ENSP实现防火墙区域策略与用户管理

最新推荐文章于 2024-07-16 21:41:08 发布
最新推荐文章于 2024-07-16 21:41:08 发布
阅读量1k 收藏 27
点赞数 7
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ghostd4/article/details/140381860
版权

目录

交换机与防火墙接口的配置

交换机:

        创建vlan

防火墙配置及接口配置

防火墙IP地址配置

在浏览器上使用https协议登陆防火墙,并操作

访问网址:https://192.168.100.1:8443

防火墙G1/0/1配置子接口

防火墙关于DMZ区域的接口G1/0/0

防火墙关于游客区的接口G1/0/4 

防火墙关于ISP的接口G1/0/1

防火墙策略建立

  1.新建区域

 2.策略建立

   办公区访问DMZ

生产区访问DMZ

 游客区只能访问门户网站10.0.3.10

针对单个IP10.0.2.10的策略

创建toISP的策略

办公区访问ISP

 游客区访问ISP

整体效果:生效顺序 

NAT策略可以上网的关键

防火墙用户创建与管理 

                办公区的市场部和研发部用户

针对市场部和研发部的策略 

游客区用户和组的创建 

生产区用户与组的创建 

批量创建生产区车间1的用户(车间2,3同理)

生产区的用户策略

最终整体结构图

 设置登录

系统用户创建 

设置身份(不选系统相关权限)

新建用户身份选择刚刚建立的管理员

要先有身份再有登录用户!

要求:

我的拓扑:

 

实验需求
1、DMZ区内的服务器,办公区仅能在办公时间内(9:80-18:88)可以访问,生产区的设备全天可以访问
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部IP地址固定,访问0Mz区使用匿名认证,市场部需要用户绑定p地址,访问DMZ区使用免认证.
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码为Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址为10.0.3.10
5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含3个部门,每个部门三个用户,用户密码统一openglab123登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6、创建一个自定义管理员,要求不能拥有系统管理的功能

实验内容:

交换机与防火墙接口的配置

LSW7交换机配置vlan,其中生产区在vlan2,办公区在vlan3.防火墙在G1/0/3上配置子接口分别实现管理,命令如下。

交换机:
        创建vlan
[LSW5]vlan batch  2 to 3

    接口配置:

[LSW5]int g 0/0/2
[LSW5-GigabitEthernet0/0/2]port link-type access        # 定义接口类型
[LSW5-GigabitEthernet0/0/2]port default  vlan 2           # 定义所属valn
 
[LSW5]int g 0/0/3
[LSW5-GigabitEthernet0/0/3]port link-type access 
[LSW5-GigabitEthernet0/0/3]port default vlan 3
 
[LSW5]int g 0/0/1  
[LSW5-GigabitEthernet0/0/1]port link-type trunk 
[LSW5-GigabitEthernet0/0/1]port trunk allow-pass vlan  2 3     # 放通vlan 2 3 内的流量
 
[LSW5-GigabitEthernet0/0/1]undo  port trunk allow-pass vlan  1  # 出于对网络安全的考虑,拒绝vlan1内的流量通过

 

防火墙配置及接口配置

防火墙IP地址配置
Username:admin
Password:        # 默认密码为Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:     
Please enter new password:        # 修改新密码为Mysql@123
Please confirm new password: 
 
 Info: Your password has been changed. Save the change to survive a reboot. 
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************
<USG6000V1>sys
[USG6000V1]int g 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.1 24   # 修改IP地址
[USG6000V1-GigabitEthernet0/0/0] service-manage all permit    # 开启服务

 云配置

在浏览器上使用https协议登陆防火墙,并操作
访问网址:https://192.168.100.1:8443

防火墙G1/0/1配置子接口

防火墙关于DMZ区域的接口G1/0/0

防火墙关于游客区的接口G1/0/4 

防火墙关于ISP的接口G1/0/1

防火墙策略建立

  1.新建区域

 2.策略建立
   办公区访问DMZ

生产区访问DMZ

 游客区只能访问门户网站10.0.3.10

针对单个IP10.0.2.10的策略

创建toISP的策略
办公区访问ISP

 游客区访问ISP

整体效果:生效顺序 

NAT策略可以上网的关键

防火墙用户创建与管理 

         办公区用户与组的创建

                办公区的市场部和研发部用户

针对市场部和研发部的策略 

游客区用户和组的创建 

生产区用户与组的创建 

批量创建生产区车间1的用户(车间2,3同理)

生产区的用户策略

最终整体结构图

 设置登录

系统用户创建 

设置身份(不选系统相关权限)

新建用户身份选择刚刚建立的管理员

要先有身份再有登录用户!

以上实验密码统一为Mysql@123,实验完成

风之旅人-d4
关注
ensp防火墙
m0_63199267的博客
03-15 3677
防火墙是一种隔离(非授权用户区域间)并过滤(对受保护网络有害流量或数据包)的设备授权用户非授权用户防火墙区域区域的划分,根据安全等级来划分。
ensp 防火墙示例_ensp实战之防火墙安全转发策略
weixin_39604516的博客
12-22 1480
本次实验用防火墙是USG6000V,拓扑图如下:步骤一:按上面配好PC1、2、3以及WWW服务器的IP地址、子网掩码以及网关;步骤二:进入防火墙的CLI命令模式下,按一下命令配置:配置各个接口的IP 地址,并加入相应的安全区域。system-view[USG6000V1]int g 1/0/0[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.5.1 24...
eNSP校园网(企业网)详细拓扑完整设计及相关配置文件资源包
05-28
1.三层交换机架构,内网、外网、B校区(子公司)三个区域 2.网络划分多个vlan 3交换机之间配置trunk,两台核心交换机链路捆绑 4.在两台核心交换机上配置MSTP-VRRP(多生成树协议) 5.部分主体交换机配置了OSPF协议 6.所有用户从DHCP服务器动态获取ip地址。 7.服务器的路由器配置nat地址转换。 8.防火墙配置服务器dmz区与内网的trust区域 9.出口路由器配置nat地址转换,并且公网包含两条主副出口 10.出口路由器配置ACL策略 (有意向了解的+Q 1320210031 获取拓扑设计图片,后自行思考是否购买资源。相关毕设咨询了解。)
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 968
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
ensp-防火墙
西部壮仔的博客
05-18 5678
实验拓扑: 工作模式: ①透明网桥模式(可将防火墙当成二层交换机) ②路由模式 (可将防火墙当成三层路由器) DMZ:demilitarized zone,通常给该区域放服务器 注:优先级越高表示越信任 将接口划入区域 方向 outbound:高优先级访问低优先级 inbound:低优先级访问高优先级 注:“访问”仅指的是出包即主动发起的第一个报文,即建立会话(session)的过程。 五元组 防火墙NAT ① NAT转换:firewall 允许内网私网用户访问外网服务器 nat-policy
ensp防火墙------安全策略实验
m0_74355247的博客
07-11 584
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地址10.0.3.10。5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。1、配置IP,创建一个测试以太网,给cloud增加端口,并给防火墙配置(开启所有允许服务、修改登录密码),划分vlan。
eNSP 防火墙配置入门
man50nai的博客
09-07 1万+
由于FTP的工作方式不止一个固定端口,还有一个协商出来的随机端口,则要确保在ASPF中勾选FTP。防火墙默认它的G0/0/0口为管理口,而在模拟器中若要进入防火墙的web界面,需要额外配置。而当策略需要放行相关服务时,列如server2提供了FTP服务,则需要在策略中选中FTP。列如左边内网访问右边公网,配置时安全区域需要自己绑定到对应接口,并且新建源目地址组。在web界面中,找到 策略---->>安全策略----->>新建策略。再进入防火墙管理口,将其ip地址配置在绑定的网卡的ip地址范围。
ensp简单防火墙策略实验USG6000V
sgslwms的博客
12-14 5188
1:配置ip地址 <Huawei>sys [Huawei]sys User1 [User1]un in en [User1]int g0/0/0 [User1-GigabitEthernet0/0/0]ip add 10.1.1.1 24 <Huawei>sys [Huawei]sys User2 [User2]un in en [User2]int g0/0/0 [User2-GigabitEthernet0/0/0]ip add 192.168.1.1 24 <H..
ensp练习:防火墙安全策略配置
热门推荐
zaqzaqzaqzzz的博客
09-26 4万+
一、实验目的: 1、 了解华为防火墙安全策略。 2、 掌握华为防火墙安全策略的配置。 二、实验仪器: 计算机、华为ensp模拟器、华为防火墙 三、实验内容: 根据网络拓扑图如上(交换机不需要配置),在防火墙配置安全策略,要求: (1) 192.168.0.0/24网段可以访问server1。 (2) pc2不能访问server1。 (3) 192.168.1.0/24网段不可以ping通serv...
ensp通过防火墙做nat dns
qq_60582114的博客
10-14 3153
前言 以usg6000v为例,防火墙分为四个常见区域:trust区域(优先级85),dmz区域(优先级50),untrust区域(优先级5)和local区域(优先级100)。需要注意的是,如果需要区域间通信,则需要通过安全策略放行通信来实现,下面,我们将通过简单的拓扑使用防火墙做nat和dns…… 1.实验拓扑内网通过dhcp接口下放192.168.1.0网段,FW1的g1/0/1接口ip为10.1.1.1/24,AR1的looback口ip为1.1.1.1/32,以此类推,外网做ospf实现通信。 实验
ENSP防火墙基础配置
weixin_44372082的博客
04-16 2460
g0/0/0不可以使用,这是防火墙管理接口类似于交换机的console管理口。local本地区域 优先级:100。trust信任区域 优先级:85。防火墙默认用户名为:admin 密码:Admin@123。untrust非信任区域 优先级:5。dmz非军事化区域 优先级:50。1.允许trust区域访问untrust区域。2.允许untrust区域访问dmz区域。第一次登陆需要修改密码,密码有复杂性要求。
ENSP 防火墙USG6000V1配置学习实验
m0_57772191的博客
03-30 5210
防火墙是将网络划分为各个安全区域,并对安全区域进行策略配置,其中的安全策略和放行流量都可根据需要进行设置,本实验中没有进行特定流量过滤。状态防火墙因为具有首包创建会话功能,使得工作效率大大提升,流量进入防火墙后会查询会话表,匹配到会话表则直接处理。防火墙也具有路由和交换的功能,有的网络中可能会没有路由器而是用防火墙代替的,但是防火墙相较于路由器,在巨量流量处理和效率上能力不足。
防火墙的双机热备+带宽管理
最新发布
m0_67441173的博客
07-16 556
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分。
安全防御——二、ENSP防火墙实验学习
钟言的博客
11-04 1万+
本篇为安全防御——二、防火墙的基本概念以及配置,Web界面的配置,使用,详细内容包含了:防火墙接口以及模式配置 1、untrust区域 2、trust区域 3、DMZ区域 4、接口对演示 防火墙策略 1、定义与原理 2、防火墙策略配置 2.1 安全策略工作流程 2.2 查询和创建会话3.实验策略配置 3.1 trust-to-untrust 3.2 trust-to-dmz 3.3 untrust-to-dmz 、防火墙区域等等
ensp防火墙实验
CvtNhso的博客
07-11 1260
目的地址可以直接填写DMZ区的IP地址,也可以新建地址都行,用户这里先不写,后面在进行修改,服务这里因为是服务器区,所以我们要勾选我们需要的服务,不需要的我们就不勾选,默认这边就访问了其他的服务,时间段这里新建时间段,选我们工作期间的时间,动作选允许,之后选确定。5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户用户统一密码openlab123,首次。账号国企时间在创建用户时设置,在用户属性选项中,要求设置为10天,不允许多人使用,
华为eNSP实验-防火墙模拟配置(采用ping命令逐步分析)
weixin_42536940的博客
07-14 1万+
eNSP模拟实现防火墙配置,采用ping来逐步分析命令的作用
ensp配置防火墙安全策略
03-26
ensp中配置防火墙安全策略可以帮助保护网络的安全,防止未经授权的访问和攻击。 在ensp中配置防火墙安全策略的步骤如下: 1. 登录ensp,并选择需要配置防火墙的设备。 2. 进入设备的配置界面,找到防火墙相关的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值