1. Toy模板网首页
  2. > Toy博客

防火墙安全策略

9月前 作者:White乄joker 分类:Toy博客 阅读(33) 违法举报

这篇具有很好参考价值的文章主要介绍了防火墙安全策略。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

防火墙安全策略

实验图

 1.配置防火墙图形界面

        先添加UDP端口

         添加网段网卡

        启动防火墙FW1

         查找防火墙 0/0/0 端口默认的IP地址

        将地址与回环端口的地址改为同一网段

        放行策略,RTPS协议

        测试

         输入图形化界面的访问地址

         登陆刚才设置的用户名以及密码

 2.配置untrust区域

        点击网络,进入接口

         配置GE1/0/0接口

        R1配置

        R1中server2的配置

         测试 --- ping 100.1.1.1 防火墙

        配置路由缺省

         新建

 2.配置trust区域

         配置GE1/0/1接口

         LSW1配置

        在LSW1上配置PC1的网关

        PC1配置

        测试

        配置回包路由

         测试

 3.配置DMZ区域

        配置GE1/0/2接口

        接口聚合配置

         在LSW2上配置接口聚合

        在防火墙上创建DMZ上的三层口

         测试

 4.区域间互相通

        配置路由策略

 5.配置接口对

        配置GE1/0/4端口

        创建接口对

6.防火墙安全策略配置(trust-to-untrust)

         新建安全策略

       ​编辑

        配置原地址

        AR1配置回包路由        

        LSW1配置回包路由

        测试

 7.防火墙安全策略配置(trust-to-DMZ)

        定义地址组

         创建安全策略(trust-to-dmz)

         测试

  8.防火墙安全策略配置(untrust-to-DMZ)

        定义地址

         创建安全策略(untrust-to-dmz)

         测试

总测试

防火墙安全策略

实验图

防火墙策略,网络安全,linux,服务器,运维

 1.配置防火墙图形界面

        先添加UDP端口

防火墙策略,网络安全,linux,服务器,运维

         添加网段网卡

防火墙策略,网络安全,linux,服务器,运维

 注意:

        网段网卡Windows上,所以Windows可以通过这个网段网卡访问到防火墙

        做端口映射,点击双向通道,点击添加

防火墙策略,网络安全,linux,服务器,运维

 注意:

        一般情况下防火墙在刚买下会有一个端口为管理口,自带IP地址,华为设备中,防火墙默认只有GigabitEthernet0/0/0端口是受信任端口,且ip地址为192.168.0.1

        启动防火墙FW1

防火墙策略,网络安全,linux,服务器,运维

启动成功后,会提示输入Username以及Password

华为默认用户名以及密码为:

        Username:admin

        Password:Admin@123        

登录成功后提示修改密码

The password needs to be changed. Change now? [Y/N]: y
Please enter old password: 
Please enter new password: 
Please confirm new password: 

 Info: Your password has been changed. Save the change to survive a reboot. 
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************


<USG6000V1>
Mar 17 2023 08:22:41 USG6000V1 SNMPADAPT/4/UPDATE_SUCCESS:OID 1.3.6.1.4.1.2011.6
.122.76.2.1 Succeed in updating database. (Module= "LOCATION-SDB", Pre-UpdateVer
sion= "0", UpdateVersion= "2018061815")
<USG6000V1>

         查找防火墙 0/0/0 端口默认的IP地址 

<USG6000V1>system-view 
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g 0/0/0	
[USG6000V1-GigabitEthernet0/0/0]display this 
2023-03-17 08:25:48.180 
#
interface GigabitEthernet0/0/0
 undo shutdown
 ip binding vpn-instance default ---- VPN的设置,单独隔离出来的一个口
 ip address 192.168.0.1 255.255.255.0
 alias GE0/METH
#
return
[USG6000V1-GigabitEthernet0/0/0]

        将地址与回环端口的地址改为同一网段

[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.160.1 24
[USG6000V1-GigabitEthernet0/0/0]
Mar 17 2023 08:45:36 USG6000V1 %%01FRAG/4/FRAG_PKT_EXCEED_THRESHOLD(l)[13]:The t
otal number of cached packet fragments on SPU 11 CPU 0 is 64, exceeding threshol
d value 64.

        放行策略,RTPS协议

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

        测试

防火墙策略,网络安全,linux,服务器,运维

         输入图形化界面的访问地址

防火墙策略,网络安全,linux,服务器,运维

         登陆刚才设置的用户名以及密码

防火墙策略,网络安全,linux,服务器,运维

 2.配置untrust区域

        点击网络,进入接口

防火墙策略,网络安全,linux,服务器,运维

         配置GE1/0/0接口

防火墙策略,网络安全,linux,服务器,运维

防火墙策略,网络安全,linux,服务器,运维

 注意:

        写上网关会出现默认路由,一般情况不写,自己进行配置

        R1配置 

<Huawei>sys	
<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[ISp]sysname ISP
[ISP]int g 0/0/0	
[ISP-GigabitEthernet0/0/0]ip address 100.1.1.2 24
Mar 17 2023 18:04:30-08:00 ISP %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP
 on the interface GigabitEthernet0/0/0 has entered the UP state. 
[ISP-GigabitEthernet0/0/0]q
[ISP]int g 0/0/1
[ISP-GigabitEthernet0/0/1]ip address 200.1.1.1 24
Mar 17 2023 18:04:56-08:00 ISP %%01IFNET/4/LINK_STATE(l)[1]:The line protocol IP
 on the interface GigabitEthernet0/0/1 has entered the UP state. 
[ISP-GigabitEthernet0/0/1]

        R1中server2的配置

防火墙策略,网络安全,linux,服务器,运维

         开启http服务

防火墙策略,网络安全,linux,服务器,运维

         测试 --- ping 100.1.1.1 防火墙

[ISP]ping 100.1.1.1
  PING 100.1.1.1: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
    Request time out

  --- 100.1.1.1 ping statistics ---
    5 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss

[ISP]

无法ping通:

        原因 --- 默认是不允许(不放行)

如何测试:

        配置GE0/0/1口

防火墙策略,网络安全,linux,服务器,运维

[ISP]ping 100.1.1.1
  PING 100.1.1.1: 56  data bytes, press CTRL_C to break
    Reply from 100.1.1.1: bytes=56 Sequence=1 ttl=255 time=20 ms
    Reply from 100.1.1.1: bytes=56 Sequence=2 ttl=255 time=10 ms
    Reply from 100.1.1.1: bytes=56 Sequence=3 ttl=255 time=10 ms
    Reply from 100.1.1.1: bytes=56 Sequence=4 ttl=255 time=10 ms
    Reply from 100.1.1.1: bytes=56 Sequence=5 ttl=255 time=10 ms

  --- 100.1.1.1 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 10/12/20 ms

        配置路由缺省

防火墙策略,网络安全,linux,服务器,运维

         新建

防火墙策略,网络安全,linux,服务器,运维

 2.配置trust区域

         配置GE1/0/1接口

防火墙策略,网络安全,linux,服务器,运维

         LSW1配置

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname LSW1
[LSW1]
Mar 17 2023 18:23:07-08:00 LSW1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.2
5.191.3.1 configurations have been changed. The current change number is 4, the 
change loop count is 0, and the maximum number of records is 4095.
[LSW1]vlan 2
[LSW1-vlan2]
Mar 17 2023 18:24:47-08:00 LSW1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.2
5.191.3.1 configurations have been changed. The current change number is 5, the 
change loop count is 0, and the maximum number of records is 4095.
[LSW1-GigabitEthernet0/0/1]port default vlan 2
[LSW1-GigabitEthernet0/0/1]
Mar 17 2023 18:40:31-08:00 LSW1 %%01IFNET/4/IF_STATE(l)[2]:Interface Vlanif1 has
 turned into DOWN state.
Mar 17 2023 18:40:31-08:00 LSW1 %%01IFNET/4/IF_STATE(l)[3]:Interface Vlanif2 has
 turned into UP state.
Mar 17 2023 18:40:31-08:00 LSW1 %%01IFNET/4/LINK_STATE(l)[4]:The line protocol I
P on the interface Vlanif2 has entered the UP state.
[LSW1-vlan2]q
[LSW1]int g 0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type access 
Mar 17 2023 18:25:47-08:00 LSW1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.2
5.191.3.1 configurations have been changed. The current change number is 6, the 
change loop count is 0, and the maximum number of records is 4095.
[LSW1-GigabitEthernet0/0/1]q
[LSW1]int Vlanif 2
[LSW1-Vlanif2]ip address 10.1.255.1 24
[LSW1-Vlanif2]q
Mar 17 2023 18:26:57-08:00 LSW1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.2
5.191.3.1 configurations have been changed. The current change number is 7, the 
change loop count is 0, and the maximum number of records is 4095.

        在LSW1上配置PC1的网关

[LSW1]vlan 3
[LSW1-vlan3]q
Mar 17 2023 18:27:57-08:00 LSW1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.2
5.191.3.1 configurations have been changed. The current change number is 8, the 
change loop count is 0, and the maximum number of records is 4095.la	
[LSW1]int Vlanif 3
[LSW1-Vlanif3]ip address 10.1.3.1 24
[LSW1-Vlanif3]q
Mar 17 2023 18:28:17-08:00 LSW1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.2
5.191.3.1 configurations have been changed. The current change number is 9, the 
change loop count is 0, and the maximum number of records is 4095
[LSW1]int g 0/0/2	
[LSW1-GigabitEthernet0/0/2]port link-type access 
[LSW1-GigabitEthernet0/0/2]por	
[LSW1-GigabitEthernet0/0/2]port
Mar 17 2023 18:28:47-08:00 LSW1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.2
5.191.3.1 configurations have been changed. The current change number is 10, the
 change loop count is 0, and the maximum number of records is 4095. def	
[LSW1-GigabitEthernet0/0/2]port default vla	
[LSW1-GigabitEthernet0/0/2]port default vlan 3
[LSW1-GigabitEthernet0/0/2]
Mar 17 2023 18:28:54-08:00 LSW1 %%01IFNET/4/IF_STATE(l)[0]:Interface Vlanif3 has
 turned into UP state.
Mar 17 2023 18:28:54-08:00 LSW1 %%01IFNET/4/LINK_STATE(l)[1]:The line protocol I
P on the interface Vlanif3 has entered the UP state.
Mar 17 2023 18:28:57-08:00 LSW1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.2
5.191.3.1 configurations have been changed. The current change number is 11, the
 change loop count is 0, and the maximum number of records is 4095.
[LSW1-GigabitEthernet0/0/2]

        PC1配置

防火墙策略,网络安全,linux,服务器,运维

        测试

         打开ping防火墙策略,网络安全,linux,服务器,运维

[LSW1]ping 10.1.255.2
  PING 10.1.255.2: 56  data bytes, press CTRL_C to break
    Reply from 10.1.255.2: bytes=56 Sequence=1 ttl=255 time=50 ms
    Reply from 10.1.255.2: bytes=56 Sequence=2 ttl=255 time=40 ms
    Reply from 10.1.255.2: bytes=56 Sequence=3 ttl=255 time=50 ms
    Reply from 10.1.255.2: bytes=56 Sequence=4 ttl=255 time=50 ms
    Reply from 10.1.255.2: bytes=56 Sequence=5 ttl=255 time=40 ms

  --- 10.1.255.2 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 40/46/50 ms

[LSW1]

        配置回包路由

防火墙策略,网络安全,linux,服务器,运维

         测试

防火墙策略,网络安全,linux,服务器,运维

 3.配置DMZ区域

        配置GE1/0/2接口

防火墙策略,网络安全,linux,服务器,运维

 注意:

        GE1/0/3接口配置与GE1/0/2相同

        接口聚合配置

防火墙策略,网络安全,linux,服务器,运维

注意:

        一般一个网关选择:Access,两个网关选择:Truck

防火墙策略,网络安全,linux,服务器,运维

 防火墙策略,网络安全,linux,服务器,运维

 防火墙策略,网络安全,linux,服务器,运维

         在LSW2上配置接口聚合

[DMZ]int Eth-Trunk 1
[DMZ-Eth-Trunk1]tru	
[DMZ-Eth-Trunk1]trunkport g 0/0/1
[DMZ-Eth-Trunk1]
[DMZ-Eth-Trunk1]trunkport g 0/0/2
[DMZ-Eth-Trunk1]port link-type trunk 
[DMZ-Eth-Trunk1]
[DMZ-Eth-Trunk1]port trunk allow-pass vlan 10 to 11
[DMZ-Eth-Trunk1]
[DMZ-Eth-Trunk1]vla	
[DMZ-Eth-Trunk1]vlan 10
[DMZ-vlan10]vla	
[DMZ-vlan10]vlan 11
[DMZ-vlan11]q
[DMZ]int g 0/0/4
[DMZ-GigabitEthernet0/0/4]port link-type access 
[DMZ-GigabitEthernet0/0/4]port default vlan 10
[DMZ-GigabitEthernet0/0/4]
[DMZ-GigabitEthernet0/0/4]int g 0/0/3
[DMZ-GigabitEthernet0/0/3]port link-type access 
[DMZ-GigabitEthernet0/0/3]port default vlan 11
[DMZ-GigabitEthernet0/0/3]

        在防火墙上创建DMZ上的三层口

防火墙策略,网络安全,linux,服务器,运维

防火墙策略,网络安全,linux,服务器,运维

         测试

防火墙策略,网络安全,linux,服务器,运维

防火墙策略,网络安全,linux,服务器,运维

 4.区域间互相通

        配置路由策略

防火墙策略,网络安全,linux,服务器,运维

 5.配置接口对

防火墙策略,网络安全,linux,服务器,运维

        配置GE1/0/4端口

防火墙策略,网络安全,linux,服务器,运维

注意: 

        GE1/0/5端口与GE1/0/4端口相同

        创建接口对

防火墙策略,网络安全,linux,服务器,运维

防火墙策略,网络安全,linux,服务器,运维

6.防火墙安全策略配置(trust-to-untrust)

         新建安全策略

防火墙策略,网络安全,linux,服务器,运维

       防火墙策略,网络安全,linux,服务器,运维

        配置原地址

防火墙策略,网络安全,linux,服务器,运维

 防火墙策略,网络安全,linux,服务器,运维

        AR1配置回包路由        

[ISP]ip router-static 0.0.0.0 0 100.1.1.1

        LSW1配置回包路由

[LSW1]ip route-static 0.0.0.0 0 10.1.255.2

        测试

防火墙策略,网络安全,linux,服务器,运维

 7.防火墙安全策略配置(trust-to-DMZ)

        定义地址组

防火墙策略,网络安全,linux,服务器,运维

 防火墙策略,网络安全,linux,服务器,运维

         创建安全策略(trust-to-dmz)

防火墙策略,网络安全,linux,服务器,运维

         测试

防火墙策略,网络安全,linux,服务器,运维

  8.防火墙安全策略配置(untrust-to-DMZ)

        定义地址

防火墙策略,网络安全,linux,服务器,运维

         创建安全策略(untrust-to-dmz)

防火墙策略,网络安全,linux,服务器,运维

         测试

防火墙策略,网络安全,linux,服务器,运维

总测试

防火墙策略,网络安全,linux,服务器,运维文章来源地址https://www.toymoban.com/news/detail-804544.html

到了这里,关于防火墙安全策略的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • 网络安全之防火墙 双机热备实验

    网络安全之防火墙 双机热备实验

    目录 网络安全之防火墙 双机热备实验 实验图 基本配置 PC1  SW2 PC2 ​编辑 SW3配置  登陆防火墙图形界面 ​编辑 FW1的配置  FW2的配置 新建trust to untrust 区域的安全策略 配置心跳线 在FW1与FW2之间拉一条心跳线  ​编辑 配置FW1 g 1/0/2 口 ip ​编辑  配置FW2 g 1/0/2 口 ip 将心

    2024年02月12日
    浏览(39)
  • 【网络安全】防火墙知识点全面图解(二)

    【网络安全】防火墙知识点全面图解(二)

    本系列文章包含: 【网络安全】防火墙知识点全面图解(一) 【网络安全】防火墙知识点全面图解(二) 【网络安全】防火墙知识点全面图解(三) 通常一个规则是由多条 访问控制列表 组成,一条访问控制列表也叫做一个 表项 。一个表项由对象( object )、行为( acti

    2024年02月11日
    浏览(47)
  • 【网络安全】防火墙知识点全面图解(三)

    【网络安全】防火墙知识点全面图解(三)

    本系列文章包含: 【网络安全】防火墙知识点全面图解(一) 【网络安全】防火墙知识点全面图解(二) 【网络安全】防火墙知识点全面图解(三) DoS 全称是 Denial of Service ,也就是无法继续提供服务的意思。这里的服务是指服务器的应用程序服务,比如客户端发起 HTTP 请

    2024年02月11日
    浏览(59)
  • 【网络安全】防火墙知识点全面图解(一)

    【网络安全】防火墙知识点全面图解(一)

    本系列文章包含: 【网络安全】防火墙知识点全面图解(一) 【网络安全】防火墙知识点全面图解(二) 【网络安全】防火墙知识点全面图解(三) 防火墙 ( Firewall )是防止火灾发生时,火势烧到其它区域,使用由防火材料砌的墙。 后来这个词语引入到了网络中,把从外

    2024年02月12日
    浏览(41)
  • 电脑防火墙怎么设置才能有效保护网络安全?

    电脑防火墙怎么设置才能有效保护网络安全?

    网络安全一直是现在人们日常关注的问题,电脑中毒无法使用、个人的隐私被泄露造成人生财产的损失这些问题都不可小看。电脑的防火墙就像一道城墙,它能够抵御外来的邪恶病毒的侵害。所以你想知道电脑防火墙应该怎样设置才会发挥他的最大功效么? 电脑防火墙怎么设

    2024年02月11日
    浏览(45)

  • 守护网络安全的第一道门—防火墙

    2023年05月20日
    浏览(46)
  • 网络安全 Day29-运维安全项目-iptables防火墙

    网络安全 Day29-运维安全项目-iptables防火墙

    目标: 封或开启端口 封或开启ip 硬件: 整个企业入口 三层路由: H3C 华为 Cisco(思科) 硬件防火墙: 深信服,绿盟,奇安信… 棱镜门 0day. 勒索病毒。 国内互联网企业去IOE运动。 Juniper 软件: 开源软件 网站内部 封ip 封ip iptables 写入到Linux 内核 中 以后服务docker 工作在 4层(大部分)

    2024年02月12日
    浏览(54)
  • 网络安全知识入门:Web应用防火墙是什么?

    网络安全知识入门:Web应用防火墙是什么?

    在互联网时代,网络安全问题逐渐受到重视,防火墙的配置也是非常必要的。它是位于内部网和外部网之间的屏障,更是系统的第一道防线。Web应用防火墙是什么,如何才能更好地保护Web应用,这篇文章会从应用安全为出发点,把各个技术点逐一讲透。 提到Web应用防火墙是什

    2024年03月08日
    浏览(46)
  • 防火墙USG5500安全实验-网络地址转换实验

    防火墙USG5500安全实验-网络地址转换实验

    防火墙USG5500安全实验-网络地址转换实验 实验目的 通过本实验,你将了解NAT outbound 的工作原理及详细配置。 组网设备 USG防火墙一台,PC机两台。 实验拓扑图 实验步骤 - 1 配置PC1、PC3和PC2的IP地址分别为192.168.1.11/24、10.1.1.11/24、2.2.2.11/24。 2 设置防火墙GE0/0/0、GE0/0/3和GE0/0/1的

    2024年02月03日
    浏览(46)
  • 《计算机系统与网络安全》 第十章 防火墙技术

    《计算机系统与网络安全》 第十章 防火墙技术

    🌷🍁 博主 libin9iOak带您 Go to New World.✨🍁 🦄 个人主页——libin9iOak的博客🎐 🐳 《面试题大全》 文章图文并茂🦕生动形象🦖简单易学!欢迎大家来踩踩~🌺 🌊 《IDEA开发秘籍》学会IDEA常用操作,工作效率翻倍~💐 🪁🍁 希望本文能够给您带来一定的帮助🌸文章粗浅,敬

    2024年02月11日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包