ensp华为防火墙的简单区域划分和配置

最新推荐文章于 2025-04-03 19:43:36 发布
最新推荐文章于 2025-04-03 19:43:36 发布
阅读量9k 收藏 47
点赞数 6
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjc321506301915/article/details/115363647
版权
本文详细记录了一次实验,涉及PC和server通过USG6000V1防火墙的IP配置、安全区域设置(Trust和Untrust)、安全策略定义(允许ping流量)以及连通性测试。通过这个过程学习了防火墙的基础概念和配置技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

实验环境

在这里插入图片描述

实验思路

  • 规划并配置IP
  • 设置安全区域
  • 设置安全策略
  • 检查连通性

具体实施

规划并配置IP:

PC1:

在这里插入图片描述

server1:

在这里插入图片描述

FW1:
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]undo  shutdown
[USG6000V1-GigabitEthernet1/0/1]ip address 192.168.1.254 24 
[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]undo  shutdown
[USG6000V1-GigabitEthernet1/0/0]ip address 200.2.2.254 24 
[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit

设置安全区域:

FW1:
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface g1/0/1
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface g1/0/0

设置安全策略:

FW1:
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name t-u
[USG6000V1-policy-security-rule-t-u]source-zone trust 
[USG6000V1-policy-security-rule-t-u]destination-zone  untrust
[USG6000V1-policy-security-rule-t-u]source-address 192.168.1.0 24 
[USG6000V1-policy-security-rule-t-u]action  permit

检查连通性:

PC1 ping server:
PC>ping 200.2.2.1

Ping 200.2.2.1: 32 data bytes, Press Ctrl_C to break From 200.2.2.1: bytes=32 seq=1 ttl=254 time=15 ms From 200.2.2.1: bytes=32 seq=2 ttl=254 time=16 ms From 200.2.2.1: bytes=32 seq=3 ttl=254 time<1 ms
From 200.2.2.1: bytes=32 seq=4 ttl=254 time<1 ms From 200.2.2.1: bytes=32 seq=5 ttl=254 time=16 ms

--- 200.2.2.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received 0.00% packet loss
round-trip min/avg/max = 0/9/16 ms
server ping PC1:

在这里插入图片描述

在这里插入图片描述

实验总结

本次实验学习了防火墙的原理和配置方法。防火墙用来 保护一个网络区域免受另外一个网络区域的攻击或入侵。本次实验主要介绍了安全区域和安全策略,而安全区域和安全策略是防火墙的重要组成部分。通过安全区域来划分网络以及标识报文的流动,以接口的划分来确认不同的安全区域。其中共有三个安全区域:Untrust、DMZ和Trust以及一个表示自身的Local区域。安全策略则用来检测和控制数据包的流动。与防火墙相连的网段无法直连,且在配置防火墙时不能自动连线,因为接口g0/0/0是管理口。

南南很难
关注
华为ENSP实验之防火墙基础配置与安全区域配置(保姆级教程)
2301_77508242的博客
08-08 1万+
内容是使用华为USG6000V防火墙Cloud以及AR2220路由器、交换机、客户机、PC机来搭建起网络安全拓扑图并对防火墙基础配置与安全区域配置进行具体分析配置
华为防火墙介绍原理,配置详细解析
外游者
12-27 4352
在出向外网的流量中,我们使用默认路由来指定默认的出口,并且使用nat地址转换,而在外网中,我们使用ISIS协议来进行路由的学习更新,让外网可以访问到dmz非军事化区域的server1服务器。并进行NAT转换,实现了内部IP地址外部IP地址之间的映射,以便内部网络可以与外部网络进行通信。网络地址转换(NAT):防火墙可实现网络地址转换,将内部私有IP地址转换成公共IP地址,以隐藏网络拓扑结构,增加网络安全性。确定安全需求:根据企业的安全需求策略,确定防火墙配置目标规则。
华为ensp防火墙区域
分享的都是纯自学心得
02-18 871
华为ensp防火墙区域介绍
eNSP实验——防火墙配置(Zone 区域配置 + 安全策略配置
最新发布
记录
04-03 3671
防火墙(Firewall)是一种网络安全设备(硬件或软件),用于监控控制进出网络的流量,基于预定义的安全规则允许或阻止数据包的传输。其主要目的是在可信网络(内网)不可信网络(外网)之间建立安全屏障,防止未授权访问、恶意攻击数据泄露。防火墙既可以是二层设备,也可以是三层设备,具体取决于其工作模式部署场景。特性三层防火墙二层防火墙工作层级网络层(Layer 3)数据链路层(Layer 2)IP地址需求需要配置IP地址路由无需IP地址,透明转发部署影响需调整路由表对网络拓扑无影响过滤依据。
[eNSP]→ospf基本配置区域划分
GodFlaming的博客
06-01 2458
eNSP中,ospf的简单配置区域划分
ENSP实现防火墙区域策略与用户管理
2202_75327256的博客
07-13 777
在用户管理中创建用户组以及用户:以default根目录,创造生产区,游客区,办公区三大区域;然后将办公区分为市场部研发部两个部门,以及其对应的用户;生产区分为随意三个部门,每个部门里有对应的起码三个以上的用户。用户:题中要求研发部IP地址固定,这里选单向绑定;市场部需要用户绑定IP地址,这里选双向绑定,该IP地址只能该用户登录,其他用户想用这台主机是不行的,即为固定IP。点击创建,输入名称描述,选择正确对应接口即可(办公区生产区接口需先创建子接口)。多创建:办公区,生产区游客区三个区域
华为eNSP防火墙—安全区域
m0_49351110的博客
04-19 1584
如图所示,假设PC1属于trust区域,PC2属于untrust区域,Server1属于DMZ区域。每个不同的安全区域都有安全等级,安全等级数值越高,表示受防火墙信任程度越高。DMZ中立区域或非军事化区域,一般是企业内部服务器所在区域。Trust信任区域,一般是企业内部部门所在区域。Untrust非信任区域,一般针对外部网络*②这里也附上,自定义安全区域配置格式。local本地区域,属于防火墙本身。其他自定义区域,可以自定义安全等级。当然除此之外,还可以自定义区域。Trust区域安全等级85。
基于eNSP工具划分多个OSPF区域
rv0p111
07-11 6239
OSPF支持将一组网段组合在一起,这样的一个组合称为一个区域划分OSPF区域可以缩小路由器的LSDB规模,减少网络流量。区域内的详细拓扑信息不向其他区域发送,区域间传递的是抽象的路由信息,而不是详细的描述拓扑结构的链路状态信息。每个区域都有自己的LSDB,不同区域的LSDB是不同的。路由器会为每一个自己所连接到的区域维护一个单独的LSDB。由于详细链路状态信息不会被发布到区域以外,因此LS...
华为防火墙双机热备案例(基于eNSP防火墙实验)
weixin_50571749的博客
06-21 2451
华为防火墙双机热备的详细配置案例
ensp防火墙实验
CvtNhso的博客
07-11 2551
目的地址可以直接填写DMZ区的IP地址,也可以新建地址都行,用户这里先不写,后面在进行修改,服务这里因为是服务器区,所以我们要勾选我们需要的服务,不需要的我们就不勾选,默认这边就访问了其他的服务,时间段这里新建时间段,选我们工作期间的时间,动作选允许,之后选确定。5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次。账号国企时间在创建用户时设置,在用户属性选项中,要求设置为10天,不允许多人使用,
防御(1)-ensp华为防火墙USG6000V1(1)
vt_yjx的博客
01-22 1579
1.只能用6000那个防火墙2.初始用户名密码:admin/ADMIN@1233.开启所有服务4.与电脑联通:添加个云,然后增加1个udp并绑定创建的环回网卡4.5.让云可以连接:端口映射错开,设置一个125.浏览器登录ip+8443端口。
华为ensp防火墙对网络划分实验
weixin_52912703的博客
07-04 1919
在写这篇文章前,先说明下,我是江西现代职业技术学院的学生,过了暑假就大二了,非常感谢学校的栽培,这是实训中的一个实验,刘老师讲的很细致,在完成过程中刘老师也给了很大的帮助(本人还没电脑,完成过程也很感谢同班的同学)。 刚开始学这个专业(云计算),还是有所了解的,但这个专业很特别,没有很多专门的考证,接触时其实还是学的很模糊的。所以这篇文章也是为了加强自身的一点点感悟,希望看到的C站朋友们也能有所了解,往来无白丁。 华为ensp是云计算初级考证(南京五十五所)的第二章。本次实验并不是一味地追求全网通,而是能根
安全防御——二、ENSP防火墙实验学习
热门推荐
钟言的博客
11-04 1万+
本篇为安全防御——二、防火墙的基本概念以及配置,Web界面的配置,使用,详细内容包含了:防火墙接口以及模式配置 1、untrust区域 2、trust区域 3、DMZ区域 4、接口对演示 防火墙的策略 1、定义与原理 2、防火墙策略配置 2.1 安全策略工作流程 2.2 查询创建会话3.实验策略配置 3.1 trust-to-untrust 3.2 trust-to-dmz 3.3 untrust-to-dmz 、防火墙区域等等
华为ensp OSPF单区域配置
一个懒鬼的博客
08-06 9489
OSPF的概述 OSPF(开放式最短路径优先),是我们常见的动态路由之一,也是应用比较广泛的一种路由协议。 OSPF分为骨干区域非骨干区域 (area 0 为骨干区域 ,area 1 2 3 为非骨干区域) 注:处于两个区域的路由设备我们称作:边界路由器 ABR OSPF是一种基于链路状态的路由协议,链路状态时通过LSA来进行通告给网络中的其他路由器 OSPF中消息中的报文分为: 1.Hello报文:路由器路由器打招呼用的 2.DD报文:数据库描述,告诉对方当前设备存在哪一些链路信息 3.LSR报
ensp防火墙
m0_63199267的博客
03-15 3876
防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备授权用户非授权用户防火墙区域区域划分,根据安全等级来划分
eNSP
twcc_come的博客
12-24 753
当黑洞缺省相遇时,必然产生环路。1、底层IP地址的配置
使用eNSP配置OSPF多区域实验
滿浚的博客
04-20 3725
172.16.0.0/19 - 172.16.32.0/19 - 172.16.64.0/19 - 172.16.96.0/19 - 172.16.128.0/19 - 172.16.160.0/19 - 172.16.192.0/19 - 172.16.224.0/19 ------- 这8各网点选出6个作为私网网段其余两个作为备份网段。R3 - R4之间划分的共有网段为 --- 34.0.0.0/24。R4 - R5之间划分的共有网段为 --- 45.0.0.0/24。
华为防火墙-安全区域与安全策略基础
AZK707的博客
03-30 4194
一、实验过程 1.使用eNSP拓扑图搭建以下拓扑图,并按如下要求规划IP地址 2.主机IP地址配置(IP地址、子网掩码网关) 3.防火墙接口配置 配置IP地址 将接口加入到安全区域 查看安全区域 4.测试网络的连通性 PC1上ping PC2 PC1上ping PC3 Note:默认情况下,报文在不同的安全区域之间流动时受到控制,报文在同一个安全区域内流动时不受控制。 PC1 ping PC2通 PC1 ping PC3不通 PC2 ping PC3不通 ..
华为eNSP防火墙配置
02-21
### 华为eNSP防火墙配置指南 #### 1. 基础环境搭建 为了在华为eNSP模拟器中进行防火墙配置,需先建立基础网络拓扑结构。通常情况下,这涉及到创建至少两个路由器或交换机以及一台或多台PC终端来模拟内外网环境。 #### 2. 防火墙模块安装与初始化设置 启动所需设备后,在目标路由器上加载防火墙软件包,并完成初始向导式的简单设定过程,比如定义主机名、登录密码等基本信息[^1]。 #### 3. 安全区域划分 通过命令行界面CLI进入安全策略视图下,利用`firewall zone`指令新增自定义的安全区段,如Trust(信任)、Untrust(不信任),并将相应的物理端口分配给这些逻辑分区: ```shell [Huawei] firewall zone trust [Huawei-zone-trust] add interface GigabitEthernet 0/0/1 ``` 上述例子表示将GigabitEthernet 0/0/1接口划入到名为“trust”的区域内[^2]。 #### 4. 访问控制列表ACL的应用 针对不同方向的数据流制定过滤规则,即所谓的访问控制列表(Access Control List, ACL),用于精确管控进出流量的行为模式。例如允许特定IP地址范围内的计算机访问内部资源的同时阻止其他外部请求: ```shell [Huawei] acl number 3000 [Huawei-acl-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination any [Huawei-adv-3000] quit [Huawei] interface gigabitethernet 0/0/2 [Huawei-GigabitEthernet0/0/2] traffic-filter inbound acl 3000 ``` 此段脚本实现了仅放行来自192.168.1.x子网内机器发起的所有类型的连接尝试,而拒绝其余未授权源点发出的信息传递活动[^3]。 #### 5. NAT转换机制部署 对于希望隐藏真实局域网布局或者实现多对一映射场景而言,启用Network Address Translation (NAT) 功能至关重要。下面给出了一种典型应用场景下的参数调整方式——动态PAT(port address translation): ```shell [Huawei]interface g0/0/2 [Huawei-GigabitEthernet0/0/2]nat outbound 2000 [Huawei]interface loopback 0 [Huawei-LoopBack0]ip address 1.1.1.1 255.255.255.255 [Huawei]acl number 2000 [Huawei-2000]rule permit source 172.16.0.0 0.0.255.255 ``` 这里假设外网出口位于g0/0/2接口处,则该组语句的作用就是让所有源自私有IPv4区间(172.16.0.0~172.16.255.255) 的报文经过此处时自动替换掉原有的源地址字段值成为公网可见形式再向外转发出去[^4]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值