华为防火墙

最新推荐文章于 2024-05-28 20:47:07 发布
最新推荐文章于 2024-05-28 20:47:07 发布
阅读量1.7k 收藏 3
点赞数 1
分类专栏: 网络工程 安全 文章标签: 网络协议 华为
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/H2223/article/details/123922912
版权

拓扑:

防火墙nat配置

ar1:trust

ar3:untrust

 

nat策略

再配置静态路由

在r2上配个环回地址,模拟外网,在r1上ping它

ftp端口映射:

作用:特殊的端口号容易被黑客利用,例如(21,80,443等)将端口号在内网边界上变为自定义的端口号,提高安全性

配置:

在r1上启动ftp服务,模拟ftp服务器

aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user 123 password cipher %$%$%3%*(NE+}>Rpp"YQq*o/R7}e%$%$
 local-user 123 privilege level 15
 local-user 123 ftp-directory flash:
 local-user 123 service-type ftp
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http

在防火墙上配置安全策略,使得外网能访问内网的ftp服务器:

配置端口映射:

将21端口变为2121端口 

在r3上验证成果:

<untrust>ftp 100.1.1.1 2121
Trying 100.1.1.1 ...

Press CTRL+K to abort
Connected to 100.1.1.1.
220 FTP service ready.
User(100.1.1.1:(none)):123
331 Password required for 123.
Enter password:
230 User logged in.

[untrust-ftp]dir
200 Port command okay.
150 Opening ASCII mode data connection for *.
drwxrwxrwx   1 noone    nogroup         0 Apr 02 07:26 dhcp
-rwxrwxrwx   1 noone    nogroup    121802 May 26  2014 portalpage.zip
-rwxrwxrwx   1 noone    nogroup      2263 Apr 02 07:26 statemach.efs
-rwxrwxrwx   1 noone    nogroup    828482 May 26  2014 sslvpn.zip
drwxrwxrwx   1 noone    nogroup         0 Apr 02 07:26 .
226 Transfer complete.
FTP: 327 byte(s) received in 0.070 second(s) 4.67Kbyte(s)/sec.

[untrust-ftp]cd dhcp
250 CWD command successful.

[untrust-ftp]dir
200 Port command okay.
150 Opening ASCII mode data connection for *.
-rwxrwxrwx   1 noone    nogroup        98 Apr 02 07:26 dhcp-duid.txt
drwxrwxrwx   1 noone    nogroup         0 Apr 02 07:26 ..
drwxrwxrwx   1 noone    nogroup         0 Apr 02 07:26 .
226 Transfer complete.
FTP: 187 byte(s) received in 0.050 second(s) 3.74Kbyte(s)/sec.

[untrust-ftp]get dhcp-duid.txt
200 Port command okay.
150 Opening ASCII mode data connection for dhcp-duid.txt.
226 Transfer complete.
FTP: 98 byte(s) received in 0.240 second(s) 408.33byte(s)/sec.

<USG6000V1>dis firewall session table 
2022-04-02 09:28:48.110 
 Current Total Sessions : 4
 tcp  VPN: default --> default  10.1.2.100:59194 --> 10.1.2.1:8443
 tcp  VPN: default --> default  10.1.2.100:59014 --> 10.1.2.1:8443
 ftp  VPN: public --> public  100.1.1.2:49277 +-> 100.1.1.1:2121[192.168.1.2:21]
 ftp-data  VPN: public --> public  192.168.1.2:20[100.1.1.1:20] --> 100.1.1.2:49189

<USG6000V1>dis fir server-map 
2022-04-02 09:32:22.880 
 Current Total Server-map : 1
 Type: Nat Server,  ANY -> 100.1.1.1:2121[192.168.1.2:21],  Zone: untrust ,  pro
tocol:tcp
 Vpn: public -> public

成功了

nat ALG(应用网关)

某些协议会在应用层添加IP地址,而nat无法修改应用层的IP地址,这会导致在通信的回包阶段的IP地址还是原来的私网地址,使得通信失败,nat ALG会修改应用层IP地址,在设备上都是默认开启的。

域外双向NAT

在原来的nat基础上,再在防火墙上做一次nat,让上图的192.168.1.1地址访问内网服务器,而不是对外公网地址

配置:

 

验证:

[trust]undo ip route-static 0.0.0.0 0.0.0.0 192.168.1.1    //在r1上删除到防火墙的路由


<untrust>ftp 100.1.1.1
Trying 100.1.1.1 ...

Press CTRL+K to abort
Connected to 100.1.1.1.
220 FTP service ready.
User(100.1.1.1:(none)):123
331 Password required for 123.
Enter password:
230 User logged in.

[untrust-ftp]dir
200 Port command okay.
150 Opening ASCII mode data connection for *.
drwxrwxrwx   1 noone    nogroup         0 Apr 02 07:26 dhcp
-rwxrwxrwx   1 noone    nogroup    121802 May 26  2014 portalpage.zip
-rwxrwxrwx   1 noone    nogroup      2263 Apr 02 07:26 statemach.efs
-rwxrwxrwx   1 noone    nogroup    828482 May 26  2014 sslvpn.zip
drwxrwxrwx   1 noone    nogroup         0 Apr 02 07:26 .
226 Transfer complete.
FTP: 327 byte(s) received in 0.070 second(s) 4.67Kbyte(s)/sec.

ftp仍然运行正常,说明成功了 

域内双向NAT

场景:

内网用户需要用域名来访问服务器,这时候用户得到的是公网IP,流量经过公网访问服务器 

新拓扑:

配置:

 源地址是内网地址

目的地址是100.1.1.1(外网口地址)

在r1 r4上重启静态路由 

ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

在r4上ftp公网地址

<Huawei>ftp 100.1.1.1
Trying 100.1.1.1 ...

Press CTRL+K to abort
Connected to 100.1.1.1.
220 FTP service ready.
User(100.1.1.1:(none)):123
331 Password required for 123.
Enter password:
230 User logged in.

[Huawei-ftp]dir
200 Port command okay.
150 Opening ASCII mode data connection for *.
drwxrwxrwx   1 noone    nogroup         0 Apr 03 10:40 dhcp
-rwxrwxrwx   1 noone    nogroup    121802 May 26  2014 portalpage.zip
-rwxrwxrwx   1 noone    nogroup      2263 Apr 03 10:40 statemach.efs
-rwxrwxrwx   1 noone    nogroup    828482 May 26  2014 sslvpn.zip
drwxrwxrwx   1 noone    nogroup         0 Apr 03 10:40 .
-rwxrwxrwx   1 noone    nogroup       646 Apr 03 10:40 vrpcfg.zip
226 Transfer complete.
FTP: 394 byte(s) received in 0.090 second(s) 4.37Kbyte(s)/sec.

再对r1的g0/0/0接口进行抓包验证

 实验成功

“主备”nat

新拓扑:

r3为电信,r6为联通

两条线互为主备,r3为主,r6为备

问题:静态路由可以浮动,但nat没有优先级或开销,当主线路断开时,nat转换的源还是g1/0/1上的源,无法回包

解决方法:

在接口上开启源进源出路由控制,这样就会将浮动静态路由与nat联动

 注意:必须填写网关

H2223
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙经过地址转换抓包详解
一只认真的鱼
05-15 7997
R表示收到,X表示发出,R@eth1是从eth1口收到数据包。X@eth2是从2口发出数据包 16.1.1.1>18.1.1.2 表示IP 16.1.1.1发给IP 18.1.1.2 Seq后面的数是序列号 request和reply的号一致就是一个数据包 Length后面的数是字节 没有做任何策略,直连抓包(ICMP的数据包) 抓包过程详解: 防火墙eth1口收到16.1.1.1发...
华为防火墙远程抓包工具
07-27
华为防火墙远程抓包工具,可以在自己的电脑上轻松抓到远程防火墙的接口数据包
【HW防火墙】利用FW抓包,监测数据与延迟
qq_43751649的博客
12-12 1146
FW防火墙的部署方式决定了其具有的功能,网络质量分析需要利用FW,如何利用FW方墙监测数呢?
网络故障排除—NAT-源进源出
最新发布
limengshi138392的博客
05-28 460
网络故障排除—NAT-源进源出
华为防火墙命令及实例
04-19
华为防火墙命令介绍,包括命令功能、参数以及具体实例,是学习华为防火墙的不错资料。
华为、华三、锐捷、飞塔、山石的抓包命令
weixin_45457085的博客
07-06 6977
SW1-Ethernet2/0/0] mirror to observe-port 1 inbound //将该接口的入方向流量复制一份到观察端口1上。[SW1] observing-port 1 interface g0/0/24 //指定观察端口1为G0/24口。[SW1] observing-port 1 interface g0/0/24 //指定观察端口1为G0/24口。] //将镜像端口绑定到观察端口。
华为防火墙配置命令大全
Hello
05-05 6493
防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。Tips:本章内容为学习而整理,顺便分享给有需要的人,有不足的地方欢迎大家来补充!初始化防火墙默认用户名为admin,默认的密码Admin@123,这里修改密码为along@163。
华为交换机抓包命令
xiaopeng_thriller的博客
02-07 1万+
华为交换机抓包命令
华为防火墙NAT
Z_YingJ的博客
04-14 1283
华为 ciscoNAT 分类(特点) 华为NAT的分类: NAT NO-PAT:多对多 NAPT :多对一,端口多路复用(IP) EASY-IP: 多对一(接口) SMART nat: 三元组NAT:端口多路复用 CISCO NAT的分类: 动态: 多对多 (多个内部地址 对应 多个外部地址) 静态 :一对一 pat: 多对一 端口多路复用: 一(端口) 对 一 (端口) ...
华为防火墙实战指南-14730681.pdf
12-03
华为防火墙实战指南-14730681.pdf
思科、华为网络设备命令抓包
04-08
针对思科路由器、ASA防火墙华为设备和天融信防火墙使用命令抓包的配置方法
常用华为防火墙命令
12-12
华为防火墙命令 华为防火墙命令是配置华为路由器和防火墙的重要命令,用于创建访问规则、管理访问列表、 Filter 报文等。下面将详细介绍华为防火墙命令的使用方法和参数解释。 access-list 命令 access-list 命令...
华为防火墙nat端口映射
06-07
对应主页文章名称
华为防火墙USG固件,含3个版本。
10-08
包含: USG6300V500R001C30SPC100 USG6300V500R005C00SPC200 USG6000V500R005C20SPC500
华为防火墙实现单点登录方式.docx
01-04
华为防火墙实现单点登录方式 单点登录是一种技术,以避免用户在多个地方进行多次认证。用户的身份信息通常记录在专门的服务器中,如微软的Active Directory、华为的Agile Controller、Radius、HWTACACS等。然后,...
思科,华为网工必备-wireshark抓包工具的安装与使用方法
IE-lab网络实验室的博客
02-16 5912
上期的结尾我们用wireshark抓包看了一下vrrp的协议报文,好多小伙伴对wireshark抓包很感兴趣,那今天我们就来聊聊wireshark wireshark的下载与安装 wireshark是一款免费的数据包分析软件,可以通过Wireshark · Download访问官方网站进行下载安装,支持windows、linux、macos等多种平台。wireshark功能强大,安装方便,掌握了wirshark的使用方法不但可以在学习中帮我们更直观深入的了解网络协议的工作原理,更能在以后的工作中帮助我们披
采用web界面方式,登录ensp华为usg6000防火墙
热门推荐
cs_zhuzige的博客
05-04 1万+
使用web界面,登录ensp中的防火墙
华为防火墙图形化操作
zhanglongquan的博客
05-23 2993
华为防火墙:nat配置、用户认证配置、vpn配置
华为防火墙技术深度解析与实战指南
华为防火墙技术手册详解》是一本由徐慧洋、白杰和卢宏旺编著的专业书籍,隶属于华为ICT认证系列丛书。该书针对华为防火墙技术进行了深入的介绍,特别关注了防火墙的核心技术原理、实际应用场景以及配置方法。书中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值