华为eNSP防火墙 配置使用SSL隧道

已于 2025-03-15 12:05:24 修改
阅读量2.2k 收藏 27
点赞数 8
分类专栏: 华为eNSP防火墙实验 文章标签: 网络
于 2024-08-20 23:29:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75102488/article/details/141370811
版权

前置配置:

FW2:

1)防火墙基本转发配置(①添加安全区域,②安全转发策略,③配置默认路由)

①添加安全区域

firewall zone trust

add interface GigabitEthernet1/0/0

firewall zone untrust

add interface GigabitEthernet1/0/1

②防火墙的安全转发策略

security-policy

rule name ssl_vpn

source-zone local trust untrust

destination-zone local trust untrust

action permit

③配置默认路由

ip route-static 0.0.0.0 0.0.0.0 192.168.20.254

2)允许ping访问防火墙的外网接口

[USG6000V1]int 接口

[USG6000V1]service-manage ping permit

3)配置使用web登录防火墙

[FW2]interface GigabitEthernet0/0/0

[FW2-GigabitEthernet0/0/0]ip address 192.168.100.10 255.255.255.0

[FW2-GigabitEthernet0/0/0]service-manage enable #接口Web设备管理

[FW2-GigabitEthernet0/0/0]service-manage http permit #开启http服务

[FW2-GigabitEthernet0/0/0]service-manage https permit #开启https服务

[FW2-GigabitEthernet0/0/0]service-manage ping permit #开启ICMP服务

在浏览器上输入https://192.168.100.10:8443/ 以登录防火墙图形界面

Cloud:

FW2:

在web界面直接创建SSL VPN会提示防火墙繁忙

先通过命令手动创建SSL VPN

[FW2]v-gateway hwsslvpn interface GigabitEthernet1/0/1 port 4430 private

再在web页面上配置

配置SSL VPN网关信息,默认端口为443,修改端口为4430

配置SSL VPN加密相关信息

配置SSL VPN网络扩展

创建用户ssluer

属于用户组 default

密码设置为Password@

配置角色授权

在Win-7中使用浏览器访问SSL VPN网关地址,出现SSL VPN相关信息则说明SSL VPN网关配置正确

Win-7配置:

以管理员身份运行命令提示符,添加去往FW2的一条缺省路由,使得Win-7能够ping通FW2

在浏览器上输入https://192.168.20.1:4430/ 访问SSL VPN网关地址

登录SSL VPN成功,开启网络扩展业务

使得Win-7能够成功ping通PC2

华为防火墙SSL VPN隧道连接实验配置
加油!
05-20 7974
用于远程访问VPN,工作在应用层与传输层之间SSL VPN是以SSL协议为安全基础的VPN远程接入技术,移动办公人员(在SSL VPN中被称为远程用户)使用SSL VPN可以安全、方便的接入企业内网,访问企业内网资源,提高工作效率。SSL与IPSec、L2TP的区别:1.IPSec、L2TP缺点:远程用户终端上需要安装指定的客户端软件,导致网络部署、维护比较麻烦。2.IPSec、L2TP配置繁琐3.网络管理人员无法对远程用户访问企业内网资源的权限做精细化控制。
ensp 双机热备 配置_网工知识角|华为认证配置指南之SSL协议知多少
weixin_32208021的博客
12-15 778
点上方蓝字关注,每天都有新收获!学网络,就在IE-LAB国内高端网络工程师培养基地SSL 全称为Secure Sockets Layer,安全套接层。是一种提供保证私密性的安全协议。SSL能使客户端与服务器之间的通信不被截取及窃听,还能验证通信双方身份,保证网络上数据传输的安全性。传统的HTTP协议不具备相应的安全机制,不能保证数据传输安全性和私密性、不能验证通信双方的身份、无法防止传输...
华为防火墙配置 SSL VPN
走马
06-09 7512
哈喽,我是ICT大龙。本期给大家更新一次使用华为防火墙实现SSL VPN的技术文章。本次实验只需要用到两个软件,分别是ENSP和VMware,本次实验中的所有文件都可以在文章的末尾获取。话不多说,教程开始。百度百科解释:虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。相信朋友们在工作或者学习中会碰到这样一个场景。
安全防御——二、ENSP防火墙实验学习_ensp模拟防火墙旁挂控制实验_ensp两个防火墙ping不通
最新发布
韩束一叶子
03-14 808
防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
SSL VPN
m0_62452465的博客
08-07 938
点击网络扩展,启用网络扩展,编辑可分配IP地址范围(防火墙给客户端分配的地址,类似于公私网转换),下面的可访问内外地址列表为访问的目的IP网段。网络->SSL VPN->SSL VPN->角色授权/用户->用户/用户组列表->新建->选择创建好的用户->应用。正上方点击对象->用户(左侧)->default->新建->新建用户。点击网络->SSL VPN(左侧)->SSL VPN(左下)需要把环回接口的地址改为云7的地址,不然无法建立连接。输入账户名->密码->确认密码->确定。
华为防火墙综合案例(IPSec、SSL、NAT、ACL、安全防护)
baimao__Ch的博客
04-19 3308
![image-20230314005459809](https://img- blog.csdnimg.cn/img_convert/ba1cb8bf075d5bd5a1bb67fbf06c7da6.png) 上网需求 服务器发布需求 VPN需求 攻击模拟 实验步骤 1、防火墙web页面管理配置![image-20230314010724217](https://img- blog.csdnimg.cn/img_convert/1110f333e2dbe068793fa2706fc
企业网 SSL VPN 史诗级配置-华为ensp毕设实验
白话聊网络的博客
10-31 8648
最初实验路由器为边界,路由器做nat访问sw1上的两个三次vlanif,后期客户要求在该拓扑上部署ssl vpn,更改拓扑,让防火墙作为边界设备,在sw1下桥接虚拟机,让虚拟机的地址和防火墙G1/0/2的外网口地址互通(甭管用啥协议,目的就是打通)重启成功后,打开ensp的云彩,就会发现有你刚才创建的VM2,添加网卡这步,应该都会吧,再不百度一大堆。点击刚才设置好的vm2,把dhcp分配地址取消掉,子网处设置题目需求的地址段,确定,在配置前,在虚拟机ping下防火墙接口,不通-白玩-通了之后再往下玩。
华为防火墙ssl xxx配置
cx的博客
02-17 8898
华为防火墙ssl xxx
华为防火墙 SSL VPN配置实验
哦 卷!
09-05 9336
SSL VPN 可以实现员工到公司内部,由员工电脑进行 VPN 连接。一般由员工 Web 登录虚拟机网关手动连接,或由 SecoClient 客户端自动连接。IPSEC VPN可以实现不同局域网之间通过Internet进行VPN连接,一般由网关设备进行VPN连接。在界面配置会显示“服务器忙,请稍后重试”。
华为防火墙 配置 SSLVPN
一直被模仿,从未被超越
11-02 8234
公司域环境,大陆客户端居家办公室需要连到公司域,这里可以在上海防火墙上面开通SSLVPN,员工就可以透过SSLVPN连通上海公司的内网,但是由于公司有域控有2个站点,一个在台北,一个在上海,所以还需要拨通VPN后,也实现跟台北的内网互通。可访问内网网段列表:拨通VPN后,客户端可以访问的内网地址,如果内网是IPSec VPN中的地址,还需要进入 IPSec 进行设置,本例10.3.0.0/24是上海防火墙的内网地址,10.3.6.0/24 是 台北的。1、打开防火墙进入 SSL VPN,新建。
华为防火墙(以USG6330为例)配置SSL,限制公司员工在公司外只能访问指定的服务器
爱新觉罗启钰的CSDN博客
08-14 5435
目录 一、部署用户认证策略 1、操作入口 2、华为技术文档原文链接 3、华为技术文档原文快照(2021年8月14日) 一、部署用户认证策略 1、操作入口 对象-用户。 2、华为技术文档原文链接 Web举例:SSL VPN接入用户+本地认证 3、华为技术文档原文快照(2021年8月14日) 二、 部署用户认证策略 ...
华为防火墙部署 l2tp over ipsec
jcjczjc的博客
01-26 2561
一般手机不能很好支持ssl vpn 和EAP认证, 客户需要部署L2TP OVER IPSEC 配置: interface Virtual-Template1 ppp authentication-mode chap ip address 172.16.19.1 255.255.255.0 firewall zone untrust set priority 5 add interface Dialer0 add interface Virtual-Template1 l2tp enab
ensp的ipsec实验(ike自动协商)
qq_44933518的博客
04-02 7291
配置步骤:配置网络可达–配置ACL识别兴趣流–创建安全提议–创建安全策略–应用安全策略 配置网络可达–配置ACL识别兴趣流–创建ike提议–创建ike对等体–创建ipsec提议–创建ipsec策略–应用安全策略 ...
基于Ensp的IPsec 实验
WANGMH13的博客
08-02 3966
基于Ensp的IPsec 实验
eNSP下的Tunnel端口的配置实验
qq_48111800的博客
04-20 5085
Tunnel的简单配置实验 这个tunnel配置使用到gre协议,所以: 首先了解一下GRE的概念: 在任意一种网络协议上传送任意一种其它网络协议的封装方法 GRE VPN使用虚拟的隧道(Tunnel)接口 使用tunnel端口配置 GRE 隧道 使私网主机 172.22.1.0/24、172.22.2.0/24 间可以相互访问(正常时私网路由在公网中不传播) 网络拓扑图如下 根据网络拓扑图首先配置PC和路由器各个接口的地址 配置总部路由器 AR1 和分部路由器 AR4通往 Internet (用AR
基于eNSP的IPv6 over IPv4 ISATAP隧道配置实例
weixin_47402139的博客
02-26 3652
基于eNSP的IPv6 over IPv4 ISATAP隧道配置实例,内容包含拓扑图、配置命令、验证命令和验证效果、相关会话、相关数据包抓取分析
华为eNSP防火墙 配置使用GRE隧道
m0_75102488的博客
07-09 1419
华为eNSP防火墙配置
华为WLAN无线网络-直连模式、隧道模式ensp实验配置
2303_79165856的博客
12-24 783
本文章是采用了两种wlan转发模式做实验,分别为:直连模式转发跟隧道模式转发。
华为eNSP防火墙配置
02-21
### 华为eNSP防火墙配置指南 #### 1. 基础环境搭建 为了在华为eNSP模拟器中进行防火墙配置,需先建立基础网络拓扑结构。通常情况下,这涉及到创建至少两个路由器或交换机以及一台或多台PC终端来模拟内外网环境。 #### 2. 防火墙模块安装与初始化设置 启动所需设备后,在目标路由器上加载防火墙软件包,并完成初始向导式的简单设定过程,比如定义主机名、登录密码等基本信息[^1]。 #### 3. 安全区域划分 通过命令行界面CLI进入安全策略视图下,利用`firewall zone`指令新增自定义的安全区段,如Trust(信任)、Untrust(不信任),并将相应的物理端口分配给这些逻辑分区: ```shell [Huawei] firewall zone trust [Huawei-zone-trust] add interface GigabitEthernet 0/0/1 ``` 上述例子表示将GigabitEthernet 0/0/1接口划入到名为“trust”的区域内[^2]。 #### 4. 访问控制列表ACL的应用 针对不同方向的数据流制定过滤规则,即所谓的访问控制列表(Access Control List, ACL),用于精确管控进出流量的行为模式。例如允许特定IP地址范围内的计算机访问内部资源的同时阻止其他外部请求: ```shell [Huawei] acl number 3000 [Huawei-acl-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination any [Huawei-adv-3000] quit [Huawei] interface gigabitethernet 0/0/2 [Huawei-GigabitEthernet0/0/2] traffic-filter inbound acl 3000 ``` 此段脚本实现了仅放行来自192.168.1.x子网内机器发起的所有类型的连接尝试,而拒绝其余未授权源点发出的信息传递活动[^3]。 #### 5. NAT转换机制部署 对于希望隐藏真实局域网布局或者实现多对一映射场景而言,启用Network Address Translation (NAT) 功能至关重要。下面给出了一种典型应用场景下的参数调整方式——动态PAT(port address translation): ```shell [Huawei]interface g0/0/2 [Huawei-GigabitEthernet0/0/2]nat outbound 2000 [Huawei]interface loopback 0 [Huawei-LoopBack0]ip address 1.1.1.1 255.255.255.255 [Huawei]acl number 2000 [Huawei-2000]rule permit source 172.16.0.0 0.0.255.255 ``` 这里假设外网出口位于g0/0/2接口处,则该组语句的作用就是让所有源自私有IPv4区间(172.16.0.0~172.16.255.255) 的报文经过此处时自动替换掉原有的源地址字段值成为公网可见形式再向外转发出去[^4]。
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值