【网络设备】H3C FW V7:Trust域到Trust域之间访问受限

最新推荐文章于 2023-08-17 08:44:18 发布
最新推荐文章于 2023-08-17 08:44:18 发布
阅读量1.7k 收藏
点赞数
分类专栏: 网络 文章标签: 网络 h3c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fanqie_tomato/article/details/122251430
版权

问题情况:

Trust域内无法访问,但其他安全域可以正常访问Trust域内的接口。

修改前的配置:

security-zone name Trust
import interface Vlan-interfaceYY
import interface Vlan-interfaceXY

security-zone name Untrust
import interface GigabitEthernet1/0/XX1
import interface GigabitEthernet1/0/XX2

zone-pair security source Local destination Trust
packet-filter 3000
zone-pair security source Trust destination Local
packet-filter 3000
zone-pair security source Trust destination Untrust
packet-filter 3000
zone-pair security source Untrust destination Trust
packet-filter 3000

解决方法

  1. 先尝试允许同一安全域内接口之间的访问:

     security-zone intra-zone default permit

    一般来说,允许动作之后,Trust域到Trust域之间就可以正常访问了。

  2. 如果还是无法正常访问:
    在Trust安全域内,把所有接口都加进去。

     security-zone name XXX
 import  interface G1/0/1 vlanYY
 import  interface G1/0/2 vlanYY
 ……
Fanqie_tomato
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
H3C安全《SecBlade FW插卡培训》培训视频.rar
08-01
1 SecBlade FW产品概述mp4 2 SecBlade FW功能简介mp4 3 SecBlade Fw基本配置和维护mp4 4 SecBlade FW典型应用mp4
路由器基础(十):防火墙配置
最新发布
limengshi138392的博客
11-03 886
路由器基础(十):防火墙配置
网络设备】H3C FW V7:安全间策略
Fanqie_tomato的博客
12-31 4528
1 几个概念 安全 逻辑概念,用于管理安全防护设备上安全需求相同的多个接口。 默认安全 首次创建安全间策略时,系统默认创建Local、Trust、DMZ、Management、Untrust、WAN和LAN。 默认安全不能被删除 间策略 基于安全,实现对报文流的检查。根据检查结果,对报文执行相应安全控制动作。 安全间实例 指定间策略 需要检测业务流的 源安全和目的安全
华为防火墙之安全策略
知识分享,学习记录,技术人生,,经验心得交流,IT晋升之路,一起成长,一起进步。
06-14 1761
安全策略在防火墙转发报文的过程中扮演着重要角色,只有安全策略允许通过,报文才能在安全区之间流动,否则报文将被丢弃。先来看一个简单的网络环境,如下图:如果想在防火墙上允许PC访问Web服务器,用文字的形式来描述这个需求就是:允许Trust安全区到Untrust安全区的、源地址是192.168.0.1、目的地址是172.16.0.1、目的端口是80(HTTP协议)的报文通过。
H3C 关于安全的一个理解
answan的博客
02-25 771
H3C 关于安全的一个理解
由于未正确配置nat server导致Trust用户不能访问DMZ服务器
月球挖掘机
08-17 266
在DMZ区配置nat server时,如果需要Trust的用户用私网地址访问FTP服务器,必须配置zone关键字。
防火墙实验——trust访问untrust
qq_47175413的博客
07-23 2601
通过云设备进入防火墙的图形化配置界面,首先配置云设备,添加一个UDP端口和一个虚拟网卡,虚拟网卡尽量使用虚拟机网卡。修改管理接口IP,防火墙的管理接口为 g0/0/0 接口,默认IP为192.168.0.1/24,将其修改为和云设备加载的虚拟网卡相同网段的IP,并开启接口服务。配置防火墙策略,放通 trust 到 untrust的流量,因为防火墙默认禁止所有区之间的通讯。trust能够成功访问 untrust,但 untrust无法访问 trust,实现了对流量的控制。
防火墙实验(实现trust、untrust、DMZ区互通)
weixin_64311421的博客
03-17 4578
通了之后在浏览器上输入192.168.81.2,输入用户密码。先给交换机LSW1接口配置划分VLAN2和VLAN3。分别在server1 和server3上测试是否成功。用LSW1上ping 防火墙10.1.255.2。在PC1上ping 10.1.255.2。在交换机上配置vlan10 vlan11。修改g1/0/2和g1/0/3连接类型。在FW1上配置一个静态路由。到这里区内部都互通了。在LSW1上写个缺省路由。再在物理主机上ping。在server2上配置。先配置GE0/0/0。
【安全防御之防火墙基础】
Fanyunin的博客
03-16 1183
防火墙主要一个网络免受另一个网络的攻击和入侵行为。防火墙灵活应用于网络边界、子网隔离等位置。例如:企业网络出口、大型网络内部子网隔离、数据中心边界。
防火墙综合配置
m0_51186260的博客
06-06 1223
一.拓扑图 要求pc1能够访问到DNS服务器,能够访问到内网服务器 ,实现地址转换,内网访问到外网 二.配置 [L1]dis cu version 7.1.075, Alpha 7571 sysname L1 lldp global enable vlan 1 Vlan 2 vlan 10 vlan 20 vlan 30 stp global enable interface NULL0 interface Vlan-interface2 ip address 10.10.10.10
H3C防火墙-安全配置举例
MAsunshine的博客
10-19 9325
1. 组网需求 某公司以 Device 作为网络边界安全防护设备,连接公司内部网络和 Internet。公司只对内部提供Web 服务,不对外提供这些服务。现需要在设备上部署安全,并基于以下安全需求进行间策略 的配置。 • 与接口 GigabitEthernet1/0/1 相连的公司内部网络属于可信任网络,部署在 Trust 安全,可以自由访问 Web 服务器和外部网络。 • 与接口 GigabitEthernet1/0/3 相连的外部网络属于不可信任网络,部署在 Untrust 安全,不能访问公司内
H3C安全《SecBlade FW插卡培训》培训.rar
09-30
目录: 1 SecBlade FW产品概述 2 SecBlade FW功能简介 3 SecBlade FW基本配置和维护 4 SecBlade FW典型应用
H3C 安全产品典型配置案例汇总集.rar
09-21
H3C NGFW设备配合iMC实现基于用户策略典型配置举例 H3C NGFW设备支持IPsec VRF Aware特性配置举例 H3C SSL VPN VPE方案典型配置案例 H3C SecBlade 防火墙主备二层跨VLAN转发典型配置案例 H3C SecPath F5000...
H3C 交换机产品开局指导书汇总集.rar
08-01
02H3CS9500E系列路由交换机IRF与 FW ACG IPS插卡开局指导,pdf 03H3CS10500V7系列交换机产品开局指导书,pdf 04H3CS7500EV7系列交换机产品开局指导书pdf 05H3CS9500E及512500系列交换机RF模式下多插卡开局指导pdf 07H3...
H3C 防火墙插卡配置指导书汇总集【ADE NetStream FW Enhanced】【Comware V7平台】.rar
03-18
目录: H3C SecBlade III ADE插卡 H3C SecBlade III NetStream 插卡 H3C SecBlade III FW Enhanced防火墙插卡
H3C的防火墙一配置举例
weixin_33940102的博客
09-13 1413
H3C的防火墙必须把接口加到里面去 # 配置接口Ethernet 0/0/0 加入防火墙Trust 。 [H3C] firewall zone trust [H3C-zone-trust] add interface Ethernet 0/0/0 H3C 防火墙的(zone) 区(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于路由器的主要特征...
ensp中使用防火墙 将turst区和unturst区通信
m0_70734745的博客
07-23 676
观看防火墙的安全策略可知我们的第一条策略为pc1 ping pc2 全部成功 我们的第二条策略为pc2 ping pc1 全部失败。因为我们只配置了pc1 到 pc2 的安全策略并放行 所以我们只能从pc1ping通pc2而不能从pc2ping通pc1。(2)我们开启防火墙的hhpt服务并设置g0/0/0的ip地址为我们cloud的虚拟网卡的同网段IP地址。(1)首先我们进入g/0/0/0使用账号:admin密码:Admin@123登入防火墙修改密码。(3)web登录防火墙。
防火墙中的DMZ区Trust,Untrust
热门推荐
冷鞘-的博客
07-01 4万+
** 区的作用: ** 1.安全策略都基于区实施 2.在同一区内部发生的数据流动是不存在风险的,不需要实施任何安全策略。 只有当不同安全区之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。 3.一个接口只能属于一个区,而一个区可以有多个接口。 ** DMZ区, ** 1.两个防火墙之间的空间被称为DMZ。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。 2.服务器 内 外网都可以访问,但还是与内网隔离. 就算是黑客把DMZ服务器拿下,也不能使用服务
华为防火墙-安全区与安全策略基础
AZK707的博客
03-30 3586
一、实验过程 1.使用eNSP拓扑图搭建以下拓扑图,并按如下要求规划IP地址 2.主机IP地址配置(IP地址、子网掩码和网关) 3.防火墙接口配置 配置IP地址 将接口加入到安全区 查看安全区 4.测试网络的连通性 PC1上ping PC2 PC1上ping PC3 Note:默认情况下,报文在不同的安全区之间流动时受到控制,报文在同一个安全区内流动时不受控制。 PC1 ping PC2通 PC1 ping PC3不通 PC2 ping PC3不通 ..
防火墙配置ospf放通流量 H3C
08-27
根据提供的引用内容,防火墙配置ospf放通流量的步骤如下: 1. 首先,需要放行防火墙出去的流量,使其他设备可以和防火墙进行ospf报文交换。具体的配置命令如下: [FW-security-policy-ip-3-ospfoutlocal] source-zone local [FW-security-policy-ip-3-ospfoutlocal] destination-zone untrust [FW-security-policy-ip-3-ospfoutlocal] destination-zone trust [FW-security-policy-ip-3-ospfoutlocal] service ospf [FW-security-policy-ip-3-ospfoutlocal] action pass 这样配置之后,防火墙就能够将流量从本地区发送到其他区,实现ospf报文交换。 2. 其次,需要放行外部区进入防火墙的流量,使其他设备可以和防火墙进行ospf报文交换。具体的配置命令如下: [FW-security-policy-ip-0-ospfinlocal] source-zone trust [FW-security-policy-ip-0-ospfinlocal] source-zone untrust [FW-security-policy-ip-0-ospfinlocal] destination-zone local [FW-security-policy-ip-0-ospfinlocal] service ospf [FW-security-policy-ip-0-ospfinlocal] action pass 这样配置之后,防火墙就能够接收来自信任区和非信任区的流量,实现ospf报文交换。 综上所述,通过上述配置步骤,防火墙就能够放通ospf流量,使其他设备可以和防火墙进行ospf报文交换。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [H3C防火墙及IPsec综合实验](https://blog.csdn.net/qq_45049184/article/details/129413712)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值