2. 程式人生 > >5-華為防火墻:二層和三層接入的安全策略配置差異

5-華為防火墻:二層和三層接入的安全策略配置差異

阿新 發佈:2018-07-08
分享 fire static com color vlan rust 技術 -a

一、實驗拓撲:
技術分享圖片

二、實驗要求:
1、內網:連接R2接口G0/0/2是三層接口,其它接口都是二層接口;R1、R2、R3部署默認路由到USG;
2、USG上創建VLAN 10、202,並將G0/0/0劃分到VLAN 202,G0/0/1劃分到VLAN 10;
3、部署Policy 0:允許Trust到Untrust的ICMP流量出去;部署Policy 1:允許DMZ到Untrust Outbound的ICMP流量出去;
4、R3 Ping R1;R2 Ping R1是否可通?
三、命令部署:
1、路由器接口地址、默認路由略
[R1]ip route-static 0.0.0.0 0.0.0.0 202.100.1.10
[R2]ip route-static 0.0.0.0 0.0.0.0 192.168.1.10

[R3]ip route-static 0.0.0.0 0.0.0.0 10.1.1.10
2、USG配置:
(1)接口配置:
[SRG]int g0/0/0
[SRG-GigabitEthernet0/0/0]portswitch
[SRG-GigabitEthernet0/0/0]port access vlan 202

[SRG]int g0/0/1
[SRG-GigabitEthernet0/0/1]portswitch
[SRG-GigabitEthernet0/0/1]port access vlan 10

[SRG]int g0/0/2
[SRG-GigabitEthernet0/0/2]ip add 192.168.1.10 24
查看:
[SRG-GigabitEthernet0/0/0]display this //默認輸完portswitch,就是access口

portswitch
port link-type access
[SRG]display ip int bri //已經沒有G0/0/0、G0/0/1接口顯示了

創建VLAN:
[SRG]vlan 10
[SRG-vlan-10]vlan 202
配置VLAN地址:
[SRG]int vlanif 202
[SRG-Vlanif202]ip add 202.100.1.10 24
[SRG]int Vlanif 10
[SRG-Vlanif10]ip add 10.1.1.10 24
查看:
[SRG]display ip interface brief //增加了VLAN 地址

把原來的接口解出來:
[SRG]firewall zone untrust
[SRG-zone-untrust]undo add int g0/0/0

[SRG]firewall zone dmz
[SRG-zone-dmz]undo add int g0/0/1
劃分VLAN到不通區域:
[SRG]firewall zone untrust
[SRG-zone-untrust]add int g0/0/0
[SRG]firewall zone dmz
[SRG-zone-dmz]add int Vlanif 10
測試:
[SRG]ping 202.100.1.1 //可通
[SRG]ping 10.1.1.3 //可通
(2)部署Policy 1:允許DMZ到Untrust Outbound的ICMP流量出去
[SRG]ip service-set aaa type object
[SRG-object-service-set-aaa]service protocol icmp

[SRG]policy interzone dmz untrust outbound
[SRG-policy-interzone-dmz-untrust-outbound]policy 1
[SRG-policy-interzone-dmz-untrust-outbound-1]policy source 10.1.1.0 mask 24
[SRG-policy-interzone-dmz-untrust-outbound-1]policy destination 202.100.1.0 mask 24
[SRG-policy-interzone-dmz-untrust-outbound-1]policy service service-set aaa
[SRG-policy-interzone-dmz-untrust-outbound-1]action permit
(3)部署Policy 0:允許Trust到Untrust的ICMP流量出去
[SRG]policy interzone trust untrust outbound
[SRG-policy-interzone-trust-untrust-outbound]policy 0
[SRG-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.0 mask 24
[SRG-policy-interzone-trust-untrust-outbound-0]policy destination 202.100.1.0 mask 24
[SRG-policy-interzone-trust-untrust-outbound-0]policy service service-set aaa
[SRG-policy-interzone-trust-untrust-outbound-0]action permit
測試:
[R2]ping 202.100.1.1
Reply from 202.100.1.1: bytes=56 Sequence=1 ttl=254 time=50 ms
Reply from 202.100.1.1: bytes=56 Sequence=2 ttl=254 time=50 ms
Reply from 202.100.1.1: bytes=56 Sequence=3 ttl=254 time=50 ms
Reply from 202.100.1.1: bytes=56 Sequence=4 ttl=254 time=50 ms
Reply from 202.100.1.1: bytes=56 Sequence=5 ttl=254 time=40 ms
實現效果受影響。

5-華為防火墻:二層和三層接入的安全策略配置差異

相關推薦

5-防火接入安全策略配置差異

分享 fire static com color vlan rust 技術 -a 一、實驗拓撲: 二、實驗要求:1、內網:連接R2接口G0/0/2是三層接口,其它接口都是二層接口;R1、R2、R3部署默認路由到USG;2、USG上創建VLAN 10、202,並將G0/0/0

3-防火公共地址集、安全策略匹配順序

-m -o cef water splay 優先 實驗 inter sort 一、實驗拓撲:二、實驗要求: 三、命令部署:1、手工調整策略之間的優先級:[SRG-policy-interzone-trust-untrust-outbound]policy 0[SRG-pol

6-防火配置基於源IP地址的NAT

外部 icm sha authent images 分享 -o 實驗 isp 一、實驗一:配置No-Pat1、基本配置略:2、R1開啟Telnet功能:[R1]user-interface vty 0 4[R1-ui-vty0-4]authentication-mode p

防火學習筆記

img -c 基本 mic san images 學習 優先 過濾規則 FW防火墻:華為 內部區域的配置:防火墻的基本配置:所有的接口都屬於local默認區域過濾規則:配置trust區域訪問dmz區域firewall packet-filter default permi

防火中的VGMP/VRRP/HRP

hcie 防火墻 vgmp vrrp hrp 心跳線 Vgmp VRRP Group Management Protocol由於雙機熱備導致設備出問題時可能會來回路徑不一致,因為主備切換了配置VGMP保證一個組內的VRRP全為master,如果有一個不是,則全部切換至slave HRP

防火基本理論

防火墻 安全 hcie 華為 基本理論 security 分類:包過濾防火墻---基於數據包的代理防火墻狀態檢測防火墻:由內部向外部的訪問生成狀態會話表項(源目端口,源目IP,協議號 五元組),當外部訪問內部時默認是拒絕的,但是如果存在狀態表項的話可以放行,對於外部主動訪問內部的時候是

防火中所有NAT技術解析

華為 防火墻 usg6000 nat napt nat-server nat分類根據源地址分類根據目的地址Inbound/outbound靜態動態分類轉換內容是否轉換端口特點源NAT地址池方式源IP地址可選采用地址池中的公網地址為私網用戶進行地址轉換,適用於大量私網用戶訪問Intern

防火處理ICMP報文原理

華為防火墻;icmp會話表實驗拓撲在防火墻上添加策略,使trust區域能訪問untrust區域,使用PC ping 外部server,並同時抓包在防火墻上查看會話信息在防火墻上抓取g0/0/1接口數據包打開icmp數據包,可以看到identifier標示,使用計算器轉換為10進制得到53607查看防火墻會話表

防火鏈路狀態檢測功能實驗

華為防火墻狀態檢測場景:client訪問webserver時,前往webserver的流量走路由器直接到達webserver,返回的流量先到達路由器,然後通過策略路由,將webserver回應給客戶端的流量重定向給防火墻,然後從防火墻再到路由器,最後到達client。同時配置防火墻到達client的路由信息。

防火基礎配置

term oss water gfw 產生 icmp 技術 tor inb 拓撲圖如下:小實驗一:trust區域設備可以訪問dmz區域設備,而dmz區域設備不能訪問trust區域設備首先,第一步,將端口加入對應的區域接下來,將對應的IP加入對應的端口R1:FW:測試下是否正

防火學習筆記 一

分享圖片 直接 會話 華為防火墻 image 安全 基礎 數據 proc FW防火墻:華為1.實戰環境的搭建:2.防火墻的基礎:先檢測數據包,通過後會生成一個狀態檢測表,數據再次通過時,有會話表,則不檢測,直接放行通過!1.不能具有完全級別相同的安全區域2.防火墻允許同一物

防火學習筆記

perm microsoft 訪問 inb zone wal lte cto padding FW 防火墻 外部管理的配置:1.配置untrust區訪問local 區 域【便於telnet遠程管理】【fw1】firewall pasket-filter default pe

遠程登錄防火以及用戶權限的修改

根據 spa 影響 all pro ron 1.5 term int 拓撲如下:實驗目的:讓R1可以遠程登錄防火墻並進行一系列操作實驗步驟:一、建立一個普通用戶"user-int vty 0 4"的意思是允許五個用戶登錄(分別是0,1,2,3,4);再之

防火過濾策略

ace mar cto ftp服務 原理 cli 互相ping通 image stat 華為的防火墻過濾策略分為域內過濾以及域間過濾(拓撲都是一個) 所謂域內過濾,即同一個域內的過濾策略,比如trust區域內部的過濾策略即為域內過濾 我們先來說一說域內過濾(tr

防火BGP路由

ges size images vpd 華為 src ESS 技術 cto 華為防火墻BGP路由

防火 telnet

防火墻 fir mit 指定權限 net pro security -a -m [firewalld]int g0/0/0[firewalld-GigabitEthernet0/0/0]ip address 192.168.1.10 255.255.255.0[firew

基於防火雙機熱備

引入 ren 動態 play 搶占模式 ces 其它 更新 動態關聯 理論部分 一:雙機熱備的工作原理1:雙機熱備概述傳統組網中,只有一臺防火墻部署在出口,當防火墻出現故障後,內部網絡中所有以防火墻作為默認網關的主機與外部網絡之間的通訊中斷,通訊可靠性無法保證。 雙機熱備份

防火綜合實驗

fc7 tex 訪問 src 6.0 per 地址 步驟 ftp 華為防火墻綜合實驗 設計需求: 1:局域網需求(1)vlan的設計vlan10,教務部,網絡地址為172.16.10.0/24vlan20,後勤部,網絡地址為172.16.20.0/24vlan15,財務部

防火更改SSH端口

term 公網 兩個 manage 防火 思考 mark mage src 分公司新上一臺華為防火墻,為了方便管理,在公網接口開啟了SSH,默認的端口是TCP的22端口。配置完成,可以正常訪問了,可接下來問題來了,使用WEB端登錄或者SSH老彈出密碼驗證失敗,搞得我都開始懷

轉發

二層轉發的機制是什麼?學習執行緒和報文轉發執行緒。二層只跟MAC地址有關 與IP無關 所以在二層做IP-MAC繫結是無效的。 三層乙太網交換機的轉發機制主要分為兩個部分: 二層轉發和三層交換。      先講二層轉發流程。      1、 MAC地址介紹   MAC地址是