关于防火墙旁挂的问题

最新推荐文章于 2024-09-20 17:32:59 发布
最新推荐文章于 2024-09-20 17:32:59 发布
阅读量9.3k 收藏 29
点赞数 8
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luoyunjie123456789/article/details/86013253
版权

实验拓扑:
在这里插入图片描述实验环境:
PC1: IP:192.168.1.1 网关地址:192.168.1.254
PC2: IP:192.168.2.2 网关地址:192.168.2.254
R1: G0/0/0:192.168.1.254 G0/0/1:192.168.2.254 g0/0/2:12.1.1.1 g4/0/0::13.1.1.1
FW3:g0/0/0:12.1.1.2 g0/0/1:13.1.1.2
PC1-R1-FW3为外网untrust区域,PC2-R1-FW3为内网trust区域.

实验目的:PC2访问PC1去向数据不经过防火墙,回向数据经过防火墙.

实验过程:
1.测试网络连通性.

2.在R1定义策略路由,定义R2-R1的数据.
acl number 2000
rule 5 permit source 192.168.1.1 0

traffic classifier c1-c2 operator or
if-match acl 2000

traffic behavior c1-c2
redirect ip-nexthop 12.1.1.2

traffic policy 1
classifier c1-c2 behavior c1-c2

interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0

3.配置防火墙区域:

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/1

firewall zone untrust
set priority 5

在G0/0/0处抓包发现有Reply报文回送:
在这里插入图片描述
但在G0/0/1口抓包无报文.

4.进行问题解决:
①.可能FW1没有到达PC2的路由,解决:手工写一条静态路由:

ip route-static 192.168.2.0 255.255.255.0 GigabitEthernet0/0/1 13.1.1.1
还是不通。
②.可能原因:防火墙没有定义允许通过的路由:进行定义:

policy interzone trust untrust inbound
policy 1
action permit
policy source 192.168.1.0 mask 24
还是不通
③.可能原因:防火墙默认不允许协议非首包通过,解决:关闭这个机制:
undo firewall session link-state check tcp
undo firewall session link-state check
发现ICMP的Reply报文顺利回送
在FW3的G0/0/1口抓包:
在这里插入图片描述

LYJ~
关注
华为USG防火墙典型配置案列
11-05
华为防火墙典型配置案例,主要介绍了防火墙NAT,HA,策略等功能的实际配置案例。
防火墙典型配置案例
10-29
华为防火墙配置案例 包括路由模式、透明模式、旁路模式配置
安全防御——二、ENSP防火墙实验学习_ensp模拟防火墙旁挂控制实验
最新发布
zzz6583zz的博客
09-20 792
防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
防火墙旁挂(VRF&VFW)
weixin_43311721的博客
01-09 1802
核心利用VRF方式将流量引流到FW进行检测,检测后FW回注到核心全局路由表;FW在此基础上还可以部署VFW,允许不同的VPN实例通信
旁挂防火墙(USG6000V)实验
weixin_72910567的博客
06-09 2829
本实验通过配置旁挂防火墙,实现了内网用户访问外网的安全过滤功能。通过配置策略路由,将内网用户访问外网的流量(回包)重定向到防火墙上,使流量经过防火墙的安全检测后再返回交换机。通过配置DHCP服务,为内网用户分配IP地址。通过配置安全策略,控制不同区域之间的流量访问权限。本实验加深了对旁挂防火墙的理解和应用,提高了网络安全性。
防火墙学习3---防火墙旁挂交换机,交换机静态路由引流(主备部署)
weixin_48030849的博客
05-13 2509
备注:本人学习华为防火墙的笔记记录方式,如有错误,请指出。
网络安全--防火墙旁挂部署方式和高可靠性技术
weixin_65685029的博客
09-25 3403
防火墙防火墙部署方式,防火墙高可靠技术,配置VRRP双机备份
旁挂防火墙 —— 初级
2401_84389418的博客
04-15 648
防火墙旁挂配置
防火墙旁挂,策略路由引流
weixin_34001430的博客
04-04 1万+
1、案例拓扑图 2、核心设备AR2的主要配置 2.1AR2#acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255 //匹配需要过滤的路由#traffic classifier liu operator orif-match acl 2000#traffic behavior liuredirect ip-nexthop 2.1.1...
企业园区出口部署案例(防火墙旁挂方案).pdf
03-17
企业园区出口部署案例(防火墙旁挂方案).pdf
防火墙虚拟系统与交换机虚拟系统(防火墙旁挂
earthtoearth的博客
06-22 1244
3、路由规划:采用OSPF路由,交换机对应不同用户的虚拟系统VRF_A和VRF_B分布对应区域1和区域2,防火墙上的两个虚拟系统VRF_A和VRF_B分布对应区域1和区域2,防火墙上的根系统和路由器接口对应区域0。2、交换机与防火墙之间使用链路聚合,分别设置4个逻辑接口,这四个接口分别两两对应两个防火墙虚拟系统实例VRF_A和VRF_B,其中交换机侧使用VLANIF接口,防火墙侧使用子接口。在虚拟系统VRF_B中与在VRF_A总相同,此处省略............在虚拟系统中设置接口等内容。
旁挂设备通过策略路由引流
03-08
防火墙、waf等设备旁挂。通过策略路由引流,实现安全设备对流量的安全控制与监测。
防火墙旁挂与虚拟系统实验
04-17
防火墙旁挂与虚拟系统实验
HCIE-Security Day17:防火墙双机热备实验(五):防火墙旁挂交换机,交换机静态路由引流
热门推荐
小梁的博客
02-19 1万+
双机热备比较常见的是旁挂部署在数据中心核心交换机上,且两台防火墙之间形成双机热备。 目录 旁挂组网的优点 实验五:防火墙旁挂交换机,交换机静态路由引流 需求和拓扑 操作步骤 1、公网部分 2、防火墙部分 3、核心交换部分 4、汇聚交换部分 5、接入交换部分 验证和分析 旁挂组网的优点 1、可以在不改变现有网络物理拓扑的情况下,将防火墙部署到网络中。 2、可以有选择低将通过核心交换机的流量引导到防火墙上,即对需要进行安全检测的流量引导到防火墙上进行处理,对不需要进行...
华为策略路由应用<场景:防火墙旁挂>
weixin_34191734的博客
02-23 4408
华为策略路由的配置及应用方式,一般用于重定向的场景下,例:防火墙旁挂于核心交换机,需将业务流量重定向到防火墙。环境描述:操作步骤:1、在S12708上配置策略路由,将业务段重定向至防火墙;2、在防火墙上配置回程路由即可。 策略路由配置方式:1、配置业务网段ACLacl 3000 ####此处必须先匹配内网段之间业务互访,不将流量重定向至防火墙,若重定向后,可...
H3C华三旁挂防火墙
weixin_45457085的博客
12-09 1万+
适用场景: 旁挂防火墙部署 注意事项: 1.接入与汇聚都是二层部署,流量之间可以透传到防火墙 2.防火墙与汇聚交换机之间双线互联,一条做子接口起网关剥掉VLAN,一条做三层口用来路由,保证来回流量路径一致 3.汇聚与核心之间可以不通过OSPF,直接指静态路由,接入端VLAN比较多还是推荐动态协议比较方便。 配置思路: 1.首先配置接入与汇聚,打通二层。 2.配置防火墙与汇聚的互联与起网关 3.配通汇聚与接入OSPF 4.测试配置 配置开始 接入交换机上: vlan 2...
防火墙旁挂、和热备
tang_jun_yi的博客
09-24 350
interface GigabitEthernet0/0/0 undo shutdown ip binding vpn-instance default ip address 172.25.254.2 255.255.255.0 alias GE0/METH service-manage http permit service-manage https permit service-manage ping permit service-manage ssh permit service-m
企业网络中的防火墙旁挂实例
weixin_30752699的博客
01-24 2279
最近由于工作原因,按照客户的需求需要将防火墙旁挂,并将部门流量引流到防火墙上。本文章将讲述基本术语、原理、实验(可下载) 基础介绍: PE和CE BGP/MPLS IP VPN的基本模型由三部分组成:CE、PE和P。 CE(Customer Edge):用户网络边缘设备,有接口直接与服务提供商网络相连。CE可以是路由器或交换机,也可以是一台主机。通常情况下,CE“感...
华为防火墙总部加多分部ipsec-vpn nat穿越,vpn核心旁挂式组网案例命令行和web配置
IT技术
11-28 3935
华为防火墙总部加多分部ipsec-vpn nat穿越,vpn核心旁挂式组网案例命令行和web配置
防火墙旁挂和直连区别
02-29
防火墙旁挂和直连是两种不同的网络部署方式,它们的主要区别在于网络流量的处理方式和安全性。 1. 防火墙旁挂(Firewall Sandwich):防火墙旁挂是指将防火墙放置在网络中的两个子网之间,作为两个子网之间的中间节点。这种部署方式可以实现对流量的监控和过滤,同时提供了一定程度的安全保护。防火墙旁挂可以对进出两个子网的流量进行检查和过滤,以保护内部网络免受外部攻击和恶意流量的影响。 2. 直连(Direct Connection):直连是指将网络设备(如服务器、交换机等)直接连接到互联网或其他网络上,没有经过防火墙的中间节点。这种部署方式通常用于需要直接对外提供服务或需要高速数据传输的场景。直连可以提供更高的网络性能和更低的延迟,但也意味着没有防火墙的保护,可能会增加网络安全风险。 总结来说,防火墙旁挂适用于需要对流量进行监控和过滤的场景,提供了一定程度的安全保护;而直连适用于需要直接对外提供服务或需要高速数据传输的场景,但安全性相对较低。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值