结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

这篇具有很好参考价值的文章主要介绍了结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

学习心得:

这两天跟着老师学习了网络安全防御之防火墙的配置,过程中不乏遇到了许多问题,例如访问https://ip:8443地址却没有提示继续进入的接口,或者是无法ping通防火墙测试端口等问题,希望接下来的分享能够帮助到大家!

为了节省大家的时间,我把实验和具体问题分开罗列,大家根据个人需求查看即可!(这里建议初学的伙伴们还是跟着实验走一遍比较好!)

目录

学习心得:

实验

实验拓扑图:

实验要求:

实验步骤

一、配置cloud

二、配置防火墙GE0/0/0口ip地址,并开启相关https、ping服务,进行端口ping测试。

三、配置trust区域相关接口ip地址、untrust区域相关接口ip地址,dmz区域相关接口ip地址

四、登录防火墙UI界面,配置防火墙接口ip地址、安全策略、接口聚合静态路由,实现实验要求。

配置完成,进行测试

实验中遇到的问题

一、访问https://ip:8443端口提示建立安全连接失败

二、在本机cmd窗口无法ping通防火墙测试端口

具体问题如下:

 解决方法:


实验

实验拓扑图:

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

本次实验用到的防火墙为USG600,我把需要用到的.vdi文件下载链接放到下面,大家需要自取即可。

链接:https://pan.baidu.com/s/16nq6skHAiLx9hp-o4SCKXg
提取码:pkth

实验要求:

一、划分trust、untrust、dmz区域

二、实现两两区域之间的互相访问

实验步骤

一、配置cloud

//注意不要绑到公网网卡上,可以自己做个虚拟环回或者绑到vm1\vm8上都可以

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

二、配置防火墙GE0/0/0口ip地址,并开启相关https、ping服务,进行端口ping测试。

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

配置命令:

int g0/0/0 //进入g0/0/0接口

ip add 192.168.1.11 //这里大家根据自己在上述步骤绑定虚拟网卡的网段合理配置即可

service-manage enable

service-manage all permit //允许访问所有服务

三、配置trust区域相关接口ip地址、untrust区域相关接口ip地址,dmz区域相关接口ip地址

因为在ensp中三层交换机undo portswitch后依然无法配置ip地址,所以需要配置vlanif来实现虚拟网关功能。至于PC上可以直接输入就不用多说了,主要跟大家说下在交换机和防火墙上配置的过程:

配置过程遵循以上拓扑图,有不会同学可以照着上述拓扑图跟着做。

LSW6:

vlan batch 2 3  //创建vlan2、vlan3

[Huawei-GigabitEthernet0/0/2]port link-type access 

[Huawei-GigabitEthernet0/0/2]port default  vlan  2  //将G0/0/2口划入vlan2

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

 [Huawei]interface  Vlanif  2 //配置vlanif 2 为虚拟网关

[Huawei-Vlanif2]ip address 10.1.1.1 24

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

//至于pc配置就不多说了。配置完成后,我们ping一下vlanif 2ip地址,测试一下。

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

下来就是将G0/0/1口配置上vlanif3,跟vlanif2配置类似,大家照做即可(注意vlanif3管理的是另外一个网段,大家不要配错了!)

 AR2:

因为是路由器,大家直接进入接口配置ip地址即可,没有难度,就不多做解释了,这里为了后续方便测试,大家可以给路由器后面挂个server或者写个环回,方便后续测试。

LSW4:

[Huawei]vlan  batch  100 200

[Huawei-GigabitEthernet0/0/2]port link-type access

[Huawei-GigabitEthernet0/0/2]port default  vlan  100

[Huawei-GigabitEthernet0/0/4]port link-type access

[Huawei-GigabitEthernet0/0/4]port default  vlan  200

[Huawei]interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1]port link-type trunk 

[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan  100

[Huawei]interface GigabitEthernet 0/0/3

[Huawei-GigabitEthernet0/0/3]port link-type trunk

[Huawei-GigabitEthernet0/0/3]port trunk allow-pass  vlan 200

[Huawei]interface  Eth-Trunk 1  //这里实验要求是要做聚合,大家不想做也可以,不影响后续实验,做了的话待会到防火墙上也需要做接口聚合。

[Huawei-Eth-Trunk1]trunkport GigabitEthernet 0/0/1

[Huawei-Eth-Trunk1]trunkport GigabitEthernet 0/0/3

//后面要给server配置ip地址,这里就不多赘述了,大家可以根据拓扑图所示配置到相应网段内即可

注:因为我们要把网关配置到防火墙上,所以这里就没有做vlanif虚拟网关,大家注意下

四、登录防火墙UI界面,配置防火墙接口ip地址、安全策略、接口聚合静态路由,实现实验要求。

上述配置完成后,本次实验真正要考核的地方来了,那就是防火墙配置,话不多说,我们直接来看配置过程!

  • 登录了https://ip:8443端口后,先配置防火墙各个端口ip

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

 //往右边拉,有个编辑框,大家拉开,根据拓扑图配置区域、ip地址即可

  • 配置策略、实现各个区域之间的互相访问。

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

//配置过程大家就根据trust区域网段、dmz区域网段、untrust区域网段配置即可,后面的服务如果要进行ping测试记得允许icmp,记录命中次数(这里大家可以看到命中次数都为0,待会我们去进行ping测试的时候,命中次数就会增加,也说明我们防火墙配置的策略生效了)

  • 策略配置完成了,但是我们还需要在交换机、路由器、防火墙上配置路由(这一步大家可不敢忘记呀!)
  • 这里主要给大家看下防火墙怎么配静态路由,交换机、路由器的话就不多做说明了,相信学到这里的小伙伴配置这些应该都不是问题。

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

  • 接下来点击新增,添加我们需要的路由即可 //这里大家就把它想象成路由器,路由器怎么配ip这里一样

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

 //这里为了演示,我就写了两条路由,实现trust->untrust区域的访问

  • 当我们完成了trust区域路由配置、untrust区域路由配置、防火墙路由配置后,可以简单测试一下,如下图所示:

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

pc为trust区域终端,100.1.1.1为untrust区域环回ip。

我们去查看防火墙是否命中,如下图所示:

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

  • 因为我们前面在SW4上做了接口聚合,所以防火墙上也要做

1、配置接口聚合

步骤:新建->接口类型选择聚合,然后将需要聚合的接口添加到绑定接口即可

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

 2、配置vlanif100、vlanif200虚拟网关。

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

  • 这里大家最好在进入到防火墙每个接口敲一遍:service-manage all permit,确保服务权限开启

配置完成,进行测试

  • trust->untrust

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

  • dmz->trust

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

 结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

  • untrust->dmz

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

实验中遇到的问题

一、访问https://ip:8443端口提示建立安全连接失败

  • 具体报错信息如下图所示:

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

  •  这里关键的地方是也没有继续访问的链接,而在观看老师操作的时候却有接受安全提示,继续访问的接口,所以我更换了Google、微软浏览器挨个试了一遍都不行,网上也有很多说法,关闭防火墙,VirtualBox版本不匹配、或者是没有开启https访问权限等等原因,而我也照猫画虎做了一遍,都还是不行。于是我打算抓包看看,到底是哪出了问题。
  • 抓包如下图所示:

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

  •  这时候我们访问myssl.com查看当前浏览器支持的tls版本:

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

 点击工具型,点击国际客户端检测,即可查看当前浏览器支持的tls版本,而我使用的火狐浏览器如下图所示:

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

 解决办法: 到这里相信小伙伴们就知道了,是因为火狐浏览器不支持tls1.1版本,导致我们无法成功建立tls连接,所以我更换了ie浏览器(只要支持tls1.1版本的浏览器都可以),这时候我再去访问https://ip:8443这个地址,成功出现了 防火墙后台界面,如下图所示:

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

接下来大家就使用默认用户名:admin 密码:Admin@123登录即可。

二、在本机cmd窗口无法ping通防火墙测试端口

具体问题如下:

当我们完成了cloud配置,成功配置防火墙测试端口ip地址,但是始终无法ping通,如下图所示

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

 结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

这时候我们应该提前进行ping测试,因为我们要通过该ip地址登录后台控制页面的前提是可以ping通它,同时免得后面再返工。可是却始终无法ping通,如下图所示:

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

 解决方法:

进入防火墙G0/0/0端口,开启ping测试权限

使用命令:

service-manage enable 

service-manage all permit //允许访问该接口的所有服务

这时候我们再去测试,可以看到成功ping'通并登录后台界面。

 结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

 tips: 作者在这里遇到了cloud配置好了,ip地址、https、ping服务,防火墙把所有关于ensp的流量都允许了,结果还是ping不通(如果是可以ping通,但是无法登录,大家可以看看上述第一个问题的解决办法!)。这里本人更换了cloud网卡配置,然后将端口类型都改为了GE(如果本来就是GE的可以更换为Ethernet),再次测试却可以通了,很懵逼;还有一种情况就是我将G0/0/0口连到别的地方却没有连接cloud,导致本地流量始终无法送到该接口,无法ping通,将G0/0/0口再重新连接至cloud就可以ping通了。由于个人能力有限,暂时无法给大家详细讲解原因,如果遇到和作者类似情况的小伙伴可以试一试,说不定就解决大家问题了。

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

以上就是要跟小伙伴们分享的内容,不知道有没有帮助到大家,如果有写的不准确的地方,欢迎大家交流指正!

                                                                                                                                Writer: Darkfive文章来源地址https://www.toymoban.com/news/detail-428469.html

到了这里,关于结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 华为防火墙USG6000V---内网访问外网---外网访问内网服务器(NAT服务器)示例配置

      目录 一、配置要求  二、配置步骤 1. ping通防火墙接口IP地址的条件 2. 内网ping通外网终端的条件 3. 内网ping通DMZ(内网服务器)的条件 三、命令解析 内网可以ping通防火墙; 内网可以访问外网; 外网可以访问内网服务器。 1. ping通防火墙接口IP地址的条件 配置接口IP地址;

    2024年02月04日
    浏览(50)
  • 防火墙USG5500安全实验-网络地址转换实验

    防火墙USG5500安全实验-网络地址转换实验 实验目的 通过本实验,你将了解NAT outbound 的工作原理及详细配置。 组网设备 USG防火墙一台,PC机两台。 实验拓扑图 实验步骤 - 1 配置PC1、PC3和PC2的IP地址分别为192.168.1.11/24、10.1.1.11/24、2.2.2.11/24。 2 设置防火墙GE0/0/0、GE0/0/3和GE0/0/1的

    2024年02月03日
    浏览(46)
  • 防御课程—华为USG6000V1的配置实验(一)

    实验拓扑: 实验分析 由实验拓扑图需求分析可知我们在生产区和办公区需要用到子接口技术 实验配置 在Cloud1上配置 在DMZ区域配置 在server1上配置 在server2上配置 在防火墙上进行的配置 由实验拓扑图可知防火墙与DMZ区域相连的接口为GigabitEthernet1/0/0接口 我们只需要将将防火

    2024年01月25日
    浏览(63)
  • 华为USG防火墙配置命令

    其实防火墙配置,只需要配置到能使用web方式管理,剩下的都在网页上配置即可,有人喜欢用命令配置,但我说下用命令配置的弊端,首先是安全策略的备注不好写,还有就是策略的顺序不方便调整,需要提前规划好,还有就是容易出错,真的完全没有必要,你又不是配置交

    2024年02月05日
    浏览(48)
  • #华为 #usg 华为防火墙安全区域的概念

    安全区域(Security Zone),或者简称为区域(Zone),是设备所引入的一个安全概念,大部分的安全策略都基于安全区域实施。 定义 一个安全区域是若干接口所连网络的集合,这些网络中的用户具有相同的安全属性。 目的 在网络安全的应用中,如果网络安全设备对所有报文都

    2023年04月09日
    浏览(52)
  • 华为eNSP防火墙USG5500基本配置

    华为eNSP防火墙USG5500基本配置 实验设备 防火墙采用eNSP自带USG5500,不需要导入操作系统;eNSP同时提供防火墙USG6000,它不能打开,提示需要导入防火墙系统。交换机采用的是5700,交换机上创建了3个VLan,Vlan5用来连接防火墙,Vlan10是PC13所在的网络,Vlan20是PC14所在的网络。 实验

    2024年02月05日
    浏览(51)
  • 华为防火墙(以USG6330为例)公网直接访问问题解决

    以华为防火墙作为公司网络出口设备,连接ISP网络。在公网输入公司的公网IP地址,会自动添加端口号,跳转到防火墙外网登录界面。 【策略-NAT策略-服务器映射】列表中并没有将防火墙映射到公网。 (一)方案一:映射到错误的IP地址上         在【策略-NAT策略-服务器

    2024年02月13日
    浏览(39)
  • 华为防火墙配置指引超详细(包含安全配置部分)以USG6320为例

    华为防火墙USG6320是一款高性能、高可靠的下一代防火墙,适用于中小型企业、分支机构等场景。该防火墙支持多种安全功能,可以有效抵御网络攻击,保护网络安全。 目录 华为防火墙USG6320 1. 初始配置 2. 安全策略配置 3. 防火墙功能配置 4. 高可用性配置 5. 维护和管理 6. 附加

    2024年04月11日
    浏览(45)
  • 华为防火墙IPSec详解与配置实验

    GRE是明文传输,IPSec是加密传输 1.常见的加密算法 (1)对称加密 加密解密用同一个密钥 (2)非对称加密 在加密和解密中使用两个不同的密钥,私钥用来保护数据,公钥由同一系统的人公用,用来检验信息及其发送者的真实性和身份,公钥加密私钥解密,私钥加密公钥解密

    2023年04月12日
    浏览(44)
  • 华为TD-LTE无线数据终端(4G路由器)L二TP对接防火墙USG6650E解决校车(车辆)数据回传问题

    问题:一卡通消费机安装在校车上,校车在全市范围内移动,消费机需要远程连接一卡通服务器才能实现刷校园码、微信、支付宝等功能,由于消费机自身不具备4G、5G模块功能(就算有也要解决问题),只能WIFI,且一卡通服务器位于内网,不提供公网IP映射,因此,要使得校

    2024年02月09日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包