eNSP防火墙配置实验(trust、DMZ、untrust)

最新推荐文章于 2025-02-10 16:26:15 发布
最新推荐文章于 2025-02-10 16:26:15 发布
阅读量1.4k 收藏 23
点赞数 11
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74823983/article/details/144299137
版权

【拓扑】

设备

接口

IP地址/子网掩码/网关

AR1

G0/0/0

10.1.3.2/24

G0/0/1

100.1.1.2/24

FW1

G0/0/0

192.168.166.254/24

G1/0/0

10.1.1.1/24,trust域

G1/0/1

10.1.2.1/24,DMZ域

G1/0/2

100.1.3.1/24,untrust域

LSW1

G0/0/1

vlan 3:172.16.1.1/24

G0/0/2

vlan 2:10.1.1.2/24

LSW2

G0/0/1

vlan 2:10.1.2.2/24

G0/0/2

vlan 3:192.168.1.1/24

PC1

e0/0/1

172.16.1.2/24/1

PC2

e0/0/1

100.1.1.2/24/1

Server1

e0/0/0

192.168.1.100/24/1

Cloud1

e0/0/1

192.168.166.1/24

【任务】

一、划分trust、untrust、dmz区域;

二、配置安全策略、静态路由或OSPF等实现两两区域之间的安全互访。

内网可以ping通服务器、外网;

服务器ping内网主机、外网不通;

外网可以ping通服务器,不可以ping通内网。

【步骤】

(1)Web页面登录配置:

Cloud1相关配置:先增加一个端口,邦定信息为UDP;再加一个端口,邦定信息为配置好的虚拟网卡,端口映射设置双向通道。连接Cloud和防火墙的0/0/0端口,在防火墙上配置IP,此时IP和Cloud上绑定的网卡为同一网段。注意不要绑到公网网卡上,可以做个虚拟环回或者绑到vm1vm8上都可以。

启动防火墙的CLI界面,默认账号为admin,密码为Admin@123,登录后需要修改密码。

sys #进入系统视图

[USG6000V1]sys FW1 #配置设备名称

[FW1]dis ip int brief #显示虚拟接口对应的IP地址与使用状态

[FW1]int g0/0/0 #进入端口GE0/0/0

[FW1-GigabitEthernet0/0/0]ip add 192.168.166.254 24 #端口配置IP地址

[FW1-GigabitEthernet0/0/0]service-manage all permit #开启服务器管理员权限

(2)在物理机上执行ping命令测试连通性,然后通过浏览器输入:https://192.168.166.254:8443/,访问防火墙的Web页面。

(3)**配置untrust区域:**在路由器上为两个接口配置IP地址—>为untrust区域的PC配置IP、掩码和网关—>在防火墙上配置1/0/2为untrust区域。

untrust区域的PC没有至防火墙的路由,所以需要手动添加一条静态路由

[FW1]firewall zone untrust #进入非信任域。

[FW1-zone-untrust]add interface g1/0/2 #添加外网接口。

[USG6000V1-GigabitEthernet1/0/2]service-manage ping permit#允许untrust区域能ping通防火墙本地

(4)配置trust区域:在防火墙上将1/0/0接口加入trust区域,并配置IP地址。—>在trust区域的交换机上创建vlan,配置IP地址—>在trust区域的PC上配置IP,掩码,网关—>PC到防火墙之间缺少路由,所以需要手动添加一条静态路由。

[FW1]firewall zone trust #进入信任域。

[FW1-zone-trust]add in g1/0/0 #添加内网接口。

[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit#允许trust区域能ping通防火墙本地

(5)配置DMZ区域:在防火墙上将1/0/1接口加入dmz区域,并配置IP地址。—>在DMZ区域的交换机上创建vlan,配置IP—>在trust区域的服务器上配置IP地址,掩码,网关。

[FW1]firewall zone dmz #进入服务器区域。

[FW1-zone-dmz]add in g1/0/1 #添加接口。

[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit#允许dmz区域能ping通防火墙本地

(6)编写安全策略。此时整个拓扑中的三个区域内互通、区域间不通,所以需要按照实际需求编写安全策略来实现区域间的通信。可选网页或命令行配置!!!

trust-untrust****区域的安全策略:

[FW1]security-policy #进入安全策略的配置。

[FW1-policy-security]rule name trust-untrust#定义策略名称为trust-untrust。

[FW1-policy-security-rule-shangwang]source-zone trust #源区域为内网区域。

[FW1-policy-security-rule-shangwang]destination-zone untrust #目的区域为外网区域。

[FW1-policy-security-rule-shangwang]action permit #动作放行。

trust-DMZ****区域的安全策略:

[FW1]security-policy #进入安全策略的配置。

[FW1-policy-security]rule name trust-dmz#定义策略名称为trust-dmz。

[FW1-policy-security-rule-fwq]source-zone trust #源区域为内网区域。

[FW1-policy-security-rule-fwq]destination-zone dmz #目的区域为服务器区域。

[FW1-policy-security-rule-fwq]action permit #动作放行。

untrust-DMZ****区域的安全策略:

[FW1]security-policy #进入安全策略的配置。

[FW1-policy-security]rule name untrust-dmz#定义策略名称为untrust-dmz。

[FW1-policy-security-rule-fwq]source-zone untrust #源区域为内网区域。

[FW1-policy-security-rule-fwq]destination-zone dmz #目的区域为服务器区域。

service ftp #FTP请求被放行

service icmp #ICMP请求被放行

[FW1-policy-security-rule-fwq]action permit #动作放行。

防火墙是个安全设备,没有放行的包一律禁止通过。所以无需配置外网访问内网、dmz****访问外网的策略。

7)在防火墙、交换机和路由器上配置静态路由实现互通:

[FW1]ip route-static 100.1.1.0 255.255.255.0 10.1.3.2

[FW1]ip route-static 172.16.1.0 255.255.255.0 10.1.1.2

[FW1]ip route-static 192.168.1.0 255.255.255.0 10.1.2.2

[LSW1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1

[LSW2] ip route-static 0.0.0.0 0.0.0.0 10.1.2.1

[AR1]ip route-static 0.0.0.0 0.0.0.0 10.1.3.1

(8)验证。

m0_74823983
关注
防火墙三个安全区域Trust区域DMZ区域Untrust区域
网络技术联盟站
09-09 2876
为了有效地隔离和管理不同类型的网络流量,防火墙通常将网络分为不同的安全区域。(可信区域)、(非军事化区)和(非可信区域)。每个区域有不同的安全级别和访问控制策略,用于保护网络的完整性和机密性。
防火墙实验(实现trustuntrustDMZ区域互通)
weixin_64311421的博客
03-17 5849
通了之后在浏览器上输入192.168.81.2,输入用户密码。先给交换机LSW1接口配置划分VLAN2和VLAN3。分别在server1 和server3上测试是否成功。用LSW1上ping 防火墙10.1.255.2。在PC1上ping 10.1.255.2。在交换机上配置vlan10 vlan11。修改g1/0/2和g1/0/3连接类型。在FW1上配置一个静态路由。到这里区域内部都互通了。在LSW1上写个缺省路由。再在物理主机上ping。在server2上配置。先配置GE0/0/0。
ensp防火墙实验
CvtNhso的博客
07-11 2523
目的地址可以直接填写DMZ区的IP地址,也可以新建地址都行,用户这里先不写,后面在进行修改,服务这里因为是服务器区,所以我们要勾选我们需要的服务,不需要的我们就不勾选,默认这边就访问了其他的服务,时间段这里新建时间段,选我们工作期间的时间,动作选允许,之后选确定。5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次。账号国企时间在创建用户时设置,在用户属性选项中,要求设置为10天,不允许多人使用,
安全防御——二、ENSP防火墙实验学习_ensp模拟防火墙旁挂控制实验
最新发布
hackeroink的博客
02-10 1685
防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙
安全防御——二、ENSP防火墙实验学习
钟言的博客
11-04 1万+
本篇为安全防御——二、防火墙的基本概念以及配置,Web界面的配置,使用,详细内容包含了:防火墙接口以及模式配置 1、untrust区域 2、trust区域 3、DMZ区域 4、接口对演示 防火墙的策略 1、定义与原理 2、防火墙策略配置 2.1 安全策略工作流程 2.2 查询和创建会话3.实验策略配置 3.1 trust-to-untrust 3.2 trust-to-dmz 3.3 untrust-to-dmz防火墙区域等等
学习笔记记录ensp防火墙配置trust,unstrus,dmz 资源下载可用)
04-23
学习笔记记录ensp防火墙配置trust,unstrus,dmz 资源下载可用)
华为防火墙配置命令-trust-dmz-untrust
weixin_45986422的博客
05-12 1万+
R1配置命令 <Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]undo inf enable Info: Information center is disabled. [Huawei]sys R1 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.9.195 24 [R1-GigabitEthernet0/0/0]undo sh Inf..
华为ENSP实验防火墙基础配置与安全区域配置(保姆级教程)
2301_77508242的博客
08-08 1万+
内容是使用华为USG6000V防火墙和Cloud以及AR2220路由器、交换机、客户机、PC机来搭建起网络安全拓扑图并对防火墙基础配置与安全区域配置进行具体分析配置
防火墙ensp实验
weixin_49252364的博客
09-11 1660
防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害的流量或数据包)的设备。
华为eNSP-防火墙实验
热门推荐
weixin_45745641的博客
12-14 1万+
1规划并配置IP地址 2将网络分别加入对应的区域 3实现pc1访问pc2,pc2访问服务器,其他不能互访
防火墙实验——trust区域访问untrust区域
qq_47175413的博客
07-23 4391
通过云设备进入防火墙的图形化配置界面,首先配置云设备,添加一个UDP端口和一个虚拟网卡,虚拟网卡尽量使用虚拟机网卡。修改管理接口IP,防火墙的管理接口为 g0/0/0 接口,默认IP为192.168.0.1/24,将其修改为和云设备加载的虚拟网卡相同网段的IP,并开启接口服务。配置防火墙策略,放通 trustuntrust 区域的流量,因为防火墙默认禁止所有区域之间的通讯。trust 区域能够成功访问 untrust 区域,但 untrust 区域无法访问 trust 区域,实现了对流量的控制。
eNSP防火墙基本配置实验
一名网络爱好者
09-05 5256
该文章初衷是为了实现防火墙的基本配置实验,仅供参考本人是一个网络爱好者,也是初学者,喜欢琢磨一些基础知识,以上都是网上学习时的笔记,由于技术和表达能力都有限,希望优秀的你能看懂人生语录:生活难免风雨琳琅,鸡毛满地!但爱让我们互为支撑,相互温暖!
实验 | 利用华为eNSP进行防火墙主备配置
网络技术联盟站
08-06 2380
局域网中有一台主机名为“PC1”的路由器,充当局域网内的客户端计算机,主机名为“AR1”的路由器充当客户端计算机的网关,FW1 为活动防火墙,F2 为备用防火墙,公共网络中有一台路由器充当互联网,另一台主机名为“PC2”的路由器充当计算机,FW1的接口GE1/0/3与FW2的接口GE1/0/3相连,用于心跳链路。在 FW1 上,将防火墙规则配置为允许流量,如下所示,我们不需要在 FW2 上配置此规则,此规则会自动从 FW1 复制到 FW2。然后,让我们如下配置 IP 和 OSPF 路由协议。
基于ensp的网络通信防火墙实验
weixin_52297878的博客
07-22 4944
基于ensp的网络通信防火墙实验 1、实验目的: (1)理解防火墙的作用和工作原理; (2)掌握防火墙配置命令及方法; (3)区分基于端口配置的包过滤防火墙和基于安全域配置防火墙; 2、实验内容: (1)搭建防火墙安全拓扑; (2)创建和配置防火墙安全区域; (3)配置安全策略,部署NAT; (4)测试防火墙功能。 ...
ensp防火墙------安全策略实验
m0_74355247的博客
07-11 1733
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地址10.0.3.10。5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。1、配置IP,创建一个测试以太网,给cloud增加端口,并给防火墙配置(开启所有允许服务、修改登录密码),划分vlan。
华为ensp防火墙综合实验
07-27
华为ENSP防火墙综合实验的目标是配置安全策略,实现特定网络区域之间的访问控制。根据提供的引用内容,可以总结出以下实验步骤: 1. 配置防火墙接口和地址:根据引用\[2\],需要对防火墙的接口进行区域划分。例如,将接口g1/0/0划分为trust区域,接口g1/0/2划分为dmz区域,接口g1/0/1划分为untrust区域。 2. 配置安全策略:根据引用\[1\],需要配置安全策略以实现特定网络区域之间的访问控制。根据实验要求,可以按照以下步骤配置安全策略: - 允许192.168.0.0/24网段访问server1。 - 禁止pc2访问server1。 - 禁止192.168.1.0/24网段ping通server1,但允许访问server1的网站。 - 配置域内安全策略,禁止192.168.0.0/24网段ping通192.168.1.0/24网段。 - 允许untrust区的计算机访问dmz区服务器server2的网站。 - 允许trust区192.168.0.0/24网段访问dmz区服务器,但禁止192.168.1.0/24网段访问。 3. 配置PC和服务器的IP地址:根据引用\[3\],需要为PC和服务器配置IP地址,以便进行网络通信。 以上是华为ENSP防火墙综合实验的大致步骤。根据实验要求和引用内容,可以按照这些步骤进行配置和操作。 #### 引用[.reference_title] - *1* *2* [华为模拟器eNSP防火墙综合实验](https://blog.csdn.net/mochu7777777/article/details/106205309)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [ensp练习:防火墙安全策略配置](https://blog.csdn.net/zaqzaqzaqzzz/article/details/101480849)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值