1. Toy模板网首页
  2. > Toy博客

配置ACL包过滤防火墙典型实验

7月前 作者:周三叁 分类:Toy博客 阅读(28) 违法举报

这篇具有很好参考价值的文章主要介绍了配置ACL包过滤防火墙典型实验。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

配置ACL包过滤防火墙

组网需求

如图1所示,Router的接口Eth2/0/0连接一个高安全优先级的内部网络,接口GE3/0/0连接低安全优先级的外部网络,需要对内部网络和外部网络之间的通信实施包过滤。具体要求如下:

  • 外部特定主机(10.39.2.3)允许访问内部网络中的服务器。
  • 其余的访问均不允许。

图1 配置ACL包过滤组网图
配置ACL包过滤防火墙典型实验

 

配置思路

采用如下思路配置ACL包过滤防火墙:

  1. 配置安全区域和安全域间。

  2. 将接口加入安全区域。

  3. 配置ACL。

  4. 在安全域间配置基于ACL的包过滤。

操作步骤

  1. 在Router上配置安全区域和安全域间。 
    <Huawei> system-view
[Huawei] firewall zone trust
[Huawei-zone-trust] priority 14
[Huawei-zone-trust] quit
[Huawei] firewall zone untrust
[Huawei-zone-untrust] priority 1
[Huawei-zone-untrust] quit
[Huawei] firewall interzone trust untrust
[Huawei-interzone-trust-untrust] firewall enable
[Huawei-interzone-trust-untrust] quit
  2. 在Router上将接口加入安全区域。 
    [Huawei] vlan 100 
[Huawei-vlan100] quit
[Huawei] interface vlanif 100 
[Huawei-Vlanif100] ip address 10.38.1.1 24 
[Huawei-Vlanif100] quit       
[Huawei] interface ethernet 2/0/0
[Huawei-Ethernet2/0/0] port link-type access  
[Huawei-Ethernet2/0/0] port default vlan 100 
[Huawei-Ethernet2/0/0] quit  
[Huawei] interface vlanif 100 
[Huawei-Vlanif100] zone trust
[Huawei-Vlanif100] quit
[Huawei] interface gigabitethernet 3/0/0
[Huawei-GigabitEthernet3/0/0] ip address 10.39.2.1 24 
[Huawei-GigabitEthernet3/0/0] zone untrust
[Huawei-GigabitEthernet3/0/0] quit
  3. 在Router上配置ACL。 
    [Huawei] acl 3102
[Huawei-acl-adv-3102] rule permit tcp source 10.39.2.3 0.0.0.0 destination 10.38.1.2 0.0.0.0
[Huawei-acl-adv-3102] rule permit tcp source 10.39.2.3 0.0.0.0 destination 10.38.1.3 0.0.0.0
[Huawei-acl-adv-3102] rule permit tcp source 10.39.2.3 0.0.0.0 destination 10.38.1.4 0.0.0.0
[Huawei-acl-adv-3102] rule deny ip
[Huawei-acl-adv-3102] quit
  4. 在Router上配置包过滤。 
    [Huawei] firewall interzone trust untrust
[Huawei-interzone-trust-untrust] packet-filter 3102 inbound
[Huawei-interzone-trust-untrust] quit
  5. 验证配置结果。

    配置成功后,仅特定主机(10.39.2.3)可以访问内部服务器。

    在Router上执行display firewall interzone [ zone-name1 zone-name2 ]命令,结果如下。

    [Huawei] display firewall interzone trust untrust 
interzone trust untrust                                                         
 firewall enable                                                                
 packet-filter default deny inbound                                             
 packet-filter default permit outbound                                          
 packet-filter 3102 inbound

配置文件

Router的配置文件文章来源地址https://www.toymoban.com/news/detail-466621.html

#                                                                               
 vlan batch 100                                                       
#                                                                               
acl number 3102                                                                 
 rule 5 permit tcp source 10.39.2.3 0 destination 10.38.1.2 0                 
 rule 10 permit tcp source 10.39.2.3 0 destination 10.38.1.3 0                
 rule 15 permit tcp source 10.39.2.3 0 destination 10.38.1.4 0                
 rule 20 deny ip                                                                
#
interface Vlanif100  
 ip address 10.38.1.1 255.255.255.0    
 zone trust                                         
# 
firewall zone trust                                                             
 priority 14                                                                    
#                                                                               
firewall zone untrust                                                           
 priority 1                                                                     
#                                                                               
firewall interzone trust untrust                                                
 firewall enable                                                                
 packet-filter 3102 inbound                                                     
#                                                                               
interface Ethernet2/0/0
 port link-type access                                                          
 port default vlan 100                                                          
#                                                                               
interface GigabitEthernet3/0/0
 ip address 10.39.2.1 255.255.255.0
 zone untrust
#
return

到了这里,关于配置ACL包过滤防火墙典型实验的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • 华为防火墙SSL VPN隧道连接实验配置

    华为防火墙SSL VPN隧道连接实验配置

    用于远程访问VPN,工作在应用层与传输层之间 SSL VPN是以SSL协议为安全基础的VPN远程接入技术,移动办公人员(在SSL VPN中被称为远程用户)使用SSL VPN可以安全、方便的接入企业内网,访问企业内网资源,提高工作效率。 SSL与IPSec、L2TP的区别: 1.IPSec、L2TP缺点:远程用户终端

    2024年02月12日
    浏览(33)
  • eNSP防火墙配置实验(trust、DMZ、untrust)

    eNSP防火墙配置实验(trust、DMZ、untrust)

    【拓扑】 设备 接口 IP地址/子网掩码/网关 AR1 G0/0/0 10.1.3.2/24 G0/0/1 100.1.1.2/24 FW1 G0/0/0 192.168.166.254/24 G1/0/0 10.1.1.1/24,trust域 G1/0/1 10.1.2.1/24,DMZ域 G1/0/2 100.1.3.1/24,untrust域 LSW1 G0/0/1 vlan 3:172.16.1.1/24 G0/0/2 vlan 2:10.1.1.2/24 LSW2 G0/0/1 vlan 2:10.1.2.2/24 G0/0/2 vlan 3:192.168.1.1/24 PC1 e0/0/1 17

    2024年04月29日
    浏览(30)
  • 网络安全之防火墙 server nat 基本配置实验

    网络安全之防火墙 server nat 基本配置实验

    目录 网络安全之防火墙 server nat 基本配置实验 实验图  1.进入视图模式  2.配置端口IP地址即区域 防火墙       ​编辑  untrust区域 DMZ区域 trust区域 配置trust-untrust区域的ftp 在untrust区域中的server1开启ftp服务  配置trust-untrust区域的ftp的安全策略 登陆ftp  查找server-map 配置 

    2024年02月15日
    浏览(31)
  • 结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

    结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

    这两天跟着老师学习了网络安全防御之防火墙的配置,过程中不乏遇到了许多问题,例如 访问https://ip:8443地址却没有提示继续进入的接口,或者是无法ping通防火墙测试端口 等问题,希望接下来的分享能够帮助到大家! 为了节省大家的时间,我把实验和具体问题分开罗列,大

    2024年02月01日
    浏览(35)
  • ACL访问控制与AR系列路由器防火墙特性

    ACL访问控制与AR系列路由器防火墙特性

    文章目录 概要 整体架构流程 技术名词解释 技术细节 基于华为AR系列路由器的防火墙特性并结合ACL技术实现流量灵活放行。 以路由器和交换机各一台为核心构建简单企业网络,实现各部门与FTP-Server/WEB-Server的信息访问控制 ACL :即access control list,功能时对经过网络设备的报文

    2024年03月20日
    浏览(46)
  • 华为防火墙综合案例(IPSec、SSL、NAT、ACL、安全防护)

    华为防火墙综合案例(IPSec、SSL、NAT、ACL、安全防护)

    华为防火墙综合案例 实验拓扑 实验要求 如图所示,总计四个网络(成都总公司、绵阳分公司、Internet、出差在外员工所处的某酒店网络) IP地址已经规划完成 成都总公司CE1交换机为三层交换机连接了两个vlan,内网客户端直接通过二层交换机连接出口防火墙 绵阳分公司一个

    2024年02月07日
    浏览(33)
  • 华为防火墙黑白名单网址过滤设置

    华为防火墙黑白名单网址过滤设置

    项目背景:现在有一个新项目,要求设置网站黑白名单,即vlan84这个网段只允许访问*.kuaidi100. 之类的,其他的不允许;vlan85这个网段 .youku.*等视频网段不能访问外,其他的都可以访问。 要求如下: 192.168.184.0/24 白名单设置:只允许访问以下网站 .kuaidi100. .sf-express. .yto. .zto.

    2023年04月08日
    浏览(71)

  • 无线路由器的防火墙过滤功能该怎么设置

    无线路由器的防火墙过滤主要有IP地址过滤、MAC地址过滤、端口过滤、域名过滤和网址过滤等。无线路由器怎么设置防火墙过滤呢? 在无线路由器的设置页面,点击“过滤设置”,进入防火墙过滤设置页面。“过滤设置”是IP 地址过滤、MAC 地址过滤、网址过滤、域名关

    2024年02月06日
    浏览(36)
  • 防火墙综合实验

    防火墙综合实验

    实验要求: 1.办公区设备可以通过电信和移动两条链路上网,且需要保留一个公网ip不能用来转换。 2.分公司设备可以通过两条链路访问到dmz区域的http服务器。 3.分公司内部客户端可以通过公网地址访问到内部服务器。 4.FW1和FW2组成主备模式的双击热备。 5.办公区上网用户限

    2024年02月21日
    浏览(31)
  • ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】

    ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】

    注:所有的通信使用静态路由来保证。 HQ: Partner Branch HQ Partner Branch HQ Partner HQ Branch HQ Branch HQ HQ Partner Branch 注:此为FTP服务器设置 注:客户端Client3成功访问FTP服务器的截图 注:通过抓包抓取FTP的流量(筛选ftp),可以看到有多个ftp的包,点开其中一个流量,可以清晰看到

    2023年04月08日
    浏览(28)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包