防火墙配置【最详细的实验演示】

最新推荐文章于 2024-07-19 11:20:49 发布
最新推荐文章于 2024-07-19 11:20:49 发布
阅读量794 收藏 15
点赞数 27
文章标签: 网络 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Innocence_0/article/details/139818361
版权

目录

拓扑及拓扑分析

进入防火墙前准备工作

1.配置其他区域ip

2.如何进入防火墙

防火墙的安全域

1.防火墙的5个安全域

2.如何自定义安全域

3.接口加入安全域

​ 4.配置接口ip

配置防火墙策略

1.内网到公网

2.内网到服务器

3.公网到服务器

4.内网到公网NAT转换

5.服务器映射

测试

1.内网到公网

2.内网到服务器

3.公网到服务器

4.内网到公网nat测试

​5.服务器映射

拓扑及拓扑分析

1.防火墙左边区域模拟为内网环境

2.防火墙上方区域模拟为服务区

3.防火墙下方的云可以让我们可以进入防火墙的图形配置界面

4.防火墙的右边区域模拟为公网区域

进入防火墙前准备工作
1.配置其他区域ip

ip的配置参考拓扑图标记,太基础就省略了

2.如何进入防火墙

1.使用USG6000V的防火墙

2.配置云,云配置完成后才可以和防火墙连接

1)添加一个UDP端口![](https://img-
blog.csdnimg.cn/124814e53403442aafcb08ad33bd4944.png)

2)添加一个虚拟网卡,可以是虚拟机网卡或环回,不能是ensp使用的虚拟网卡![](https://img-
blog.csdnimg.cn/8f23dd6b41c1497b87f49c9718124475.png)

3)端口映射

3.修改管理接口ip

1)双击进入防火墙,输入账号密码,修改初始密码

华为ensp默认账号:admin 密码:Admin@123

2)修改防火墙GigabitEthernet
0/0/0口的接口ip,g0/0/0口为管理口,默认ip为192.168.0.1,修改为和云加载网卡同网段的ip,我这里云上加载的网卡地址为192.168.132.1。

[FW]int GigabitEthernet 0/0/0
[FW-GigabitEthernet0/0/0]ip address 192.168.132.10 24

4.通过浏览器进入防火墙的web操作界面(有的浏览器不支持,可以尝试多个浏览器)

1) 在浏览器上方输入g0/0/0口的接口ip

2)输入账号密码

防火墙的安全域

1.防火墙的5个安全域

untrust(不信任域):
低级安全区域,安全优先级为5
通常用来定义Internet等不安全的网络,用于网络入口线的接入。

dmz(隔离区):
中级安全区域,安全优先级为50
通常用来定义内部服务器所在网络
作用是把WEB,E-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。

trust(信任域):
高级级安全区域,安全优先级为85
通常用来定义内部用户所在的网络,也可以理解为应该是防护最严密的地区。

local(本地):
顶级安全区域,安全优先级为100
local就是防火墙本身的区域,比如ping指令等网际控制协议的回复,需要local域的权限
凡是由防火墙主动发出的报文均可认为是从Local区域中发出
凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local区域接收

management(管理):
顶级安全区域,安全优先级为100
除了console控制接口对设备进行配置,如果防火墙设备可以通过web界面配置的话,需要一根双绞线连接到管理接口,键入用户名和密码进行配置。

2.如何自定义安全域

以上操作可定义一个名称为new,优先级为60的安全域

3.接口加入安全域

方法一:

方法二:

![](https://img-

blog.csdnimg.cn/873e5045967f486ba1f677707c529e93.png)4.配置接口ip

配置防火墙策略

本实验要做三个安全策略,一、内网到公网;二、内网到服务器;三,公网到服务器;

一个服务器映射,一个NAT策略

为什么要做安全策略:因为防火墙各区域默认策略为禁止访问

1.内网到公网


未填写的部分默认都为any

源地址池创建过程:

2.内网到服务器

3.公网到服务器

4.内网到公网NAT转换

5.服务器映射

测试
1.内网到公网

2.内网到服务器

3.公网到服务器

只能请求http服务

4.内网到公网nat测试

在防火墙g0/0/2口抓包,源ip转换为100.1.1.1

5.服务器映射

访问100.1.1.5也可访问到服务器

game over

最后

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

扫码领取

程序员负总裁
关注
  • 27
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙原理讲解——练习实验
一起努力共同进步,为了未来一起奋斗吧!
11-28 3622
防火墙实验练习
ASA防火墙实验演示
03-05
ASA防火墙实验演示 cisco 防火墙 配置 演示
华为防火墙NAT原理及配置
爱意随风起,人生不可弃。
12-17 3826
面临IP地址匮乏,短期方案:NAT(全称),长期方案:IPV6(下一代因特网)。
VMware模拟网络防火墙配置实验
QSIRIS的博客
05-21 5494
网络防火墙配置实验 centos7+VMware+win7配置虚拟防火墙实验 文中的指令都是centos7的指令,不同版本的centos指令可能有差别,不同版本仅供参考 文章目录网络防火墙配置实验前言一、准备工作二、配置内外网主机和服务器配置包过滤防火墙规则配置防火墙nat转换功能NAT转换功能实验验证总结 前言 本人小白一枚,本实验只是我个人做完随手写的记录一下,仅供参考,若有不当请另寻其他大佬博客 一、准备工作 首先要打开虚拟机,创建一台centos7系统,让他当作路由器 在创建的时候,点击虚拟
华为防火墙配置 SSL VPN
走马
06-09 2082
哈喽,我是ICT大龙。本期给大家更新一次使用华为防火墙实现SSL VPN的技术文章。本次实验只需要用到两个软件,分别是ENSP和VMware,本次实验中的所有文件都可以在文章的末尾获取。话不多说,教程开始。百度百科解释:虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。相信朋友们在工作或者学习中会碰到这样一个场景。
实验三cisco防火墙asa模拟器从内网访问outside服务器.pdf
11-05
Cisco ASA 防火墙模拟器...本实验演示了 ASA 模拟器的基本配置和 NAT 配置,展示了 ASA 模拟器在企业网络安全中的重要作用。通过该实验,您将对 ASA 模拟器有更深入的了解,并掌握使用 ASA 模拟器实现网络安全的技能。
CCIE Security实验指南
03-28
指南将深入讲解各种加密算法,如AES、DES、RSA等,并演示如何在路由器和防火墙配置加密服务。 五、网络监控 网络监控用于检测异常行为,包括入侵检测系统(IDS)和入侵防御系统(IPS)。学习如何部署和配置Snort...
IDS 逃逸测试实验1
08-03
实验名称:IDS 逃逸测试实验1 实验目标: 本次实验旨在深入学习TCP/IP协议的结构,掌握TCP连接的建立与关闭机制,以及针对TCP连接的各种攻击手法。重点是理解入侵检测系统(IDS)的工作原理,并探索如何规避其对...
实验3 Hadoop安装与配置2-伪分布式.pdf
07-04
Hadoop 安装与配置实验报告 本实验报告的主要目的是演示如何在 Ubuntu 环境中安装和配置 Hadoop。Hadoop 是一个开源的分布式计算框架,广泛应用于大数据处理和分析领域。 一、实验名称:Hadoop 安装与配置 二、...
27_MobileNetV3网络详解
https://github.com/foxpup11?tab=repositories
07-17 808
https://www.bilibili.com/video/BV1GK4y1p7uE/?spm_id_from=333.999.0.0&vd_source=7dace3632125a1ef7fd32c285eb2fbac
RTI DDS大数据碎片
qq_33089547的博客
07-17 968
PublicationBuiltingTopicData或SubscriptionBuiltnTopicData样本较大的最常见原因是序列化的TypeCode或TypeObject,但您也可能发送了大量属性(通过7.5.19 PROPERTY QosPolicy(DDS扩展))或具有较大的ContentFilteredTopic筛选器表达式,以及其他大小可变的字段,这可能会导致样本大小较大。如果您尝试发送一个大小大于MTU的DDS样本,但尚未设置DDS级碎片,您将看到IP级碎片。
Internet 控制报文协议 —— ICMPv4 和 ICMPv6 详解
u013669912的博客
07-17 882
计算机网络技术期末复习
CWPIN21的博客
07-17 1026
本文深入探讨了计算机网络的核心概念与关键技术。涵盖了网络拓扑结构,如星型、总线型和环形等,分析了它们的特点与适用场景。详细阐述了 TCP/IP 协议栈的工作原理,包括 IP 地址分配、子网掩码的作用以及路由选择算法。还探讨了网络安全方面的常见威胁,如病毒、黑客攻击等,并介绍了相应的防护措施。通过实例,让读者对计算机网络有更全面、深入的理解。
使用tcpdump 和 Wireshark进行简单TCP抓包分析【图文教程】
最新发布
qq_42037383的博客
07-19 635
和都是网络分析工具,用于捕获和分析网络数据包,但它们在功能和使用上有所不同。所以,这两者实际上是搭配使用的,先用 tcpdump 命令在 Linux 服务器上抓包,接着把抓包的文件拖出到 Windows 电脑后,用 Wireshark 可视化分析。如果你是在 Windows 上抓包,只需要用 Wireshark 工具就可以。
UDP协议
bushibrnxiaohaij的博客
07-17 1067
所以UDP在发送报文前只需要把把头的结构化字段填好,然后防止报文的前面就可以像服务器进行请求了,但是不管是服务器还是客服端,都一定存在大量的UDP报文,所以OS也一定要对这么多的报文进行管理,所以OS也会存在对报文描述的结构体,报文本质就是数据,所以就是一段缓冲区,所以描述报文的结构体里面一定会存在指针。UDP的报头非常简单,存在16位源端口和16为目的端口,16位UDP长度, 表示整个数据报(UDP首部+UDP数据)的最大长度,如果校验和出错, 就会直接丢弃。UDP协议是传输层的协议,是在应用层之下的。
深入理解Linux网络(一):内核如何接收网络
又见南风的博客
07-18 644
在上⾯的代码中跟踪函数调⽤, __igb_open => igb_request_irq => igb_request_msix , 在 igb_request_msix 中我们看到了,对于多队列的⽹卡,为每⼀个队列都注册了中断,其对应的中断处理函数是 igb_msix_ring(该函数也在 drivers/net/ethernet/intel/igb/igb_main.c 下)。如协议注册⼩节看到 inet_protos 中保存着 tcp_v4_rcv() 和 udp_rcv() 的函数地址。
linux学习笔记整理: 关于linux系统介绍 2024/7/16;
gzx233的博客
07-16 1146
linux基础介绍和指令

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值