ensp之防火墙安全策略简单实验

最新推荐文章于 2025-04-03 19:43:36 发布
最新推荐文章于 2025-04-03 19:43:36 发布
阅读量1.8k 收藏 17
点赞数 8
文章标签: 网络 华为
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/k20190300/article/details/135860484
版权 

1.配置IP地址
int gi 1/0/0 
ip add 192.168.1.1 24

int gi 1/0/1
ip add 9.9.9.1 24


2.划分安全区域
#将用户区域划分高优先级区域
#服务器区域划分为中等优先级区域
firewall zone trust 
add interface GigabitEthernet1/0/0 #将接口加入高优先级区域

firewall zone untrust
add interface GigabitEthernet1/0/1 #将接口加入中等优先级区域


3.配置安全策略
security-policy 
rule name security #创建策略 名为security
source-zone trust  #匹配该策略的源区域
destination-zone untrust #目标区域
service http    #配置匹配该策略的端口为80
action permit   #动作为允许
#这里没配置源目IP段默认就是所有,即只要在trust 且目标是untrust 的任意ip且端口是80即可。

测试页面。

且能在防火墙看到会话表。

里见光钻
关注
安全防御——二、ENSP防火墙实验学习
heike_Ch的博客
05-25 1158
防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙
华为ENSP实验防火墙基础配置与安全区域配置(保姆级教程)
2301_77508242的博客
08-08 1万+
内容是使用华为USG6000V防火墙和Cloud以及AR2220路由器、交换机、客户机、PC机来搭建起网络安全拓扑图并对防火墙基础配置与安全区域配置进行具体分析配置等
ensp防火墙安全策略配置以及FTP服务
2301_78721676的博客
03-18 1081
防火墙的三个区域-Trust、Untrust、Dmz, Trust是最高级,可以访问Untrust和Dmz
eNSP防火墙配置实验(trust、DMZ、untrust)
chlu520的专栏
04-14 8259
FW1-policy-security-rule-shangwang]destination-zone untrust #目的区域为外网区域。[FW1-policy-security-rule-shangwang]source-zone trust #源区域为内网区域。[FW1-policy-security-rule-fwq]source-zone untrust #源区域为内网区域。[FW1-policy-security-rule-fwq]source-zone trust #源区域为内网区域。
防火墙安全策略实验eNSP
lkjh1112的博客
02-05 1175
1、VLAN 2属于办公区;VLAN 3属于生产区2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访OA Server,其他时间不允许3、办公区PC可以在任意时刻访问Web server4、生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server5、特例:生产区PC3可以在每周一早10到早11访问WebServer,用来更新企业最新产品信息。
ensp防火墙实验
CvtNhso的博客
07-11 2529
目的地址可以直接填写DMZ区的IP地址,也可以新建地址都行,用户这里先不写,后面在进行修改,服务这里因为是服务器区,所以我们要勾选我们需要的服务,不需要的我们就不勾选,默认这边就访问了其他的服务,时间段这里新建时间段,选我们工作期间的时间,动作选允许,之后选确定。5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次。账号国企时间在创建用户时设置,在用户属性选项中,要求设置为10天,不允许多人使用,
ensp防火墙------安全策略实验
m0_74355247的博客
07-11 1740
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地址10.0.3.10。5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。1、配置IP,创建一个测试以太网,给cloud增加端口,并给防火墙配置(开启所有允许服务、修改登录密码),划分vlan。
ensp——防火墙安全策略配置实验
热门推荐
ChenD的学习笔记
11-08 2万+
ensp——防火墙配置初体验
网络安全实验-eNsp防火墙配置实验
weixin_44431612的博客
12-05 4452
通过ensp去配置防火墙,通过此次实验可以学会如何使用命令行的形式去配置防火墙以及如何使用可视化界面去配置防火墙
eNSP防火墙安全策略实验
Zwb18590712636的博客
02-01 1426
【代码】eNSP防火墙安全策略实验
ENSP实现防火墙区域策略与用户管理
2301_80177550的博客
07-11 1276
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地址为10.0.3.10。5.生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123。4.办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证。2.生产区不允许访问互联网,办公区和游客区允许访问互联网。
ensp简单防火墙策略实验USG6000V
sgslwms的博客
12-14 5382
1:配置ip地址 <Huawei>sys [Huawei]sys User1 [User1]un in en [User1]int g0/0/0 [User1-GigabitEthernet0/0/0]ip add 10.1.1.1 24 <Huawei>sys [Huawei]sys User2 [User2]un in en [User2]int g0/0/0 [User2-GigabitEthernet0/0/0]ip add 192.168.1.1 24 <H..
ensp 防火墙示例_ensp实战之防火墙安全转发策略
weixin_39604516的博客
12-22 1689
本次实验防火墙是USG6000V,拓扑图如下:步骤一:按上面配好PC1、2、3以及WWW服务器的IP地址、子网掩码以及网关;步骤二:进入防火墙的CLI命令模式下,按一下命令配置:配置各个接口的IP 地址,并加入相应的安全区域。system-view[USG6000V1]int g 1/0/0[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.5.1 24...
eNSP实验——防火墙配置(Zone 区域配置 + 安全策略配置)
最新发布
记录
04-03 2780
防火墙(Firewall)是一种网络安全设备(硬件或软件),用于监控和控制进出网络的流量,基于预定义的安全规则允许或阻止数据包的传输。其主要目的是在可信网络(内网)和不可信网络(外网)之间建立安全屏障,防止未授权访问、恶意攻击和数据泄露。防火墙既可以是二层设备,也可以是三层设备,具体取决于其工作模式和部署场景。特性三层防火墙二层防火墙工作层级网络层(Layer 3)数据链路层(Layer 2)IP地址需求需要配置IP地址和路由无需IP地址,透明转发部署影响需调整路由表对网络拓扑无影响过滤依据。
ensp上配置安全策略
XL5L7的博客
03-28 1万+
前言 我是在win10的虚拟机上操作的,利用ensp工具简易搭了一个网络环境 操作之前要将IP地址配置到各设备上(每台设备边上的IP就是该设备的IP,如192.168.5.2/24是pc1的IP地址) 配置思路: 配置pc机的IP 配置防火墙 设置防火墙密码 1.配置防火墙接口地址 2.通过安全区域区分受信任网络和不受信任网络 配置安全区域,把接口分配到相应的安全区域 g1/0/0 --trust g1/0/1 --untrust 查看配置结果 注意:如果要删除某个安全区域的接口,应
ensp防火墙安全策略命令行
03-31
### ENSP防火墙安全策略配置 在ENSP环境中,可以通过命令行完成防火墙安全策略配置。以下是具体的配置方法及相关命令: #### 查看当前防火墙策略 为了了解现有的防火墙规则,可以使用以下命令来显示所有已定义的iptables规则集: ```bash iptables -L ``` 此命令能够帮助管理员确认当前生效的规则列表[^2]。 #### 清除已有规则 如果需要清空所有的现存规则以便重新设置新的规则,则可执行下面这条指令: ```bash iptables -F ``` 这一步骤对于初始化环境或者排除冲突性的旧有条目非常有用。 #### 设置基本访问控制规则 ##### 允许SSH连接 确保远程管理服务正常运行至关重要,因此通常会优先开放SSH端口(默认为22)。对应的添加允许规则操作如下所示: ```bash iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` ##### 拒绝未知来源的数据包进入服务器 除了明确指定放行的服务之外,默认情况下应该拒绝任何未被特别许可类型的通信请求。实现这一目标可通过增加一条DROP动作记录达成目的: ```bash iptables -A INPUT -m state --state NEW,INVALID -j DROP ``` 以上两条语句共同构成了一个简单却有效的防护框架基础结构。 #### 主备模式下的HRP协议启用 当涉及到高可用性场景时,在两台设备间建立心跳机制并保持状态一致性显得尤为重要。这里给出基于华为技术标准下如何激活HRP功能的例子: **主节点(FW1):** ```bash sys hrp enable hrp interface GigabitEthernet1/0/6 remote 172.16.1.253 ``` **备用节点(FW2):** ```bash sys hrp enable hrp standby-device hrp interface GigabitEthernet1/0/6 remote 172.16.1.254 ``` 上述配置实现了双机热备份的功能需求[^3]。 #### 注意事项 - 在实际部署前,请务必测试每项新增加的过滤条件是否符合预期效果。 - 对于复杂的业务逻辑可能还需要考虑更多维度的因素比如时间范围、源地址组等等。 - 如果是在虚拟化平台上做实验记得按照官方文档准备必要的依赖组件如WinPCap等工具[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值