云服务器和防火墙的相关配置

于 2024-09-20 08:50:50 发布
阅读量213 收藏 2
点赞数 3
文章标签: 服务器 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hzhile/article/details/142308979
版权

在这里插入图片描述

在这里插入图片描述

四个安全区域:trust(85)、untrust(5)、dmz(50)、local(100)里面的为优先级,固定好的
注意:
系统自带的 上述的安全区域不可删除和更改优先级
同时2个区域不能配置相同的优先级

防火墙接口想使用,必须加入到安全区域
一个安全区域内可以有多个接口
一个接口只能属于一个安全区域
环回口不需要加入安全区域,也不能加入

eg:主机去ping通防火墙连接云服务器的接口地址(100.1.1.2)
在这里插入图片描述

[USG6000V1-GigabitEthernet0/0/0]ip address 100.1.1.2 24
//允许所有的协议通信
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

R1:
[Huawei-GigabitEthernet0/0/0]ip address 100.1.1.4 24

云的配置:
在这里插入图片描述

结果:主机电脑去ping通 防火墙连通云服务器的接口地址能通

dis zone	//查看防火墙安全区域
firewall zone name xxx	//创造防火墙安全区域

//进行区域的配置更改
firewall zone xxx		//进入该区域
set priority 			//更改优先级
add int g1/0/0			//接口加入安全区域

//进入untrust安全区域,配置这个接口进去
firewall zone untrust
add interface GigabitEthernet 1/0/0

[USG6000V1-GigabitEthernet0/0/0]service-manag all permit		//开启全允许的服务

//也可以在web网页上配置安全策略
6000防火墙配置安全策略:
security-policy //进入安全策略视图
rule name test
	source-zone trust
	destination-zone untrust
	source-address 192.168.1.0 mask 255.255.255.0
	action permi
5000防火墙配置安全策略:
policy interzone trust untrust outbound 
policy 1
	description test
	policy source 192.168.1.0 0.0.0.255
	action permit
	
	trust untrust //顺序没关系,区域的流向靠的不是顺序,是outbound/inbound
	inbound 低优先级到高优先级	outbound 高优先级到低优先级

例子2:
在这里插入图片描述

[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip ad 192.168.2.254 24
[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit 
[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add interface g1/0/1 

[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/1]ip ad 192.168.1.254 24
[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit 
[USG6000V1]firewall zone trust 
[USG6000V1-zone-untrust]add interface g1/0/0

//防火墙对应云服务器的那个接口也要配置安全区域
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet1/0/1]ip ad 100.1.1.2 24
[USG6000V1-GigabitEthernet1/0/1]service-manage all permit 
[USG6000V1]firewall zone trust 
[USG6000V1-zone-untrust]add interface g0/0/0	//g0口默认配置安全区域trust

在这里插入图片描述

再配置PC1和PC2的源目ip策略(安全策略),这样PC1就可以ping通PC2了
(记得加上这一步,不然无法ping通)
在这里插入图片描述

防火墙的查看icmp
[USG6000V1]dis firewall session table verbose protocol icmp

//防火墙整体丢包统计
[USG6000V1]display firewall statistics system discard

icmp
在这里插入图片描述
丢包统计:
在这里插入图片描述
Packet default filter packets discarded: 20(一次ping丢包5个)

local区域:
在这里插入图片描述

在这里插入图片描述

Hzhile
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值