关于防火墙旁挂的问题

最新推荐文章于 2024-03-13 09:03:46 发布
最新推荐文章于 2024-03-13 09:03:46 发布
阅读量9.1k 收藏 28
点赞数 8
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luoyunjie123456789/article/details/86013253
版权

实验拓扑:
在这里插入图片描述实验环境:
PC1: IP:192.168.1.1 网关地址:192.168.1.254
PC2: IP:192.168.2.2 网关地址:192.168.2.254
R1: G0/0/0:192.168.1.254 G0/0/1:192.168.2.254 g0/0/2:12.1.1.1 g4/0/0::13.1.1.1
FW3:g0/0/0:12.1.1.2 g0/0/1:13.1.1.2
PC1-R1-FW3为外网untrust区域,PC2-R1-FW3为内网trust区域.

实验目的:PC2访问PC1去向数据不经过防火墙,回向数据经过防火墙.

实验过程:
1.测试网络连通性.

2.在R1定义策略路由,定义R2-R1的数据.
acl number 2000
rule 5 permit source 192.168.1.1 0

traffic classifier c1-c2 operator or
if-match acl 2000

traffic behavior c1-c2
redirect ip-nexthop 12.1.1.2

traffic policy 1
classifier c1-c2 behavior c1-c2

interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0

3.配置防火墙区域:

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/1

firewall zone untrust
set priority 5

在G0/0/0处抓包发现有Reply报文回送:
在这里插入图片描述
但在G0/0/1口抓包无报文.

4.进行问题解决:
①.可能FW1没有到达PC2的路由,解决:手工写一条静态路由:

ip route-static 192.168.2.0 255.255.255.0 GigabitEthernet0/0/1 13.1.1.1
还是不通。
②.可能原因:防火墙没有定义允许通过的路由:进行定义:

policy interzone trust untrust inbound
policy 1
action permit
policy source 192.168.1.0 mask 24
还是不通
③.可能原因:防火墙默认不允许协议非首包通过,解决:关闭这个机制:
undo firewall session link-state check tcp
undo firewall session link-state check
发现ICMP的Reply报文顺利回送
在FW3的G0/0/1口抓包:
在这里插入图片描述

LYJ~
关注
  • 8
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
企业园区出口部署案例(防火墙旁挂方案).pdf
03-17
企业园区出口部署案例(防火墙旁挂方案).pdf
防火墙旁挂与虚拟系统实验
04-17
防火墙旁挂与虚拟系统实验
防火墙旁挂新型引流方案
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
03-13 1042
核心设备创建多VPN实例隔离不同通信域,在防火墙完成不同VRF路由交叉,完成引流。
使用iptable和Firewalld工具来管理Linux防火墙连接规则
09-15
今天小编就为大家分享一篇关于使用iptable和Firewalld工具来管理Linux防火墙连接规则的文章,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
F5负载均衡的直连和旁路配置模式解析
weixin_33725126的博客
09-20 1641
F5有两种常见的接入方式就是直连和旁路,在具体的环境下如何选择接入配置模式,先让我们对这两种模式有一个认识和了解。 首先看两种模式的结构。 1、直连模式结构   结构说明:图中Bigip为F5负载均衡设备,bigip上面使用公开的ip地址,bigip下面同负载均衡的服务器使用不公开的ip地址。但对外提供服务则使用公开的ip。 2、旁路模式结构 结构说明:图中Bigip为F5负载...
华为路由器旁挂组网用vpn-instance实例上网配置案例
11-26 1895
华为路由器旁挂组网用vpn-instance实例上网配置案例
终端安全技术
YT的博客
01-15 9048
终端安全概述 什么是终端安全 终端安全,是采用立体防御理念形成体系化产品与解决方案。它体现了立体架构和主动防御思想,并通过PDCA模型(P规划方案、D实施维护、C检查评估、A处理整改)来持续提升企业终端的安全能力。终端安全立体防御体系,即通过准入控制来识别终端用户身份,以决定是否允许其接入;桌面管理是通过制定相应安全策略来保障终端桌面的安全;安全管理是通过制定适合企业业务运营要求的安全管理,来确保...
WLAN组网介绍
热门推荐
曹世宏的博客
05-18 1万+
WLAN组网方式介绍 胖AP设备的典型组网: 家庭网络组网模式: 图:家庭或SOHO网络的组网模式 在家庭或者SOHO中,由于所需要的无线覆盖范围小,一般采用胖AP组网。而胖AP可以不仅实现无线覆盖的要求,还可以同时作为路由器,实现对有线网络的路由转发。 企业网络组网模式: 图:企业网络的组网模式 在企业网络或者其他大型场所中,所需要的无线覆盖范围比较大,若采用胖AP组网...
AC旁挂组网
qq_45555427的博客
06-10 4475
设备清单: 1、AR2240C--出局 2、S5720-28TP-PWR-LI-AC--接入交换机 3、AC6507S——wu'xiang
HCIE-Security Day17:防火墙双机热备实验(五):防火墙旁挂交换机,交换机静态路由引流
小梁的博客
02-19 1万+
双机热备比较常见的是旁挂部署在数据中心核心交换机上,且两台防火墙之间形成双机热备。 目录 旁挂组网的优点 实验五:防火墙旁挂交换机,交换机静态路由引流 需求和拓扑 操作步骤 1、公网部分 2、防火墙部分 3、核心交换部分 4、汇聚交换部分 5、接入交换部分 验证和分析 旁挂组网的优点 1、可以在不改变现有网络物理拓扑的情况下,将防火墙部署到网络中。 2、可以有选择低将通过核心交换机的流量引导到防火墙上,即对需要进行安全检测的流量引导到防火墙上进行处理,对不需要进行...
旁挂防火墙(USG6000V)实验
weixin_72910567的博客
06-09 2000
本实验通过配置旁挂防火墙,实现了内网用户访问外网的安全过滤功能。通过配置策略路由,将内网用户访问外网的流量(回包)重定向到防火墙上,使流量经过防火墙的安全检测后再返回交换机。通过配置DHCP服务,为内网用户分配IP地址。通过配置安全策略,控制不同区域之间的流量访问权限。本实验加深了对旁挂防火墙的理解和应用,提高了网络安全性。
旁挂设备通过策略路由引流
03-08
防火墙、waf等设备旁挂。通过策略路由引流,实现安全设备对流量的安全控制与监测。
H3C防火墙典型配置案例
08-05
H3C防火墙典型配置案例 H3C防火墙典型配置案例 H3C防火墙典型配置案例
全面解析防火墙基本分类以及优缺点综述
10-25
网络安全成为当今最热门的话题之一,很多企业为了保障自身服务器或数据安全都采用了防火墙。随着科技的发展,防火墙也逐渐被大众所接受。但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。而...
JavaScript介绍.zip
最新发布
04-23
javascript,JavaScript 最初由 Netscape 公司的 Brendan Eich 在 1995 年开发,用于 Netscape Navigator 浏览器。随着时间的推移,JavaScript 成为了网页开发中不可或缺的一部分,并且其应用范围已经远远超出了浏览器,成为了全栈开发的重要工具。
上位机开发罗克韦尔abcip通信协议详解
04-23
上位机开发罗克韦尔abcip通信协议详解 1.注册会话命令详解 6500 0400 00000000 00000000 0000000000000000 00000000 0100 0000 响应 6500 0400 05000400 00000000 0000000000000000 00000000 0100 0000 6500:注册请求命令 0400:服务长度(0100 0000) 00000000:会话句柄 (由PLC生成) 00000000:状态默认 0000000000000000:发送方描述,默认0 00000000:选项,默认0 0100:协议版本,默认1 0000:选项标记,默认0
Microsoft SPY++ 工具及使用教程
04-23
Spy++ (SPYXX.EXE) 是一个基于 Win32 的实用工具,提供系统进程、线程、窗口和窗口消息的图形视图。 Spy++ 有两个版本。 第一个版本,名为 Spy++ (spyxx.exe),用于显示发送到在 32 位进程中运行的窗口的消息。 例如,在 32 位进程中运行的 Visual Studio。 因此,可以使用 Spy++ 来显示发送到“解决方案资源管理器” 中的消息。 由于 Visual Studio 中大多数生成的默认配置都是在 32 位进程中运行的,因此如果已安装所需组件,则第一个版本的 Spy++ 就是在 Visual Studio 中的“工具”菜单上可用的那一个。 第二个版本,名为 Spy++(64 位)(spyxx_amd64.exe),用于显示发送到在 64 位进程中运行的窗口的消息。 例如,在 64 位操作系统上,记事本在 64 位进程中运行。 因此,可以使用 Spy++(64 位)来显示发送到记事本的消息。 详细的使用说明请见:https://blog.csdn.net/huang1600301017/article/details/138137
js导出excel封装【原生、配置式】 示例
04-23
导出excel示例
HTML2-iOs-App模板官网落地页APP主页产品宣传页源码 landing静态页面.zip
04-23
HTML2-iOs-App模板官网落地页APP主页产品宣传页源码 landing静态页面
防火墙旁挂和直连区别
02-29
防火墙旁挂和直连是两种不同的网络部署方式,它们的主要区别在于网络流量的处理方式和安全性。 1. 防火墙旁挂(Firewall Sandwich):防火墙旁挂是指将防火墙放置在网络中的两个子网之间,作为两个子网之间的中间...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值