ENSP实现防火墙区域策略与用户管理

已于 2024-07-11 14:32:37 修改
阅读量1k 收藏 9
点赞数 12
文章标签: 服务器 运维
于 2024-07-11 14:27:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80177550/article/details/140342852
版权

目录

实验拓扑与要求​编辑

交换机与防火墙接口的配置

交换机:

        创建vlan

        接口配置

防火墙配置及接口配置

防火墙IP地址配置

云配置​编辑​编辑​编辑

在浏览器上使用https协议登陆防火墙,并操作

访问网址:https://192.168.100.1:8443​编辑​编辑

防火墙G1/0/1配置子接口​编辑​编辑

防火墙关于DMZ区域的接口G1/0/0​编辑

防火墙关于游客区的接口G1/0/4​编辑

防火墙关于ISP的接口G1/0/1​编辑

防火墙策略建立

  1.新建区域​编辑

 2.策略建立

   办公区访问DMZ​编辑

生产区访问DMZ​编辑

 游客区只能访问门户网站10.0.3.10​编辑

针对单个IP10.0.2.10的策略​编辑​编辑

创建toISP的策略

办公区访问ISP

 游客区访问ISP

整体效果:生效顺序 ​编辑

NAT策略可以上网的关键 ​编辑

 防火墙用户创建与管理 

                办公区的市场部和研发部用户​编辑

针对市场部和研发部的策略 ​编辑​编辑

游客区用户和组的创建 ​编辑

生产区用户与组的创建 

批量创建生产区车间1的用户(车间2,3同理)​编辑

 生产区的用户策略 ​编辑​编辑

最终整体结构图

​编辑 设置登录​编辑

系统用户创建 

设置身份(不选系统相关权限)​编辑新建用户身份选择刚刚建立的管理员​编辑要先有身份再有登录用户!

实验拓扑与要求

 要求

1.DMZ区域内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问
2.生产区不允许访问互联网,办公区和游客区允许访问互联网
3.办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping10.0.3.10
4.办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地址为10.0.3.10
5.生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123;首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6.创建一个自定义管理员,要求不能拥有系统管理功能

交换机与防火墙接口的配置

LSW7交换机配置vlan,其中生产区在vlan2,办公区在vlan3.防火墙在G1/0/3上配置子接口分别实现管理,命令如下。

交换机:

        创建vlan
[LSW5]vlan batch  2 to 3
        接口配置
[LSW5]int g 0/0/2
[LSW5-GigabitEthernet0/0/2]port link-type access        # 定义接口类型
[LSW5-GigabitEthernet0/0/2]port default  vlan 2           # 定义所属valn

[LSW5]int g 0/0/3
[LSW5-GigabitEthernet0/0/3]port link-type access 
[LSW5-GigabitEthernet0/0/3]port default vlan 3
 
[LSW5]int g 0/0/1  
[LSW5-GigabitEthernet0/0/1]port link-type trunk 
[LSW5-GigabitEthernet0/0/1]port trunk allow-pass vlan  2 3     # 放通vlan 2 3 内的流量

[LSW5-GigabitEthernet0/0/1]undo  port trunk allow-pass vlan  1  # 出于对网络安全的考虑,拒绝vlan1内的流量通过

防火墙配置及接口配置

防火墙IP地址配置

Username:admin
Password:        # 默认密码为Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:     
Please enter new password:        # 修改新密码为Mysql@123
Please confirm new password: 

 Info: Your password has been changed. Save the change to survive a reboot. 
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************
<USG6000V1>sys

[USG6000V1]int g 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.1 24   # 修改IP地址

[USG6000V1-GigabitEthernet0/0/0] service-manage all permit    # 开启服务

云配置

在浏览器上使用https协议登陆防火墙,并操作
访问网址:https://192.168.100.1:8443

防火墙G1/0/1配置子接口

防火墙关于DMZ区域的接口G1/0/0

防火墙关于游客区的接口G1/0/4

防火墙关于ISP的接口G1/0/1

防火墙策略建立

  1.新建区域

 2.策略建立

   办公区访问DMZ
生产区访问DMZ
 游客区只能访问门户网站10.0.3.10
针对单个IP10.0.2.10的策略

创建toISP的策略

办公区访问ISP

 游客区访问ISP

整体效果:生效顺序 

NAT策略可以上网的关键 

 防火墙用户创建与管理 

         办公区用户与组的创建

                办公区的市场部和研发部用户

针对市场部和研发部的策略 

游客区用户和组的创建 

生产区用户与组的创建 

批量创建生产区车间1的用户(车间2,3同理)

 生产区的用户策略 

最终整体结构图

 设置登录

系统用户创建 

设置身份(不选系统相关权限)新建用户身份选择刚刚建立的管理员要先有身份再有登录用户!

以上实验密码统一为Mysql@123,实验完成

Despairsss
关注
  • 12
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙命令行放行
vx XIxi_AL
12-08 2907
三种区域: DMZ区域是非军事化区域,外网流量要先访问DMZ区域,DMZ从而进行更好的阻拦 trust区域是内部区域,俗称内网 untrust区域是外部区域,俗称外网 内网需要做安全策略才能访问外网,外网是不能访问内网的 准备工作: 所有设备修改名称 配置IP地址 防火墙默认阻挡所有流量通过 配置IP地址: LSW1配置: vlan 10 int vlan 10 undo shutdown port-group group-member eth0/0/1 eth0/0/2 port ...
防火墙ensp USG6000v)---安全策略 + 用户认证综合实验
最新发布
m0_73994306的博客
07-11 499
搞定!
安全防御——二、ENSP防火墙实验学习
dzqxwzoe的博客
06-13 1013
防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙
ensp配置浏览器访问USG6000V1防火墙
ManagerUser的博客
06-16 577
本文记录通过浏览器访问ensp防火墙USG6000V1后台页面
ensp上配置安全策略
XL5L7的博客
03-28 9553
前言 我是在win10的虚拟机上操作的,利用ensp工具简易搭了一个网络环境 操作之前要将IP地址配置到各设备上(每台设备边上的IP就是该设备的IP,如192.168.5.2/24是pc1的IP地址) 配置思路: 配置pc机的IP 配置防火墙 设置防火墙密码 1.配置防火墙接口地址 2.通过安全区域区分受信任网络和不受信任网络 配置安全区域,把接口分配到相应的安全区域 g1/0/0 --trust g1/0/1 --untrust 查看配置结果 注意:如果要删除某个安全区域的接口,应
ensp防火墙控制案例(防火墙控制无线,内网,dmz,外网,cloud云)
wudongfang666的专栏
04-24 1982
验证,如果让内网可以访问局域网,可以增加trust to guest 的策略,测试结果如下,第一、需要在trust区域内的交换机增加路由表到192.168.1.0网络的表项,第二、防火墙配置增加通过规则。出错点:私有ip分配的范围,开始用公网ip了,怎么也ping不同,后来改成私网ip就正常了,ap收敛时间比较长,多等待一些。#启动自动获取ip,在vlan192和vlan102里面分别设置,即ap自动获取ip,无线链接自动获取ip。#各个vlan的ip地址 ,无线链接的设备自动获取ip,对应上面地址池。
基于eNSP中小型企业网的搭建
07-06
3.部门主机采用DHCP自动获取地址,减少管理员手动分配的任务量,方便管理与维护。 4.运行OSPF协议,提高收敛速度。而且OSPF可以适应拓扑变化,路由自动学习,防止路由环路,提高拓扑稳定性。 5.接入层和汇聚层交换机...
网络通信安全:防火墙规则配置与优化.pdf
06-23
防火墙规则配置与优化 一、 实验目的 理解等级保护中对访问控制的要求,学习如何配置防火墙访问控制规则,并优化访问控制 规则。 二、 实验软硬件要求 华为ensp 仿真模拟软件。 三、 等级保护2.0 相关要求 应在网络...
eNSP校园网(企业网)详细拓扑完整设计及相关配置文件资源包
05-28
8.防火墙配置服务器dmz区与内网的trust区域 9.出口路由器配置nat地址转换,并且公网包含两条主副出口 10.出口路由器配置ACL策略 (有意向了解的+Q 1320210031 获取拓扑设计图片,后自行思考是否购买资源。相关毕设...
基于eNSP搭建的企业网络拓扑配置课程设计
10-08
1.与总部实现网络互通。 2.两个小组内部文件的存取需放在FTP服务器中。 3. 无线终端 采用2.4GHZ的射频信号。 4.由于预算有限需要在不更换设备的情况下提升带宽。 5.内部四台交换机为三层交换机,运行动态路由协议。 ...
ensp配置命令大全20条
11-10
我们将深入探讨ENSP(Enterprise Network Simulation Platform,企业网络模拟平台)中的关键配置命令,这些命令涵盖了网络管理的多个方面,如接口管理、安全策略、路由配置、NAT转换、VLAN划分、HSRP高可用性、STP...
华为防火墙典型配置案例
09-12
华为防火墙典型配置案例,可以通过具体的举例,更顺利的配置和管理防火墙
ENSP防火墙基本策略(web、ssh登录)
m0_63775189的博客
08-09 6278
在USG6000系列防火墙上默认是没有安全策略的,所有流量都是禁止的,也就是说,不管是什么区域之间项目访问,都必须要配置安全策略,除非是同一区域内的报文传递
[eNSP]华为防火墙基础——Local、DMZ、Trust、Untrust互联
m0_64218141的博客
03-07 2995
理解并学会配置防火墙的local、trust、untrust、dmz四种区域的连通。
使用eNSP配置防火墙USG6000v双机热备(VGMP+HRP+OSPF+NAT)
有谁需要地图吗?
02-28 8849
前言 本实验使用华为模拟器eNSP中USG6000v完成实验。USG6000v是虚拟防火墙。 实验拓扑 配置过程 一、导入设备包 由于USG6000v模拟器需要导入设备包才能使用,所以需要在华为企业专网下载USG6000v的设备包才能使用,根据自己eNSP的版本下载对应版本的设备包,推荐使用eNSP500或eNSP510。比如我的eNSP版本是510,那么需要进入该链接:eNSP各版本下载链接进行设备包的下载。 下载设备包需要一个华为账户...
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略
JohnnyG2000的博客
05-18 1万+
防火墙综合实验一、实验要求1. 总部需要通过VPN与分支和合作伙伴进行通信2. 分支机构(Branch)员工使用NGFW接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。3. 合作伙伴(Partner)使用NGFW接入总部。要求实训合作伙伴通过GRE隧道与总部进行通信。4. 所有的客户端可以通过公网IP地址来访问WEB服务器二、实验拓补三、实验配置1. 防火墙安全区域划分(包括Tunnel接口)2. 静态路由3. GRE配置4. IPSec VPN配置5. Easy-ip配置6. NAT S
ensp实战之防火墙安全转发策略
weixin_34123613的博客
01-10 2647
本次实验用防火墙是USG6000V,拓扑图如下:   步骤一:       按上面配好PC1、2、3以及WWW服务器的IP地址、子网掩码以及网关; 步骤二:       进入防火墙的CLI命令模式下,按一下命令配置: 配置各个接口的IP 地址,并加入相应的安全区域。       &lt;USG6000V1&gt;system-view [USG6000V1]int g 1/0/0 ...
eNSP华为模拟器使用——(10)eNSP模拟防火墙
热门推荐
Asia-Lee
03-12 4万+
eNSP模拟防火墙 1、搭建防火墙安全拓扑 (防火墙简介:display version 显示防火墙版本信息;dis current-configuration 查看防火墙当前配置; 防火墙三个区:trust ,untrust, dmz;) 2、设置防火墙安全区域(firewall zone trust; set priority 85; firewall zone untrust...
ensp配置防火墙安全策略
03-26
ensp是华为公司推出的一款网络模拟器,用于模拟和测试网络设备的功能和性能。在ensp中配置防火墙安全策略可以帮助保护网络的安全,防止未经授权的访问和攻击。 在ensp中配置防火墙安全策略的步骤如下: 1. 登录ensp,并选择需要配置防火墙的设备。 2. 进入设备的配置界面,找到防火墙相关的配置选项。 3. 配置访问控制列表(ACL),ACL用于定义允许或禁止通过防火墙的流量。可以根据源IP地址、目标IP地址、协议类型、端口等条件进行过滤。 4. 配置安全区域,安全区域用于将网络划分为不同的安全级别,可以根据安全级别设置不同的访问控制策略。 5. 配置NAT(网络地址转换),NAT用于将私有IP地址转换为公共IP地址,以实现内部网络与外部网络的通信。 6.*** 配置其他安全功能,如入侵检测与防御、DDoS防护、反病毒等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值