华为防火墙基本配置

已于 2024-03-21 20:08:59 修改
阅读量1.9k 收藏 10
点赞数 5
文章标签: 服务器 运维
于 2024-03-21 20:02:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gahood/article/details/136915553
版权

首先了解Trust是基本连接内网,Untrust连接外网,DMZ连接服务器

首先配置各终端IP地址

 

R1路由器配置IP地址 

<Huawei>sys
[Huawei]sys R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 100.1.1.2 24

 

防火墙配置:华为默认用户名:admin  密码:Admin@123 

输入密码后它会问你是否现在重置密码,选是否则无法配置。(密码需要大小写和字符)

[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 192.168.1.254 24
[USG6000V1-GigabitEthernet1/0/1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.2.254 24
[USG6000V1-GigabitEthernet1/0/0]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip add 100.1.1.1 24

把安全域加入到对应的接口中

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add int g1/0/1
[USG6000V1-zone-trust]q
[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add int g1/0/2
[USG6000V1-zone-untrust]q
[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add int g1/0/0
[USG6000V1-zone-dmz]q
[USG6000V1]security-policy                     //进入安全策略
[USG6000V1-policy-security]rule name t-to-u    //给策略命名
[USG6000V1-policy-security-rule-t-to-u]source-zone trust   //源trust
[USG6000V1-policy-security-rule-t-to-u]destination-zone untrust  //目的untrust
[USG6000V1-policy-security-rule-t-to-u]source-address 192.168.1.0 24  //源地址(可写可不写)
[USG6000V1-policy-security-rule-t-to-u]destination-address any        //可以访问多个地址(可写可不写)
[USG6000V1-policy-security-rule-t-to-u]action permit                 //采取什么动作,只有两个一个deny 一个permit

 此时PC是无法访问到外网的,因为防火墙需要nat,没有回程路由。

配置nat两个步骤:nat地址池——nat策略 

[USG6000V1]nat address-group groupaddress       //地址池名:groupaddress 
[USG6000V1-address-group-groupaddress]mode pat   //nat的模式:pat
[USG6000V1-address-group-groupaddress]section 0 100.1.1.10 100.1.1.20 //Section :公网地址,0:表示ID   配置地址池10-20区间
[USG6000V1-address-group-groupaddress]q
[USG6000V1]nat-policy   //进入nat策略
[USG6000V1-policy-nat]rule name policy1   //策略名:policy1
[USG6000V1-policy-nat-rule-policy1]source-zone trust 
[USG6000V1-policy-nat-rule-policy1]destination-zone untrust 
[USG6000V1-policy-nat-rule-policy1]source-address 192.168.1.0 24
[USG6000V1-policy-nat-rule-policy1]destination-address any
[USG6000V1-policy-nat-rule-policy1]action source-nat address-group groupaddress  //源地址的nat对groupaddress进行转换

此时PCping服务器是无法通信的,默认的策略是deny or any,要在防火墙上放行trust—dmz流量 

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name t-to-d
[USG6000V1-policy-security-rule-t-to-d]source-zone trust
[USG6000V1-policy-security-rule-t-to-d]destination-zone dmz
[USG6000V1-policy-security-rule-t-to-d]destination-address any  //可写可不写
[USG6000V1-policy-security-rule-t-to-d]action permit

如何把服务器地址放在公网上访问 :映射

开启服务器80端口

[USG6000V1]nat server protocol tcp global 100.1.1.100 80 inside 192.168.2.100 ww
w   //www可写端口80 二选一

此时外网无法访问服务器:因为没有放行,需要放行。

[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name u-to-dmz
[USG6000V1-policy-security-rule-u-to-dmz]source-zone untrust 
[USG6000V1-policy-security-rule-u-to-dmz]destination-address 192.168.2.100 32
[USG6000V1-policy-security-rule-u-to-dmz]action permit

在外网路由器上访问100.1.1.100 80信息;服务器已有日志信息。 

不爱吃酸菜的酸菜鱼
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
防火墙配置与应用
sybh的博客
12-03 1529
打开本机浏览器,在地址栏输入:https://192.168.1.200,忽略浏览器的证书安全提示,则出现如图9-13所示登录界面,输入管理员用户名和密码,则进入防火墙主界面,如图9-14所示。例如:配置静态地址转换,选择网络管理>NAT>NAT规则>静态地址转换,点击新建,输入外网地址:211.69.232.1,内网地址:172.16.11.2,如图9-20所示。① 源地址转换:是在离开接口时进行转换的,是一种单向的针对源地址的映射,主要用于内网访问外网,减少公有地址的数目,隐藏内部地址
华为防火墙基础
weixin_45123715的博客
08-02 2675
判断一个网络的安全性: 1.数据机密性 2.数据完整性 3.高可用性 防火墙主要用于保护一个网络区域免受另一个网络区域的网络攻击和网络入侵行为,同时允许两个网络之间进行合法的通信 防火墙与交换机、路由器对比: 交换机:汇聚组建局域网,二、三层快速转发报文 路由器:寻址和转发,保证网络互联互通 防火墙:控制报文转发,防攻击病毒木马 路由器与交换机的本质是转发,防火墙是控制 防火墙和路由器实现安全控制的区别: 防火墙分类: 1.按照形态分为:硬件防火墙、软件防火墙 2.按照保护对象分为:单机防火墙、网络防火墙
采用web界面方式,登录ensp华为usg6000防火墙
cs_zhuzige的博客
05-04 1万+
使用web界面,登录ensp中的防火墙
华为防火墙综合案例(IPSec、SSL、NAT、ACL、安全防护)
最新发布
baimao__Ch的博客
05-21 596
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
华为---登录USG6000V防火墙---console、web、telnet、ssh方式登录
lehe99的专栏
12-22 1万+
USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0 //将GigabitEthernet 1/0/0端口添加到信任区域。[USG6000V1-aaa-manager-user-sshuser]service-type ssh web terminal //服务类型为ssh、web、terminal。[USG6000V1-GigabitEthernet0/0/0]service-manage ping permit //启用ping。
配置华为防火墙默认的安全策略放行
杨奇的博客
06-24 6245
Web配置默认的安全策略放行: 命令行配置默认的安全策略放行: [FW1]security-policy [FW1-policy-security]default action permit Warning:Setting the default packet filtering to permit poses security risks. You are advised to configure the security policy based on the actual data fl
华为防火墙默认密码是什么?
萌兔兔MMQ!!
05-08 9009
华为默认密码是什么? 分享至: 【小王邀请您加入牛B的IT关键业务推动者社区】 点击领取12G的软考/PMP资料包+特训营名额 >>售前工程师系列【教你写解决方案】 >> ld11235813 荣誉会员 Rank: 12Rank: 12Rank: 12 帖子 2008 精华 2 无忧币 10087 9_small.gif29_small.gif64_small.gif108_small.gif121_small.gif 他的博客他的下载他的学院发短消息 发表于 2012-2-24
华为防火墙管理方式
心有鸿鹄天地,不敢妄坠人间
09-26 7850
ensp USG6000V如何管理?今天通过本次分享,让刚入门的华为安全的的小伙伴轻松掌握防火墙配置管理
初始华为防火墙
Mr.李的博客
04-10 2507
前言 防火墙作为一种安全设备被广泛使用于各种网络环境中,它在网络间起到隔离作用。华为作为著名的网络设备厂商,2001年便发布了首款防火墙插卡,而后根据网络发展及技术需求,推出了一代又一代防火墙及安全系列产品。在近二十年的历程中,华为在业界立下了一个又一个丰碑。 华为防火墙介绍 USG2000、USG5000、USG6000和USG9500构成了华为防火墙的四大部分,分别适合于不同环境的网络需求,其...
华为防火墙典型配置案例
09-12
华为防火墙典型配置案例,可以通过具体的举例,更顺利的配置管理防火墙
防火墙基础配置1_ensp防火墙配置_ensp华为防火墙配置_
09-29
这是我自己制作的关于ensp防火墙基本配置文件
华为防火墙web界面配置
03-09
华为防火墙的web页面配置
防火墙初始配置
03-12
防火墙初始配置
华为防火墙 USG6000v 配置详细版.docx
03-19
针对华为ensp模拟软件,为学习者提供USG6000v防火墙详细配置教程以及调试方法供使用者学习,更好的进行模拟实验,帮助了解防火墙配置流程以及技术要领
华为USG5500防火墙配置实验一.pdf
11-18
华为USG5500防火墙配置实验一.pdf
华为USG6390防火墙基本配置.pdf
11-02
华为USG6390防火墙基本配置 华为USG6390防火墙是一款高性能的防火墙设备,通常用于企业网中的安全防护。下面是华为USG6390防火墙基本配置过程: Telnet 配置 Telnet 是一种远程登陆协议,允许用户远程登陆...
华为防火墙USG6000V---内网访问外网---外网访问内网服务器(NAT服务器)示例配置
lehe99的专栏
11-03 1万+
华为防火墙USG6000V示例配置,展示了访问防火墙、内网服务器、外网和外网访问内网服务器(NAT服务器)的配置
华为防火墙区域和地址规划:
不定期分享一些自己的学习笔记
10-16 640
防火墙的区域以及地址规划
华为USG6000V防火墙的初始密码及修改密码的操作
热门推荐
宝耶需努力的技术分享博客
08-30 5万+
华为USG6000V防火墙的初始密码及修改密码的步骤操作
华为防火墙 firewall配置命令
11-03
华为防火墙配置命令主要包括以下几个方面: 一、基本设置命令: 1. 设置系统主机名:sysname [hostname] 2. 配置管理接口地址:interface ethernet [interface-id] ip address [ip-address] [subnet-mask] 3. 配置域名服务器地址:ip host source-ip [ip-address] 二、安全策略命令: 1. 创建安全区域:security-zone [name] 2. 创建安全策略:security-policy [policy-name] from [source-zone] to [destination-zone] source [source-address] destination [destination-address] service [service-name] action [allow|deny] 三、网络地址转换命令: 1. 配置动态地址转换:nat address-group mapping-rule [name] protocol [tcp|udp] dynamic known-ratio [ratio] to interface [interface-id] 2. 配置静态地址转换:nat address-group mapping-rule [name] protocol [tcp|udp] static [global-ip-address] inside [inside-ip-address] 四、日志命令: 1. 配置日志服务器:log server ip [ip-address] port [port] 2. 配置日志策略:log policy [policy-name] action [permit|deny] destination [log-server-name] source [source-address] service [service-name] 五、系统管理命令: 1. 保存配置:save 2. 加载配置:load 3. 显示系统配置信息:display firewall configuration 以上介绍了部分华为防火墙配置命令,仅供参考。具体的配置要根据实际情况和需要进行调整。建议在进行防火墙配置前先了解设备操作手册和相关技术文档,以便更准确地配置管理华为防火墙

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值