防火墙安全策略实验(eNSP)

最新推荐文章于 2025-04-03 19:43:36 发布
最新推荐文章于 2025-04-03 19:43:36 发布
阅读量1.1k 收藏 25
点赞数 21
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lkjh1112/article/details/145430522
版权

一、实验拓扑

二、实验需求

1、VLAN 2属于办公区;VLAN 3属于生产区

2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访OA Server,其他时间不允许

3、办公区PC可以在任意时刻访问Web server

4、生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server

5、特例:生产区PC3可以在每周一早10到早11访问WebServer,用来更新企业最新产品信息

三、需求分析

1、对trust区域进行valn划分

2、对办公区进行防火墙策略配置(工作日访问OA Server,任意时间访问Web server)

3、生产区在任意时间访问OA Server,限制其访问Web Server(PC3可以在每周一10~11点访问Web Server)

注意:由于PC3需要在限制访问Web Server的情况下访问Web Server,因此要将放行PC3的策略进行前移。(这是因为防火墙匹配策略是顺序匹配,如果不将放行PC3的策略前移,则防火墙永远也不会匹配到放行PC3的这条策略,实验需求就无法实现)

四、实验环境配置(配置vlan、Cloud、IP和防火墙)

1、配置valn

LSW2:

[LSW2] vlan batch 2 3

[LSW2] interface GigabitEthernet 0/0/2
[LSW2-GigabitEthernet0/0/2] port link-type access
[LSW2-GigabitEthernet0/0/2] port default vlan 2

[LSW2] interface GigabitEthernet 0/0/3
[LSW2-GigabitEthernet0/0/3] port link-type access
[LSW2-GigabitEthernet0/0/3] port default vlan 3
[LSW2] interface GigabitEthernet 0/0/4
[LSW2-GigabitEthernet0/0/4] port link-type access
[LSW2-GigabitEthernet0/0/4] port default vlan 3
[LSW2] interface g0/0/1
[LSW2-GigabitEthernet0/0/1] port link-type trunk
[LSW2-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 to 3

2、配置IP

OA Server:

Web Server:

pc1:

pc2:

pc3:

3、配置Cloud

Cloud2:

4、配置防火墙(FW1)

在eNSP中防火墙的默认账号是:admin     密码是:Admin@123

登陆后将密码修改为admin@123 ,并打开防火墙接口的流量限制:

[FW1]interface g0/0/0

[FW1-GigabitEthernet0/0/0]service-manage all permit

配置GE1/0/0接口为dmz区域,GE1/0/1的两个子接口为trust区域

还需要配置防火墙子接口:

进入web界面进行配置:

登陆后点击网络,点击新建

在GE1/0/1接口新建两个子接口分别是GE1/0/1.1,GE1/0/1.2

五、测试环境

1、PC1----PC2

2、PC1----PC3

3、PC2----PC3

六、配置策略

1、由于PC3的特殊性所以先配置放行PC3流量的策略

进入web界面后先点击策略,再点击新建安全策略。

配置名称和描述以及源安全区域和目的安全区域

接下来配置源地址和目标地址,点击输入框选择新建

输入名称和地址或地址范围

点击确定即可创建,按照以上方法,将本次实验要用到的地址在此一并创建。如下图所示:

这里选择PC3,目的地址为Web_server

接下来选择时间段

新建时间段

确定后填写名称

选择时间段

完成后点击确定即可创建完成

由于测试时间不在策略生效时间内所以无法ping通

现在为了实验演示效果我们将策略生效时间修改为any再次进行测试

可以看到策略生效后PC3可以ping通Web_server

2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许

按照刚才的方式进行创建

使用PC1测试可以ping通OA_server

3、办公区PC可以在任意时刻访问Web server

使用PC1测试可以ping通Web_server

4、生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server

由于防火墙存在一条拒绝所有的规则,所以在这里只配置允许访问OA Server的策略

使用PC2测试可以ping通OA_server但无法ping通Web_server

至此实验完成,所有实验要求均已实现。

易江寒
关注
eNSP防火墙安全策略实验
Zwb18590712636的博客
02-01 1426
【代码】eNSP防火墙安全策略实验
华为ENSP实验防火墙基础配置与安全区域配置(保姆级教程)
2301_77508242的博客
08-08 1万+
内容是使用华为USG6000V防火墙和Cloud以及AR2220路由器、交换机、客户机、PC机来搭建起网络安全拓扑图并对防火墙基础配置与安全区域配置进行具体分析配置
ensp——防火墙安全策略配置实验
热门推荐
ChenD的学习笔记
11-08 2万+
ensp——防火墙配置初体验
安全防御——二、ENSP防火墙实验学习
钟言的博客
11-04 1万+
本篇为安全防御——二、防火墙的基本概念以及配置,Web界面的配置,使用,详细内容包含了:防火墙接口以及模式配置 1、untrust区域 2、trust区域 3、DMZ区域 4、接口对演示 防火墙策略 1、定义与原理 2、防火墙策略配置 2.1 安全策略工作流程 2.2 查询和创建会话3.实验策略配置 3.1 trust-to-untrust 3.2 trust-to-dmz 3.3 untrust-to-dmz 、防火墙的区域等等
eNSP防火墙桥接本地电脑
UYTOC的博客
03-11 944
安装和配置虚拟网卡,以及eNSP的简单测试
ensp防火墙------安全策略实验
m0_74355247的博客
07-11 1740
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地址10.0.3.10。5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。1、配置IP,创建一个测试以太网,给cloud增加端口,并给防火墙配置(开启所有允许服务、修改登录密码),划分vlan。
eNSP实验——防火墙配置(Zone 区域配置 + 安全策略配置
最新发布
记录
04-03 2785
防火墙(Firewall)是一种网络安全设备(硬件或软件),用于监控和控制进出网络的流量,基于预定义的安全规则允许或阻止数据包的传输。其主要目的是在可信网络(内网)和不可信网络(外网)之间建立安全屏障,防止未授权访问、恶意攻击和数据泄露。防火墙既可以是二层设备,也可以是三层设备,具体取决于其工作模式和部署场景。特性三层防火墙二层防火墙工作层级网络层(Layer 3)数据链路层(Layer 2)IP地址需求需要配置IP地址和路由无需IP地址,透明转发部署影响需调整路由表对网络拓扑无影响过滤依据。
网络安全实验-eNsp防火墙配置实验
weixin_44431612的博客
12-05 4453
通过ensp配置防火墙,通过此次实验可以学会如何使用命令行的形式去配置防火墙以及如何使用可视化界面去配置防火墙
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略
JohnnyG2000的博客
05-18 1万+
防火墙综合实验一、实验要求1. 总部需要通过VPN与分支和合作伙伴进行通信2. 分支机构(Branch)员工使用NGFW接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。3. 合作伙伴(Partner)使用NGFW接入总部。要求实训合作伙伴通过GRE隧道与总部进行通信。4. 所有的客户端可以通过公网IP地址来访问WEB服务器二、实验拓补三、实验配置1. 防火墙安全区域划分(包括Tunnel接口)2. 静态路由3. GRE配置4. IPSec VPN配置5. Easy-ip配置6. NAT S
ensp 防火墙示例_ensp实战之防火墙安全转发策略
weixin_39604516的博客
12-22 1689
本次实验防火墙是USG6000V,拓扑图如下:步骤一:按上面配好PC1、2、3以及WWW服务器的IP地址、子网掩码以及网关;步骤二:进入防火墙的CLI命令模式下,按一下命令配置配置各个接口的IP 地址,并加入相应的安全区域。system-view[USG6000V1]int g 1/0/0[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.5.1 24...
ENSP实现防火墙区域策略与用户管理
2301_80177550的博客
07-11 1276
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地址为10.0.3.10。5.生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123。4.办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证。2.生产区不允许访问互联网,办公区和游客区允许访问互联网。
ensp防火墙
m0_63199267的博客
03-15 3868
防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备授权用户非授权用户防火墙的区域:区域的划分,根据安全等级来划分。
ensp防火墙安全策略简单实验
k20190300的博客
01-26 1878
且能在防火墙看到会话表。
实验:在eNSP中使用防火墙提升网络安全性
wbd_1233的专栏
02-01 997
实验:通过防火墙实现访问控制 部署网络 启动设备,导入USG6000V防火墙的设备包文件 配置主机 4、RS-1上创建VLAN 11 、12、 100,设置SVI。 5、设置接口模式并划分到VLAN, 6、配置静态路由,访问网络192.168.66.0/24,吓一跳地址为10.0.1.1 7、RS-2上创建VLAN 13、100,设置SVI 8、设置接口模式,并划分到VLAN 9、设置静态路由,访问网络192.168.64....
ensp配置安全策略
XL5L7的博客
03-28 1万+
前言 我是在win10的虚拟机上操作的,利用ensp工具简易搭了一个网络环境 操作之前要将IP地址配置到各设备上(每台设备边上的IP就是该设备的IP,如192.168.5.2/24是pc1的IP地址) 配置思路: 配置pc机的IP 配置防火墙 设置防火墙密码 1.配置防火墙接口地址 2.通过安全区域区分受信任网络和不受信任网络 配置安全区域,把接口分配到相应的安全区域 g1/0/0 --trust g1/0/1 --untrust 查看配置结果 注意:如果要删除某个安全区域的接口,应
ensp-防火墙
西部壮仔的博客
05-18 6036
实验拓扑: 工作模式: ①透明网桥模式(可将防火墙当成二层交换机) ②路由模式 (可将防火墙当成三层路由器) DMZ:demilitarized zone,通常给该区域放服务器 注:优先级越高表示越信任 将接口划入区域 方向 outbound:高优先级访问低优先级 inbound:低优先级访问高优先级 注:“访问”仅指的是出包即主动发起的第一个报文,即建立会话(session)的过程。 五元组 防火墙NAT ① NAT转换:firewall 允许内网私网用户访问外网服务器 nat-policy
ensp 防火墙配置
11-10
以下是配置ensp防火墙的步骤: 1. 首先,需要进入防火墙的命令行界面。可以通过串口或者Telnet方式进入。 2. 进入命令行界面后,需要配置防火墙的基本信息,例如主机名、IP地址、子网掩码等。可以使用以下命令进行配置: ```shell [FW] sysname Firewall [FW] interface GigabitEthernet 0/0/0 [FW-GigabitEthernet0/0/0] ip address 192.168.1.1 24 [FW-GigabitEthernet0/0/0] quit ``` 上述命令中,sysname用于设置防火墙的主机名,interface用于进入接口配置模式,ip address用于配置接口的IP地址和子网掩码。 3. 配置防火墙安全策略安全策略用于控制数据包的流向和访问权限。可以使用以下命令进行配置: ```shell [FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet 0/0/0 [FW-zone-trust] quit [FW] firewall zone untrust [FW-zone-untrust] add interface GigabitEthernet 0/0/1 [FW-zone-untrust] quit [FW] firewall policy 1 [FW-policy-1] from zone trust [FW-policy-1] to zone untrust [FW-policy-1] permit [FW-policy-1] quit ``` 上述命令中,firewall zone用于创建安全区域,add interface用于将接口添加到安全区域中,firewall policy用于创建安全策略,from zone用于指定源安全区域,to zone用于指定目的安全区域,permit用于允许数据包通过。 4. 配置NAT。NAT用于将私有IP地址转换为公有IP地址,以便在Internet上进行通信。可以使用以下命令进行配置: ```shell [FW] nat address-group 1 202.100.1.1 202.100.1.10 [FW] interface GigabitEthernet 0/0/1 [FW-GigabitEthernet0/0/1] nat outbound 1 [FW-GigabitEthernet0/0/1] quit ``` 上述命令中,nat address-group用于创建地址组,interface用于进入接口配置模式,nat outbound用于启用NAT。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值