华为防火墙基本配置

已于 2024-03-21 20:08:59 修改
阅读量4k 收藏 28
点赞数 7
文章标签: 服务器 运维
于 2024-03-21 20:02:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gahood/article/details/136915553
版权
本文详细描述了在华为防火墙中设置Trust(内网)、Untrust(外网)和DMZ(服务器区)的安全域,包括配置终端IP地址,添加安全域到接口,设置安全策略允许特定流量,以及配置NAT地址池和策略以实现内外网通信。最后介绍了如何开放服务器端口以供外网访问。
摘要由CSDN通过智能技术生成

首先了解Trust是基本连接内网,Untrust连接外网,DMZ连接服务器

首先配置各终端IP地址

 

R1路由器配置IP地址 

<Huawei>sys
[Huawei]sys R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 100.1.1.2 24

 

防火墙配置:华为默认用户名:admin  密码:Admin@123 

输入密码后它会问你是否现在重置密码,选是否则无法配置。(密码需要大小写和字符)

[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 192.168.1.254 24
[USG6000V1-GigabitEthernet1/0/1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.2.254 24
[USG6000V1-GigabitEthernet1/0/0]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip add 100.1.1.1 24

把安全域加入到对应的接口中

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add int g1/0/1
[USG6000V1-zone-trust]q
[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add int g1/0/2
[USG6000V1-zone-untrust]q
[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add int g1/0/0
[USG6000V1-zone-dmz]q
[USG6000V1]security-policy                     //进入安全策略
[USG6000V1-policy-security]rule name t-to-u    //给策略命名
[USG6000V1-policy-security-rule-t-to-u]source-zone trust   //源trust
[USG6000V1-policy-security-rule-t-to-u]destination-zone untrust  //目的untrust
[USG6000V1-policy-security-rule-t-to-u]source-address 192.168.1.0 24  //源地址(可写可不写)
[USG6000V1-policy-security-rule-t-to-u]destination-address any        //可以访问多个地址(可写可不写)
[USG6000V1-policy-security-rule-t-to-u]action permit                 //采取什么动作,只有两个一个deny 一个permit

 此时PC是无法访问到外网的,因为防火墙需要nat,没有回程路由。

配置nat两个步骤:nat地址池——nat策略 

[USG6000V1]nat address-group groupaddress       //地址池名:groupaddress 
[USG6000V1-address-group-groupaddress]mode pat   //nat的模式:pat
[USG6000V1-address-group-groupaddress]section 0 100.1.1.10 100.1.1.20 //Section :公网地址,0:表示ID   配置地址池10-20区间
[USG6000V1-address-group-groupaddress]q
[USG6000V1]nat-policy   //进入nat策略
[USG6000V1-policy-nat]rule name policy1   //策略名:policy1
[USG6000V1-policy-nat-rule-policy1]source-zone trust 
[USG6000V1-policy-nat-rule-policy1]destination-zone untrust 
[USG6000V1-policy-nat-rule-policy1]source-address 192.168.1.0 24
[USG6000V1-policy-nat-rule-policy1]destination-address any
[USG6000V1-policy-nat-rule-policy1]action source-nat address-group groupaddress  //源地址的nat对groupaddress进行转换

此时PCping服务器是无法通信的,默认的策略是deny or any,要在防火墙上放行trust—dmz流量 

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name t-to-d
[USG6000V1-policy-security-rule-t-to-d]source-zone trust
[USG6000V1-policy-security-rule-t-to-d]destination-zone dmz
[USG6000V1-policy-security-rule-t-to-d]destination-address any  //可写可不写
[USG6000V1-policy-security-rule-t-to-d]action permit

如何把服务器地址放在公网上访问 :映射

开启服务器80端口

[USG6000V1]nat server protocol tcp global 100.1.1.100 80 inside 192.168.2.100 ww
w   //www可写端口80 二选一

此时外网无法访问服务器:因为没有放行,需要放行。

[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name u-to-dmz
[USG6000V1-policy-security-rule-u-to-dmz]source-zone untrust 
[USG6000V1-policy-security-rule-u-to-dmz]destination-address 192.168.2.100 32
[USG6000V1-policy-security-rule-u-to-dmz]action permit

在外网路由器上访问100.1.1.100 80信息;服务器已有日志信息。 

华为防火墙配置笔记
weixin_30375247的博客
07-05 6132
防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。 初始化防火墙 初始化防火墙: 默认用户名为admin,默认密码Admin@12...
华为防火墙基础配置
Tony_long7483的博客
06-06 1062
FW1-zone-trust] add interface GigabitEthernet 0/0/0 // 把GE0/0/0加入到trust安全域。[FW1-GigabitEthernet0/0/0] service-manage telnet permit // 允许telnet。[FW1-GigabitEthernet0/0/0] service-manage telnet permit // 允许telnet。
华为防火墙配置双机热备
最新发布
Richardlygo的博客
09-23 2129
公司A基于确保内部网络安全性的考虑,在内外网络之间部署了防火墙。由于防火墙设备是所有信息流都必须通过的单一节点,故一旦防火墙设备出现故障所有信息流都会中断。为了增强网络的可靠性,保证当防火墙设备出现故障时不中断网络,公司A利用两台设备实现防火墙主备功能。
华为USG防火墙DHCP配置
lzwq1288的博客
01-17 1万+
该场景,防火墙作为出口访问 internet,然后接的傻瓜式交换机来连接下面的办公 PC,属于一个简单的 SOHO 环境,一般在防火墙上面应用 DHCP,也通常是这种情况,大点的环境则是交换机或者专门的 DHCP 服务器来做。 1、防火墙初始化配置 2、DHCP 配置(基于全局的配置方式) 3、防火墙策略+NAT 配置,让下面 PC 能够访问 Internet。 4、测试 1、防火墙初始化配置 ...
华为防火墙实战配置教程,太全了
热门推荐
Richardlygo的博客
07-05 1万+
防火墙大全
路由器防火墙配置命令(转载)
07-09 1068
一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny
华为防火墙配置手册
12-12
USG5300 产品文档
防火墙安全策略(基本配置
2301_78439235的博客
07-10 5975
此时,即使配置了接口所在安全域允许访问local区域的安全策略,也不能通过该接口访问本地防火墙。所以服务器回包时候,会直接查询会话表,实现通信,所以防火墙只需要放行一边就行,流量能出去能建立会话,流量就可以按照会话回来。firewall zone name命令用来创建安全区域,并进入安全区域视图。id表示安全区域ID,取值4~99,默认递增。安全区域在使用时需要与防火墙的特定接口相关联,即需要将接口加入到安全区域。和交换机、路由器相同,interface命令用来创建接口或进入指定的接口视图。
实战篇【4】-HUAWEI防火墙开局基础配置
weixin_47402139的博客
03-06 2023
本篇文章为“HUAWEI防火墙开局基础配置”,主要涵盖配置管理地址、聚合端口、安全区域、安全策略、静态路由、ACL,WEB和SSH远程管理、Console、SNMP、NTP时钟、日志主机等内容,对比交换机配置开局,增加两处配置,安全区域和安全策略。方便调试人员远程管理、调试。 区别于“H3C交换机开局基础配置”只是厂商间命令形式的差别,功能实现上一致;
华为防火墙概念及配置案列
zhanglongquan的博客
08-09 1344
防火墙主要用于保护一个网络区域免受来自另一个网络区域的攻击和入侵行为、也是防止黑客攻击内部网络的重要防线之一。
华为S7700 防火墙配置手册
03-21
华为防火墙命令参考
华为防火墙配置使用手册
02-15
华为防火墙配置使用手册
华为USG防火墙典型配置案列
11-05
华为防火墙典型配置案例,主要介绍了防火墙NAT,HA,策略等功能的实际配置案例。
华为防火墙典型配置案例
09-12
华为防火墙典型配置案例,可以通过具体的举例,更顺利的配置管理防火墙
华为防火墙USG6000WEB配置案例
12-09
华为防火墙USG6000WEB配置案例,详细指导你如何配置华为防火墙,是新手入门的最佳文档
华为防火墙基本配置示例》
jiyiwangluokeji的博客
09-11 1781
ip route-static 0.0.0.0 0.0.0.0 [网关 IP 地址]- 通过 Console 线将电脑与防火墙的 Console 接口连接。section 0 [起始 IP 地址]-[结束 IP 地址]- 打开终端仿真软件,设置正确的串口参数,然后登录到防火墙。service [具体端口和协议,如 tcp 8080]ip address [IP 地址] [子网掩码]- 为安全区域设置不同的安全级别和添加相应的接口。source-address [内网地址段]sysname [防火墙名称]
防火墙基础配置1_ensp防火墙配置_ensp华为防火墙配置_
09-29
这是我自己制作的关于ensp防火墙基本配置文件
华为防火墙基本配置
weixin_39899118的博客
02-09 2675
防火墙基本配置
华为防火墙 firewall配置命令
11-03
华为防火墙配置命令主要包括以下几个方面: 一、基本设置命令: 1. 设置系统主机名:sysname [hostname] 2. 配置管理接口地址:interface ethernet [interface-id] ip address [ip-address] [subnet-mask] 3. 配置域名服务器地址:ip host source-ip [ip-address] 二、安全策略命令: 1. 创建安全区域:security-zone [name] 2. 创建安全策略:security-policy [policy-name] from [source-zone] to [destination-zone] source [source-address] destination [destination-address] service [service-name] action [allow|deny] 三、网络地址转换命令: 1. 配置动态地址转换:nat address-group mapping-rule [name] protocol [tcp|udp] dynamic known-ratio [ratio] to interface [interface-id] 2. 配置静态地址转换:nat address-group mapping-rule [name] protocol [tcp|udp] static [global-ip-address] inside [inside-ip-address] 四、日志命令: 1. 配置日志服务器:log server ip [ip-address] port [port] 2. 配置日志策略:log policy [policy-name] action [permit|deny] destination [log-server-name] source [source-address] service [service-name] 五、系统管理命令: 1. 保存配置:save 2. 加载配置:load 3. 显示系统配置信息:display firewall configuration 以上介绍了部分华为防火墙配置命令,仅供参考。具体的配置要根据实际情况和需要进行调整。建议在进行防火墙配置前先了解设备操作手册和相关技术文档,以便更准确地配置管理华为防火墙
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值