eNSP实验日记四(防火墙配置)

这篇具有很好参考价值的文章主要介绍了eNSP实验日记四(防火墙配置)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

eNSP实验日记四,防火墙配置



前言

今天这期紧跟上篇文章,来讲讲华为防火墙的配置以及进阶,这次也会用到NAT转换


一、设备清单以及需求

4台PC、路由器、防火墙、服务器、交换机各一个
如图:


ensp防火墙配置,网工实验日记,服务器,网络,运维


如图:
PC2、3、4在内网,地址网段为192.168.10.x,服务器端IP地址为172.16.1.1,外网网段为64.1.1.x,同时也为内网配置了DHCP

1、用防火墙实现
需求:代替普通路由器,让内网主机,能上网

配置步骤
1.1 配ip地址
1.2 配DHCP
1.3 配默认路由
1.4 配nat

2、加强安全保护
2.1.不允许陌生的外网数据包,进入内网。内网主机想出去可以
2.2.主机在访问服务器的时候,服务器回包可以
主机没访问服务器,服务器主动连接无,不正常,禁止的

配置步骤
1.安全域
2.安全策略

二、配置步骤

1.配置安全域

因为在之前的文章里有说到如何配置IP、DHCP和默认路由,所以这里就提前配置好了
按照上面的步骤来,下一步就配置NAT,但是在配置NAT之前先要配置安全域,什么是安全域呢
安全域
1、内网区域 信任区域
2、外网区域 非信任区域
3、服务器区域 DMZ区域(非军事化管理区域,中间地带)


在启动防火墙后需要更改一下密码才能进行配置
以华为为例默认账号密码
admin
Admin@123

ensp防火墙配置,网工实验日记,服务器,网络,运维

Username:admin       账号admin
Password:			密码Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: 		默认密码
Please enter new password: 		新密码
Please confirm new password:	新密码

进入防火墙字符界面后我们来配置安全域


[USG6000V1]firewall zone trust 			进入信任域	
[USG6000V1-zone-trust]add int g1/0/1	把连接内网的接口,添加进来

[USG6000V1]firewall zone untrust 		进入非信任域
[USG6000V1-zone-untrust]add int g1/0/3	把连接外网的接口,添加进来

[USG6000V1]firewall zone dmz 			进入DMZ信任域
[USG6000V1-zone-dmz]add in g1/0/2		把连接服务器的接口,添加进来

2.配置nat策略

[USG6000V1]nat-policy 											进入nat策略
[USG6000V1-policy-nat]rule name shangwang						新建一个nat的转换规则 名字叫shangwang
[USG6000V1-policy-nat-rule-shangwang]source-zone trust 			从信任区域(内网)来的
[USG6000V1-policy-nat-rule-shangwang]destination-zone untrust 	到非信任区域(外网)去的
[USG6000V1-policy-nat-rule-shangwang]action source-nat easy-ip 	做转换动作,源ip做转换。转换成出接口的ip
easy-ip:意思就是,数据包发出去的时候,要转成出接口的ip


ensp防火墙配置,网工实验日记,服务器,网络,运维
这里NAT已经配置完成了,单是现在依然是ping不通的,根本不用去试,因为我们还缺一个 安全策略


3.做安全策略

为什么要做安全策略
防火墙是安全设备,人性本恶,不做放行策略的话,所有的包都禁止通过

外网不能进来。保持默认的安全策略
内网能出去。增加一条放行策略

[USG6000V1]security-policy 												进入安全策略
[USG6000V1-policy-security]rule name shangwang							新建一个策略,名字叫上网
[USG6000V1-policy-security-rule-shangwang]source-zone trust 			从内网(trust)区域来的
[USG6000V1-policy-security-rule-shangwang]destination-zone untrust 		到外网(untrust)去的
[USG6000V1-policy-security-rule-shangwang]action permit 				动作、放行

ensp防火墙配置,网工实验日记,服务器,网络,运维

这个安全策略,防火墙是否放他出去
刚才是nat策略(虽然有点相似),出去的时候,要不要做地址转换


到这里所有的步骤已经配置完成了,现在来ping一下内网
ensp防火墙配置,网工实验日记,服务器,网络,运维
这里可以看到内网可以ping通,但是呢外网是ping不通内网的,大家可以更着步骤试一试。

总结

以上就是今天要讲的内容,本文仅仅简单介绍了防火墙的基础配置,以华为为例的防火墙提供了更多的安全策略,后面会带大家

下篇文章综合之前所讲的基础,来搭建一个企业网络,
所用的设备:
PC(N+1):终端PC
无线设备:笔记本以及手机
二层交换机:傻瓜交换机
三层交换机:核心交换机
主路由(副路由):连接不同网络
防火墙:控制,隔离,记录
内外网的配置:外网禁止访问内网
利用以上设备来组成一个标准的企业网拓扑结构。

有需要华为eNSP软件和防火墙设备包的同学可以下方留言,会私信发给你,谢谢你的支持文章来源地址https://www.toymoban.com/news/detail-784591.html

到了这里,关于eNSP实验日记四(防火墙配置)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 华为ensp 防火墙的基础配置

    拓扑图: [FW3-zone-isp1]set priority 12 #配置防火墙优先级 步骤一 #首先进入防火墙需要输入默认账号和密码,必须修改密码。 [USG6000V1] undo in en #关闭提示。 #先配置ip。 [USG6000V1]ip route-static 0.0.0.0 0.0.0.0 64.1.1.10 #配置去往外网的默认路由(缺省路由)。 #查看去往百度的路由表。 步

    2023年04月09日
    浏览(68)
  • eNSP配置防火墙进入Web界面

    目录 配置eNSP中防火墙和云 1.添加防火墙设备 2.启动防火墙,并输入用户名与密码 3.查看端口信息并开启服务 4.修改网卡地址 5.添加云 6.配置相关信息 7.连接  测试 1.Ping测试          2.登录Web 3.登录成功 1.添加防火墙设备 2.启动防火墙,并输入用户名与密码 默认用户名为

    2023年04月08日
    浏览(39)
  • 华为ensp防火墙nat64案例配置

    不得不说csdn中关于nat64的案例配置没有几个详细,要么照抄,要么搬运~ 今天也敲个做了一单nat64的小实验,实话实说这种需求的题平时遇见的也少,今天跟大家详细的分析以下。 场景很简单,黄色区域为v6内网,蓝色区域为v4外网,实现pc1通过nat64技术访问服务器1  不多BB,

    2024年02月16日
    浏览(49)
  • eNSP配置防火墙有两大步骤

      一、把接口加入安全域(trustuntrustdmz) firewall zone trust add intt 端口号 firewall zone untrust add int 端口号 2、做放行策略 进入安全策略:security-policy 策略名:rule name 策略名 源区域:source-zone trust 目的区域:destination-zone untrust 允许:action permit 二、内网主机是私网IP,私网IP不能

    2024年02月04日
    浏览(49)
  • 网络毕业设计--基于华为ensp防火墙双出口负载拟真实验

     由于之前的实验很多同学提出了问题,确实是我排版不当导致,我重新梳理规划,发给大家。 本次论文实验是园区多出口带宽资源调配和管理,大家可以参考组网结构,在此基础上可以进行各种改良,符合自己的实验需求是最终目的,下面直接上配置,想要定制的+绿泡泡

    2024年02月08日
    浏览(41)
  • 华为eNSP防火墙USG5500基本配置

    华为eNSP防火墙USG5500基本配置 实验设备 防火墙采用eNSP自带USG5500,不需要导入操作系统;eNSP同时提供防火墙USG6000,它不能打开,提示需要导入防火墙系统。交换机采用的是5700,交换机上创建了3个VLan,Vlan5用来连接防火墙,Vlan10是PC13所在的网络,Vlan20是PC14所在的网络。 实验

    2024年02月05日
    浏览(56)
  • 第九课:eNSP VRRP虚拟路由冗余协议配置教程(防火墙双机热备)

     系列文章目录 第一课:eNSP第一个网络拓扑配置教程 第二课:eNSP vlan网络拓扑图配置教程 第三课:eNSP WIFI网络拓扑配置教程 第四课:eNSP 路由器路由配置拓扑教程 第五课:eNSP DHCP拓扑配置教程 第六课:eNSP 防火墙拓扑配置教程 第七课:eNSP 单臂路由/多臂路由拓扑配置教程

    2024年02月02日
    浏览(50)
  • 使用ENSP模拟器配置华为防火墙的WEB登录页面 --->> 保姆级教程

    点击此电脑 -- 计算机管理 点击设备管理器中的网络适配器  点击操作中的添加过时硬件  继续点击下一步 点击下一步        点击网络适配器         选择Microsoft中的环回适配器         下一步          OK!环回适配添加完成          网络 --- 属性 --- 更改适配器设

    2024年04月29日
    浏览(53)
  • 学习笔记记录ensp中防火墙配置(trust,unstrus,dmz 资源下载可用)

    实验目的,通过配置防火墙控制相互之间的访问,拓扑图如下 资源已上传,注意lsw1和ar2的路由表到各个网段的路由表配置,通过防火墙来控制各个区域能否访问成功。 防火墙通过cloud2链接,方便登录网页配置防火墙策略。防火墙内需要设置路由器,接口聚合对接dmz区域,并

    2024年04月26日
    浏览(43)
  • ensp的防火墙

    授权用户 非授权用户 区域的划分,根据安全等级来划分         包过滤防火墙可以理解为就是ACL访问控制列表技术;他主要就是在检测的时候根据五元组【IP地址、源端口、目的IP地址、目的端口和传输层协议】来进行的。 优点:简单、 速度快 缺点:检查的颗粒度粗 降

    2024年02月15日
    浏览(32)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包