eNSP防火墙配置实验(trust、DMZ、untrust)

这篇具有很好参考价值的文章主要介绍了eNSP防火墙配置实验(trust、DMZ、untrust)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

【拓扑】

接口设置trust和untrust,网络

设备

接口

IP地址/子网掩码/网关

AR1

G0/0/0

10.1.3.2/24

G0/0/1

100.1.1.2/24

FW1

G0/0/0

192.168.166.254/24

G1/0/0

10.1.1.1/24,trust域

G1/0/1

10.1.2.1/24,DMZ域

G1/0/2

100.1.3.1/24,untrust域

LSW1

G0/0/1

vlan 3:172.16.1.1/24

G0/0/2

vlan 2:10.1.1.2/24

LSW2

G0/0/1

vlan 2:10.1.2.2/24

G0/0/2

vlan 3:192.168.1.1/24

PC1

e0/0/1

172.16.1.2/24/1

PC2

e0/0/1

100.1.1.2/24/1

Server1

e0/0/0

192.168.1.100/24/1

Cloud1

e0/0/1

192.168.166.1/24

【任务】

一、划分trust、untrust、dmz区域;

二、配置安全策略、静态路由或OSPF等实现两两区域之间的安全互访。

内网可以ping服务器、外网;

服务器ping内网主机、外网不通

外网可以ping服务器,不可以ping内网。

【步骤】

(1)Web页面登录配置:

Cloud1相关配置:先增加一个端口,邦定信息为UDP;再加一个端口,邦定信息为配置好的虚拟网卡,端口映射设置双向通道。连接Cloud和防火墙的0/0/0端口,在防火墙上配置IP,此时IP和Cloud上绑定的网卡为同一网段。注意不要绑到公网网卡上,可以做个虚拟环回或者绑到vm1vm8上都可以

启动防火墙的CLI界面,默认账号为admin,密码为Admin@123,登录后需要修改密码

<USG6000V1>sys  #进入系统视图

[USG6000V1]sys FW1   #配置设备名称

[FW1]dis ip int brief   #显示虚拟接口对应的IP地址与使用状态

[FW1]int g0/0/0    #进入端口GE0/0/0

[FW1-GigabitEthernet0/0/0]ip add 192.168.166.254 24   #端口配置IP地址

[FW1-GigabitEthernet0/0/0]service-manage  all permit  #开启服务器管理员权限

(2)在物理机上执行ping命令测试连通性,然后通过浏览器输入:https://192.168.166.254:8443/,访问防火墙的Web页面。

接口设置trust和untrust,网络

(3)配置untrust区域:在路由器上为两个接口配置IP地址—>untrust区域的PC配置IP、掩码和网关—>在防火墙上配置1/0/2untrust区域。

untrust区域的PC没有至防火墙的路由,所以需要手动添加一条静态路由

[FW1]firewall zone untrust #进入非信任域。

[FW1-zone-untrust]add interface g1/0/2 #添加外网接口。

[USG6000V1-GigabitEthernet1/0/2]service-manage ping permit#允许untrust区域能ping通防火墙本地

4配置trust区域:在防火墙上将1/0/0接口加入trust区域,并配置IP地址。—>trust区域的交换机上创建vlan,配置IP地址—>trust区域的PC上配置IP,掩码,网关—>PC到防火墙之间缺少路由,所以需要手动添加一条静态路由。

[FW1]firewall zone trust #进入信任域。

[FW1-zone-trust]add in g1/0/0 #添加内网接口。

[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit#允许trust区域能ping通防火墙本地

5配置DMZ区域:在防火墙上将1/0/1接口加入dmz区域,并配置IP地址。—>DMZ区域的交换机上创建vlan,配置IP>trust区域的服务器上配置IP地址,掩码,网关。

[FW1]firewall zone dmz #进入服务器区域。

[FW1-zone-dmz]add in g1/0/1 #添加接口。

[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit#允许dmz区域能ping通防火墙本地

6)编写安全策略。此时整个拓扑中的三个区域内互通、区域间不通,所以需要按照实际需求编写安全策略来实现区域间的通信。可选网页或命令行配置!!!

trust-untrust区域的安全策略:

[FW1]security-policy #进入安全策略的配置。

[FW1-policy-security]rule name trust-untrust#定义策略名称为trust-untrust。

[FW1-policy-security-rule-shangwang]source-zone trust #源区域为内网区域。

[FW1-policy-security-rule-shangwang]destination-zone untrust #目的区域为外网区域。

[FW1-policy-security-rule-shangwang]action permit #动作放行。

trust-DMZ区域的安全策略:

[FW1]security-policy #进入安全策略的配置。

[FW1-policy-security]rule name trust-dmz#定义策略名称为trust-dmz。

[FW1-policy-security-rule-fwq]source-zone trust #源区域为内网区域。

[FW1-policy-security-rule-fwq]destination-zone dmz #目的区域为服务器区域。

[FW1-policy-security-rule-fwq]action permit #动作放行。

untrust-DMZ区域的安全策略:

[FW1]security-policy #进入安全策略的配置。

[FW1-policy-security]rule name untrust-dmz#定义策略名称为untrust-dmz。

[FW1-policy-security-rule-fwq]source-zone untrust #源区域为内网区域。

[FW1-policy-security-rule-fwq]destination-zone dmz #目的区域为服务器区域。

service ftp  #FTP请求被放行

service icmp #ICMP请求被放行

[FW1-policy-security-rule-fwq]action permit #动作放行。

防火墙是个安全设备,没有放行的包一律禁止通过。所以无需配置外网访问内网、dmz访问外网的策略。

7)在防火墙、交换机和路由器上配置静态路由实现互通:

[FW1]ip route-static 100.1.1.0 255.255.255.0 10.1.3.2

[FW1]ip route-static 172.16.1.0 255.255.255.0 10.1.1.2

[FW1]ip route-static 192.168.1.0 255.255.255.0 10.1.2.2

[LSW1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1

[LSW2] ip route-static 0.0.0.0 0.0.0.0 10.1.2.1

[AR1]ip route-static 0.0.0.0 0.0.0.0 10.1.3.1

(8)验证。文章来源地址https://www.toymoban.com/news/detail-861669.html

到了这里,关于eNSP防火墙配置实验(trust、DMZ、untrust)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】

    注:所有的通信使用静态路由来保证。 HQ: Partner Branch HQ Partner Branch HQ Partner HQ Branch HQ Branch HQ HQ Partner Branch 注:此为FTP服务器设置 注:客户端Client3成功访问FTP服务器的截图 注:通过抓包抓取FTP的流量(筛选ftp),可以看到有多个ftp的包,点开其中一个流量,可以清晰看到

    2023年04月08日
    浏览(38)
  • 安全防御——二、ENSP防火墙实验学习

    我们使用实验进行讲解: 首先我们自行完成安全防御一,进入到如下界面: 这里我们的ENSP拓扑依旧是简单拓扑: 在这里呢,我们经常会发现时常超时,重连,虽然我们不建议配置永不超时,但是我们在实验界面就没那么多硬性要求: 我们可以通过如下命令配置永不超时:

    2024年02月05日
    浏览(44)
  • eNSP 防火墙配置入门

      目录 1、登录防火墙 2、防火墙的策略 3、防火墙的NAT策略以及服务器端口映射   模拟器防火墙默认用户为:admin 默认密码为:Admin@123 登录成功后需要更改默认密码,包含大小写数字以及特殊字符 防火墙默认它的G0/0/0口为管理口,而在模拟器中若要进入防火墙的web界面,需

    2024年02月05日
    浏览(36)
  • 华为ensp 防火墙的基础配置

    拓扑图: [FW3-zone-isp1]set priority 12 #配置防火墙优先级 步骤一 #首先进入防火墙需要输入默认账号和密码,必须修改密码。 [USG6000V1] undo in en #关闭提示。 #先配置ip。 [USG6000V1]ip route-static 0.0.0.0 0.0.0.0 64.1.1.10 #配置去往外网的默认路由(缺省路由)。 #查看去往百度的路由表。 步

    2023年04月09日
    浏览(64)
  • 网络毕业设计--基于华为ensp防火墙双出口负载拟真实验

     由于之前的实验很多同学提出了问题,确实是我排版不当导致,我重新梳理规划,发给大家。 本次论文实验是园区多出口带宽资源调配和管理,大家可以参考组网结构,在此基础上可以进行各种改良,符合自己的实验需求是最终目的,下面直接上配置,想要定制的+绿泡泡

    2024年02月08日
    浏览(39)
  • eNSP配置防火墙进入Web界面

    目录 配置eNSP中防火墙和云 1.添加防火墙设备 2.启动防火墙,并输入用户名与密码 3.查看端口信息并开启服务 4.修改网卡地址 5.添加云 6.配置相关信息 7.连接  测试 1.Ping测试          2.登录Web 3.登录成功 1.添加防火墙设备 2.启动防火墙,并输入用户名与密码 默认用户名为

    2023年04月08日
    浏览(36)
  • 华为ensp防火墙nat64案例配置

    不得不说csdn中关于nat64的案例配置没有几个详细,要么照抄,要么搬运~ 今天也敲个做了一单nat64的小实验,实话实说这种需求的题平时遇见的也少,今天跟大家详细的分析以下。 场景很简单,黄色区域为v6内网,蓝色区域为v4外网,实现pc1通过nat64技术访问服务器1  不多BB,

    2024年02月16日
    浏览(46)
  • eNSP配置防火墙有两大步骤

      一、把接口加入安全域(trustuntrustdmz) firewall zone trust add intt 端口号 firewall zone untrust add int 端口号 2、做放行策略 进入安全策略:security-policy 策略名:rule name 策略名 源区域:source-zone trust 目的区域:destination-zone untrust 允许:action permit 二、内网主机是私网IP,私网IP不能

    2024年02月04日
    浏览(47)
  • 华为eNSP防火墙USG5500基本配置

    华为eNSP防火墙USG5500基本配置 实验设备 防火墙采用eNSP自带USG5500,不需要导入操作系统;eNSP同时提供防火墙USG6000,它不能打开,提示需要导入防火墙系统。交换机采用的是5700,交换机上创建了3个VLan,Vlan5用来连接防火墙,Vlan10是PC13所在的网络,Vlan20是PC14所在的网络。 实验

    2024年02月05日
    浏览(51)
  • ASA思科防火墙:地址nat转换(pat,静态转换)&& (DMZ)

     全部配置好ip, 接口名称,安全等级,asa防火墙配置一个默认路由向外 route outside 0.0.0.0 0.0.0.0 100.1.1.2 内网pat转换到公网 asa全局模式  nat (inside) 1 192.168.1.0 255.255.255.0 nat + (inside接口名称e0/1)+组号+内网网段 + 子网掩码 global (outside) 1 interface  global +(outside外网名称e0/0)+组

    2024年02月07日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包