the repository exists. 目前我的两种解决方案: 一、拉群整个…

论文集搜索网站-dblp 详细使用方法

分享在dblp论文集中的两种论文搜索方式:关键字搜索,指定会议/期刊搜索。 关键字搜索 进入dblp官方网址dblp: computer science bibliography,直接在上方搜索栏,搜索关键字,底下会列出相关论文。 指定会议/期刊搜索 …

Java多线程(1)—线程基础

一、关于线程 1.1 简介 计算机线程(Thread)是操作系统能够进行运算调度的最小单位。线程的优势在于提高了程序的效率和响应能力,尤其在处理 I/O 操作或多任务时。多线程编程能够充分利用多核处理器的计算能力,达到更高的性能。 …

解决IDEA出现:java: 程序包javax.servlet不存在的问题

问题截图: 解决如下: 1. 点击文件——>项目结构 2. 点击库——>点击——>点击java 3. 找到Tomcat的文件夹,找到lib文件夹中的servlet-api.jar,点击确定 4. 选择要添加的模块 5. 点击应用——>确定

Deep Guided Learning for Fast Multi-ExposureImage Fusion

Abstract 我们提出了一种快速多重曝光图像融合(MEF)方法,即 MEF-Net,用于任意空间分辨率和曝光次数的静态图像序列。 我们首先将输入序列的低分辨率版本提供给全卷积网络以进行权重图预测。 然后,我们使用引导滤波器联…

NGO电工钢行业分析:未来几年年复合增长率CAGR为2.7%

NGO电工钢,顾名思义,其磁性具有各向同性性(也叫各向同性电工钢),广泛应用于制造各类电机、发电机铁心。 据QYResearch调研团队最新报告“全球NGO电工钢市场报告2024-2030”显示,预计2030年全球NGO电工钢市场…

镜舟科技面对亿级数据分析场景,如何做到金融级放心用?

引言 中国金融数据库行业研究报告(2023)指出,自 2020 年的⾦融信创元年, 中国数据库迎来了⾼速发展。 进入 2024 年,镜舟科技的商业拓展速度进一步加快。在过去半年里,镜舟科技与十余家头部股份制银行、…

【人工智能】Transformers之Pipeline(十九):文生文(text2text-generation)

目录 一、引言 二、文生文(text2text-generation) 2.1 概述 2.2 Flan-T5: One Model for ALL Tasks 2.3 pipeline参数 2.3.1 pipeline对象实例化参数 2.3.2 pipeline对象使用参数 ​​​​​​​ 2.3.3 pipeline返回参数 ​​​​​​​​​​​…

C语言 fwirte 函数 - C语言零基础入门教程

目录 一.fwirte 函数简介二.fwirte 函数使用三.猜你喜欢 零基础 C/C 学习路线推荐 : C/C 学习目录 >> C 语言基础入门 一.fwirte 函数简介 C 语言文件读写,fread 函数用于读取文件中的数据到指定缓冲区中,而 fwrite 函数用于把缓冲区数据写入到文件…

【Redis技能熟练掌握之十年内功】

Redis技能熟练掌握之十年内功 1.redis是什么?为什么要使用redis?2.redis一般应用于什么场景(四个场景)?3. Redis持久化机制是什么?各自的优缺点?一般咋么用?4. redis五个基础类型支持…

Microsoft Edge WebView2运行时安装包获取

目前越来越多的软件将WebView2当做运行时,发现一些精简版的系统精简掉了WebView2或者人为误删除,一些软件无法正常运行,我们可以重新安装即可 浏览器访问WebView2官方页面 https://developer.microsoft.com/zh-cn/microsoft-edge/webview2/ …

kafka负载均衡迁移(通过kafka eagle)

在grafana监控中发现kafka的各个节点磁盘不均匀 出现这样的情况是因为kafka默认是以文件数作为平衡的条件的。换句话说,kafka不会管一个副本有多大,只会看磁盘中有多少个副本文件。 解决方式: 1、修改策略,改为按照磁盘大小平衡…

计算机毕设设计推荐-基于python+Djanog大数据的电影数据可视化分析

精彩专栏推荐订阅:在下方主页👇🏻👇🏻👇🏻👇🏻 💖🔥作者主页:计算机毕设木哥🔥 💖 文章目录 一、电影数据可视…

数控机床中的滚柱导轨什么情况下需要重新更换?

滚柱导轨是数控机床中重要的传动零部件,主要用于支撑和引导运动部件的直线运动,它的故障通常会导致加工精度下降、噪音大、导轨摩擦不顺畅等问题。那么,我们应该如何确定滚柱导轨是否需要更换呢? 1、‌外观检查‌:首先…

第二证券:“产业+科技” 中国并购重组市场持续升温

A股商场正在进入新一轮并购重组周期。新“国九条”出台以来,多项关于并购重组商场的方针接连推出,方针环境不断优化,相关事例数量较去年同期显着增加。从具体事例来看,工业链整合成为本年并购商场的重要“主线”,以“硬…

QT菜单之快捷菜单设计

快捷菜单又称为上下文菜单,通常在用鼠标右击的时候弹出。创建快捷菜单的方法和创建菜单栏菜单类似。 效果图: 一、将MainWindow类对象的ContextMenuPolicy属性设置为customContextMenu。 打开mainWindow.ui,在属性视图上找到ContextMenuPoli…

ubuntu、linux安装redis(使用tar包的方式)

目录 1、准备redis的tar包 2、执行make 3、执行make install 4、运行redis 5、总结 1、准备redis的tar包 去官网或者github上下载对应的tar包,我下载的是 redis-6.2.14.tar.gz 上传到ubuntu后,使用指令进行解压: tar -xvf redis-6.2.14.t…

内卷时代企业数字化营销策略

当前,内循环经济为主的后疫情时代消费心理的变化表现如下: 1. 焦虑与压力感增加 内卷时代的竞争压力和不确定性给消费者带来了焦虑和压力感。他们在消费过程中,不仅关注产品的功能和价值,还希望通过消费来缓解压力、获得心理上的…

S2-057远程执⾏代码漏洞

启动环境 vulhub靶场 /struts2/s2-057 访问 http://172.16.1.45:8080/struts2-showcase http://172.16.1.45:8080/struts2-showcase/${(123123)}/register2.action http://172.16.1.137:8080/struts2-showcase/$%7B%0A%28%23dm%3Dognl.OgnlContextDEFAULT_MEMBER_ACCESS%29.%28…