USG如何创建新的安全域【转载】

已于 2023-03-15 15:04:03 修改
阅读量415 收藏
点赞数
文章标签: 网络 linux 安全
于 2023-03-03 17:16:25 首次发布
原文链接:https://forum.huawei.com/enterprise/zh/thread/580888826434437120
版权

创建安全区域并将接口加入安全区域

系统缺省已经创建了几个安全区域。但是如果用户还需要划分更多的安全等级,可以自行创建新的安全区域并定义其安全等级。安全区域创建完成后,还需要将相应接口加入安全区域。之后,从该接口接收的或发送出去的报文才会被认为是属于该安全区域。否则接口默认不属于任何安全区域,将不能通过该接口与其他安全区域通信。

背景信息

创建安全区域后,必须指定优先级,否则不能进行其他配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令firewall zone [ vpn-instance vpn-instance-name ] [ name ] zone-name,创建安全区域,并进入安全区域视图。

    此处用到的VPN实例必须已创建。

    根据以zone-name为名的安全区域是否已经在系统中存在,有如下两种情况:

    • 安全区域已经存在

      不必配置关键字name,执行该命令后将直接进入安全区域视图。

    • 安全区域不存在

      需要配置关键字name,以创建该安全区域,并进入安全区域视图。

    创建安全区域时,需要遵循如下原则:

    • 系统缺省安全区域无需创建,也不能删除。

    • 不同VPN实例支持的安全区域数不同。

      • USG5500:公网VPN实例最多支持32个安全区域,包括4个保留安全区域和28个自定义安全区域;其他VPN实例最多支持8个安全区域,包括4个保留区域和4个自定义安全区域。
      • USG2110-X/2100/2200/5100和USG2100/2200/5100 BSR/HSR:公网VPN实例最多支持16个安全区域,包括4个保留安全区域和12个自定义安全区域;其他VPN实例最多支持8个安全区域,包括4个保留区域和4个自定义安全区域。

  3. 执行命令set priority security-priority,配置安全区域的优先级。

    配置安全区域的安全级别时,需要遵循如下原则:

    • 只能为自定义的安全区域设定安全级别。对于新建的安全区域,未设定其安全级别前,该安全区域不可使用。
    • 安全级别一旦设定,不允许更改。
    • 同一VPN实例中,两个安全区域不允许配置相同的安全级别。

  4. 执行命令add interface interface-type interface-number,将接口加入安全区域。

    将接口加入安全区域时,需要遵循如下原则:

    • 除Local安全区域外,使用其他所有安全区域前,均需手工将接口加入安全区域。
    • 加入安全区域的接口可以是物理接口,也可以是逻辑接口。
    • 加入一个安全区域的接口数不大于1024。

  5. 可选:执行命令description text,配置安全区域的描述信息。

    描述信息虽然不是配置安全区域的必选操作,但是合适的描述信息将会非常有助于管理员理解系统配置并进行设备维护。

任务示例

本例将创建一个名为newzone1的新安全区域,代表管理员主机所在安全区域。由于管理员PC都比较安全,所以将该区域的安全级别定为90。设备与管理员相连所用的接口是GigabitEthernet 0/0/4,所以需要将该接口加入newzone1区域。

<sysname> system-view       
[sysname] firewall zone name newzone1   
[sysname-zone-newzone1] set priority 90
[sysname-zone-newzone1] description The zone connected to Administrator
[sysname-zone-newzone1] add interface GigabitEthernet 0/0/4

后续处理

通过执行display zone命令可以查看当前系统已经存在的安全区域及其配置信息。例如在完成上述举例后,查看信息如下。

[sysname] display zone      
local           
 priority is 100
#   
trust           
 priority is 85 
 interface of the zone is (0):  
#   
untrust         
 priority is 5  
 interface of the zone is (0):  
#   
dmz 
 priority is 50 
 interface of the zone is (0):  
#   
newzone1        
 description The zone connected to Administrator
 priority is 90 
 interface of the zone is (1):  
     GigabitEthernet0/0/4        

#

从上例中可以看出,当前系统存在5个安全区域。用户新建的安全区域newzone1是用来连接管理员设备,其安全级别是90。当前只有GigabitEthernet 0/0/4这一个接口属于该安全区域。

九州长风
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java反向查找dns_DNS 正向查找与反向查找
weixin_36265980的博客
02-24 546
所谓正向查找,就是说在这个区里的记录可以依据名称来查找对应的IP地址。反向查找就是在这个区里的记录可以依据IP地址来查找对应的记录名称。下面介绍如何在DNS中创建一个正向查找记录与反向查找记录,使用的环境是Windows Server 2012,但在Win 2008 与 Win 2008 R2中,都是一样的过程。(一) 打开DNS你可以从Server Manager –> Tools –...
华为防火墙安全介绍及配置
lzs
04-25 1万+
安全介绍 防火墙通俗讲是用于控网络之间的隔离,专业讲是用于保护一个安全免受另外 一个安全网络***和入击行为。从防火墙的定义中可以看出防火墙是基于安 全区的,其它厂商(Cisco,Juniper 等)都是有这个概念的。 什么是安全呢? 安全(Security Zone),也称为区(Zone),是一个逻辑概念,用于管理 防火墙设备上安全需求相同的多个接口,也就是说它是一个或多个接口的集合。 管理员将安全需求相同的接口进行分类,并划分到不同的安全,能够实现安全策 略的统一管理。 讲
usg防火墙安全策略配置
u010674101的专栏
05-30 1980
总体来说,该规则可以实现对特定源地址和目标地址的访问限制,避免未授权的用户或主机访问生产环境中的 Pulsar 系统,保障系统的安全性和稳定性。需要注意的是,该规则仅作为安全策略中的一部分,应该结合其他规则和安全措施进行综合考虑和管理。: 表示目标地址为名集合“生产pulsar组”,即限制访问生产 Pulsar 系统中使用的一组名。:表示对该规则进行了简要描述,说明该规则的作用是限制办公网络访问生产环境的 Pulsar 系统。:表示本规则匹配的数据流来自于名为“trust”的安全
eNSP配置防火墙有两大步骤
qq_56725073的博客
02-21 3695
ensp配置防火墙简单过程
#华为 #usg 华为防火墙安全的概念
jiuyou91的博客
11-09 3354
#华为 #usg 华为防火墙安全的概念
发电脑的自我修养 之 华为USG6500系列-- 1.配置安全策略
xueHui
07-05 9693
安全策略来实现防火墙的控制报文转发功能。安全策略的作用就是对防火墙的流量进行安检,安全策略允许的流量才能通过。 配置安全策略: 在web浏览器上访问 httpps://192.168.0.1:8443 登陆界面,用户名是:admin,密码:Admin@123,首次登陆需要按提示修改密码 然后根据相应的提示来操作即可 进入页面之后,单击策略选项–&amp;amp;gt;安全策略后,可以看到一个名称为defau...
DNS 正向查找与反向查找
weixin_30475039的博客
01-16 578
所谓正向查找,就是说在这个区里的记录可以依据名称来查找对应的IP地址。反向查找就是在这个区里的记录可以依据IP地址来查找对应的记录名称。 下面介绍如何在DNS中创建一个正向查找记录与反向查找记录,使用的环境是Windows Server 2012,但在Win 2008 与 Win 2008 R2中,都是一样的过程。 (一) 打开DNS 你可以从Server Manager –&gt...
USG3000 统一安全网关
10-22
USG3000 统一安全网关,很难找的,很有用。
华为USG6650最升级固件
05-31
华为USG6650最升级固件 USG6000V500R005C20SPC500.bin
华为安全网关 HUAWEI USG6000E 手册.zip
04-14
华为USG6000E安全网关的使用手册,讲解很详细
华为USG6350升级最V500系统版本过度包.rar
最新发布
01-27
华为USG6350低版本V100升级V500R005C20SPC500最版本过渡包 1.USG6300V500R001C30SPC100.bin 2.USG6000V500R005C20SPC500.bin 3.HUAWEI USG6000, USG9500, NGFW Module V500R005C20SPC500 升级指导书.docx 4.安装前...
华为 USG5300 统一安全网关产品文档
09-14
(For_Customer)Secospace_USG5300&5500_统一安全网关_产品文档-(V200R001C00SPC700)-CN
华为USG防火墙配置命令
weixin_43465752的博客
09-17 1万+
华为USG防火墙配置命令
华为USG防火墙区配置
weixin_34236497的博客
07-06 2283
USG防火墙区配置学习目的掌握防火墙安全的配置方法掌握对安全的参数配置掌握在区之间进行包过滤的方法拓扑图 场景 你是公司网络管理员。公司总部的网络分成了三个区,包括内部区(Trust)外部区(Untrust)和服务器区(DMZ)。现在设计通过防火墙来实现对数据的控制。在交换机上将G0/0/1与G0/0/21接口定义到vlan...
防火墙安全
是江涛呀的博客
03-27 4599
防火墙的安全 安全是一个或几个接口的集合,对流量的检测是基于安全的而非接口 防火墙的默认模式如上图所示 创建的区的命令是[USG6000V1]firewall zone name 123 查看创建的区 发现已经建立了安全123 安全配置 firewall zone trust //进入安全 set priority 85 //设置安全优先级 add interface GigabitEthernet0/0/0 add interface Gigab
华为防火墙USG6000登录WEB页面设置安全
qq_51444009的博客
07-03 4216
实验要求: 1:trust ping untrust 2: trust ping dmz 3: untrust ping dmz 4: 防火墙访问所有区 配置R1和R2路由器IP地址 R1: interface Ethernet0/0/0 ip address 10.0.0.2 255.255.255.0 R2: interface Ethernet0/0/0 ip address 172.16.0.2 255.255.255.0 服务器设置 重点:服务器网关一定要与连接防火墙的接口IP地址相同,不然..
华为usg6000配置手册_带你了解防火墙安全的作用及简单的配置,小白不要错过了...
weixin_39611413的博客
12-08 1万+
上一篇文章《防火墙入门基础之登录Web配置界面》已经简单的介绍了关于华为防火墙的如何配置Web登录,也开始接触了关于防火墙安全的基本概念。其实防火墙安全是一个非常重要的概念,简称为区(Zone)。安全是一个或多个接口的集合,是防火墙区别于路由器的主要特征。防火墙默认情况下为我们提供了三个安全,分别是Trust、DMZ和Untrust。Trust区,该区网络的受信任程度高,通...
HCIP-H12-222单选题库(3)
热门推荐
清冷猫
05-14 1万+
201、SDH传送网中的硬件检测机制,可以很快发现故障,且适用于所有介质? A.正确B.错误 【正确答案】B 【答案解析】故障检测中的硬件检测特点是能够很快发现故障,但是并不适用于所有的传输介质。所以题目中的描述是错误的。 202、端到端时延等于路径上所有处理时延与队列时延之和。 A.正确B.错误 【正确答案】B 【答案解析】时延是指一个报文从一个网络的一端传送到另一端所需要的时间。单个网络设备的时延包括传输时延、串行化时延、处理时延、以及队列时延。所以题目中的描述是错误的。 203、不同虚拟机...
安全设备-防火墙
qq_40521068的博客
10-31 751
防火墙起源于建筑领,用来隔离火灾的,阻断火势从一个区蔓延到另一个区。引入到通讯领中,用通讯的语言来定义,防火墙主要用于保护一个网络免受来自另外一个网络网络攻击和网络入侵行为。因其隔离、防守的属性,灵活的用于网络的边界、子网隔离等位置。具体的如企业网络的出口、大型网络内部子网隔离、 数据中心边界等等。
USG6000v安全策略配置
09-20
USG6000v的安全策略配置可以通过以下步骤实现: 1. 首先,你可以使用默认的安全(local、trust、dmz、untrust),它们的安全级别分别为100、85、50、5。当然,你也可以自己手动创建安全并定义安全等级。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值