华为防火墙 DMZ 设置

已于 2024-06-14 09:14:22 修改
阅读量2.8k 收藏 12
点赞数
分类专栏: 数通技术 文章标签: 华为
于 2023-11-21 09:30:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mshxuyi/article/details/134523791
版权

DMZ 是英文"Demilitarized Zone"的缩写,中文名称为"隔离区"

它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个位于内部网络与外部网络之间的缓冲区,在这个网络区域内可以放置一些公开的服务器资源。例如FTP服务器、E-Mail服务器及网站服务器等允许外部用户访问这些服务器,但又不允许访问内网中的信息,就算黑客入侵DMZ服务器,也不会影响到公司内部网络安全,实现内外网分离,在企业的信息安全防护加了一道屏障。

环境:

untrusttrustdmz
IP:192.168.137.(10~12)IP:192.168.100.0/24IP:192.168.200.0/24
Gateway:192.168.137.1Windows 10:192.168.100.2Windows Server:192.168.200.2

虚拟机2台:Windows 10(客户端),Windows Server 2012 R2(服务器)

外网IP3个: 192.168.137.10,192.168.137.11,192.168.137.12

虚拟机网络配置:Vmnet1,VMnet2类型 "仅主机模式",并关闭 "使用本地DHCP 服务将 IP 地址分配给虚拟机" 选项

创建云朵,里面绑定VMnet1,VMnet2,实现虚拟机跟防火墙桥接网络,具体过程这里不做说明,请自行参考其它文章 

实现的功能:

1、内网客户端和DMZ服务器可以上网

2、内网可以访问DMZ服务器,但是DMZ服务器不能访问内网

3、外网可以远程桌面DMZ服务器

拓扑图如下:

一、外网设置

1、配置外网IP

<Huawei>sys
[Huawei]sys R1
[FW1]un in en

# 开启 DHCP
[FW1]dhcp enable

# 配置三个外网
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip addr 192.168.137.10 24
[FW1-GigabitEthernet1/0/0]ip addr 192.168.137.11 24 sub
[FW1-GigabitEthernet1/0/0]ip addr 192.168.137.12 24 sub
[FW1-GigabitEthernet1/0/0]service-manage all permit
[FW1-GigabitEthernet1/0/0]quit

# 配置外网区域
[FW1]firewall zone untrust
[FW1-zone-untrust]add int g1/0/0
[FW1-zone-untrust]quit

2、安全策略

# 安全策略
[FW1]security-policy
[FW1-policy-security]rule name "untrust to local"
[FW1-policy-security-rule-untrust to local]source-zone untrust
[FW1-policy-security-rule-untrust to local]destination-zone local
[FW1-policy-security-rule-untrust to local]action permit

[FW1-policy-security-rule-untrust to local]rule name "local to untrust"
[FW1-policy-security-rule-local to untrust]source-zone local
[FW1-policy-security-rule-local to untrust]destination-zone untrust
[FW1-policy-security-rule-local to untrust]action permit

[FW1-policy-security-rule-local to untrust]rule name "trust to untrust"
[FW1-policy-security-rule-trust to untrust]source-zone trust
[FW1-policy-security-rule-trust to untrust]destination-zone untrust
[FW1-policy-security-rule-trust to untrust]source-address address-set 192.168.100.*
[FW1-policy-security-rule-trust to untrust]action permit
[FW1-policy-security-rule-trust to untrust]quit
二、内网设置

1、配置内网IP

# 配置内网
[FW1-policy-security]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip addr 192.168.100.254 24
[FW1-GigabitEthernet1/0/1]dhcp select int
[FW1-GigabitEthernet1/0/1]dhcp server dns-list 114.114.114.114
[FW1-GigabitEthernet1/0/1]service-manage ping permit
[FW1-GigabitEthernet1/0/1]quit

# 配置内网区域
[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/1
[FW1-zone-trust]quit

# 配置地址列表
[FW1]ip address-set 192.168.100.* type object
[FW1-object-address-set-192.168.100.*]address 0 192.168.100.0 mask 24
[FW1-object-address-set-192.168.100.*]quit

# 配置Nat策略实现上网
[FW1]nat-policy
[FW1-policy-nat]rule name "snat 1"
[FW1-policy-nat-rule-snat 1]source-zone trust
[FW1-policy-nat-rule-snat 1]egress-interface GigabitEthernet1/0/0
[FW1-policy-nat-rule-snat 1]action source-nat easy-ip
[FW1-policy-nat-rule-snat 1]quit

2、配置路由和DNS

# 设置静态路由
[FW1-policy-nat]ip route-static 0.0.0.0 0.0.0.0 192.168.137.1

# 防火墙配置 DNS
[FW1]dns resolve
[FW1]dns server 114.114.114.114
三、DMZ设置

1、配置DMZ区域IP

# 配置DMZ
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip addr 192.168.200.254 24
[FW1-GigabitEthernet1/0/2]dhcp select int
[FW1-GigabitEthernet1/0/2]dhcp server dns-list 114.114.114.114
[FW1-GigabitEthernet1/0/2]service-manage ping permit
[FW1-GigabitEthernet1/0/2]quit

# 配置DMZ区域
[FW1]firewall zone dmz
[FW1-zone-dmz]add int g1/0/2
[FW1-zone-dmz]quit

# 配置地址列表
[FW1]ip address-set 192.168.200.* type object
[FW1-object-address-set-192.168.200.*]address 0 192.168.200.0 mask 24
[FW1-object-address-set-192.168.200.*]quit

2、配置安全策略 

# 安全策略
[FW1]security-policy
[FW1-policy-security]rule name "dmz to untrust"
[FW1-policy-security-rule-dmz to untrust]source-zone dmz
[FW1-policy-security-rule-dmz to untrust]destination-zone untrust
[FW1-policy-security-rule-dmz to untrust]source-address address-set 192.168.200.*
[FW1-policy-security-rule-dmz to untrust]action permit

[FW1-policy-security-rule-dmz to untrust]rule name "untrust to dmz"
[FW1-policy-security-rule-untrust to dmz]source-zone untrust
[FW1-policy-security-rule-untrust to dmz]destination-zone dmz
[FW1-policy-security-rule-untrust to dmz]destination-address address-set 192.168.200.*
[FW1-policy-security-rule-untrust to dmz]action permit

[FW1-policy-security-rule-untrust to dmz]rule name "trust to dmz"
[FW1-policy-security-rule-trust to dmz]source-zone trust
[FW1-policy-security-rule-trust to dmz]destination-zone dmz
[FW1-policy-security-rule-trust to dmz]source-address address-set 192.168.100.*
[FW1-policy-security-rule-trust to dmz]destination-address address-set 192.168.200.*
[FW1-policy-security-rule-trust to dmz]action permit
[FW1-policy-security-rule-trust to dmz]quit

3、配置NAT策略

# nat策略 实现上网
[FW1-policy-security]nat-policy
[FW1-policy-nat]rule name "snat 2"
[FW1-policy-nat-rule-snat 2]source-zone dmz
[FW1-policy-nat-rule-snat 2]egress-interface GigabitEthernet1/0/0
[FW1-policy-nat-rule-snat 2]action source-nat easy-ip

# nat策略 实现目标端口转换
[FW1-policy-nat-rule-snat 2]rule name "dnat 1"
[FW1-policy-nat-rule-dnat 1]source-zone untrust
[FW1-policy-nat-rule-dnat 1]destination-address 192.168.137.11 mask 255.255.255.255
[FW1-policy-nat-rule-dnat 1]service protocol tcp source-port 0 to 65535 destination-port 33389
[FW1-policy-nat-rule-dnat 1]action destination-nat static port-to-port address 192.168.200.2 3389
[FW1-policy-nat-rule-dnat 1]quit
四、验证 

1、客户端上网

2、服务器上网 

3、内网可以访问DMZ

4、DMZ 不能访问 内网

4、验证目的端口转换

当我们访问 192.168.137.11 33389 端口时,已成功转到换 Win2012 这台服务器的 3389 端口上面

Tom Ma.
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DMZ配置
miranda
06-04 2万+
进入公司的第一个任务就是配置一个DMZ,鉴于自己完全是个网络小白,接到这个任务的时候真是诚惶诚恐啊。。。 废话不多说,首先规划一下本文的行文思路: DMZ概念简介 在ubuntu环境下配置LAMP环境 使用apache2配置反向代理 使用到的一些教程链接以及遇到的一些bug DMZ DMZ为DeMilitarized Zone的缩写,中文直译为非军事化区域。作用是把WEB,E-ma
怎么设置华为路由DMZ模式来来稳定迅雷赚钱宝速度?
10-01
总的来说,华为路由器的DMZ设置能够为迅雷赚钱宝提供更稳定的数据传输环境,但也需要用户具备一定的网络安全意识,采取适当的防护措施,以确保设备的安全运行。在使用过程中,用户应密切关注设备状态,定期检查和...
DMZ防火墙之间的区别
网络技术联盟站
04-17 407
在网络安全领域,DMZ(Demilitarized Zone)和防火墙是两个常见且关键的概念。它们都扮演着保护网络免受恶意入侵和攻击的重要角色。尽管它们都用于保护网络,但它们之间存在一些关键的区别。本文将详细介绍 DMZ防火墙之间的区别。
[eNSP]华为防火墙基础——Local、DMZ、Trust、Untrust互联
m0_64218141的博客
03-07 2886
理解并学会配置防火墙的local、trust、untrust、dmz四种区域的连通。
dmz 外网映射
zengliguang的专栏
05-11 509
当提到“外网映射”或“DMZ映射”时,通常是指配置路由器或防火墙的规则,使得外部网络(互联网)能够访问位于DMZ中的服务器或设备。: 在DMZ设置中,通常需要指定一个内部网络中的IP地址,这个地址对应的设备将成为DMZ主机。请记住,DMZ主机的设置应当谨慎,因为它们比内部网络中的设备更容易受到攻击。: 在路由器的管理界面中,找到“DMZ”或“DMZ设置”相关的选项。: 放置在DMZ中的设备应具有严格的安全配置,包括强密码、最新的安全补丁和仅开放必要的服务,因为它们直接暴露在互联网上。: 保存并应用设置
华为防火墙基本配置
Gahood的博客
03-21 2066
此时PCping服务器是无法通信的,默认的策略是deny or any,要在防火墙上放行trust—dmz流量。输入密码后它会问你是否现在重置密码,选是否则无法配置。首先了解Trust是基本连接内网,Untrust连接外网,DMZ连接服务器。防火墙配置华为默认用户名:admin 密码:Admin@123。此时PC是无法访问到外网的,因为防火墙需要nat,没有回程路由。配置nat两个步骤:nat地址池——nat策略。此时外网无法访问服务器:因为没有放行,需要放行。如何把服务器地址放在公网上访问 :映射。
配置防火墙内外访问外网
T061129的博客
11-07 2502
1 、给接⼝配置 IP 地址(默认是存在的)2 、允许接⼝所有服务类型,其中包括 ping , https[USG6000V1-GigabitEthernet0/0/0]service-manage enable //开启服务管理[USG6000V1-GigabitEthernet0/0/0]service-manage all permit //允许所有服务3 、将接⼝加⼊防⽕墙安全区域。
常见路由器配置NAT/UPNP/DMZ方法
热门推荐
Dyson_HQ的博客
06-08 2万+
NAT
华为防火墙实战配置教程,太全了
Richardlygo的博客
07-05 1万+
防火墙大全
DMZ区详解
qq_20411471的博客
10-08 5273
1、DMZ是什么? 英文全名“Demilitarized Zone”,中文含义是“隔离区”。在安全领域的具体含义是“内外网防火墙之间的区域”。 2、DMZ做什么? DMZ区是一个缓冲区,在DMZ区存放着一些公共服务器,比如论坛等。 用户要从外网访问到的服务,理论上都可以放到DMZ区。 内网可以单向访问DMZ区、外网也可以单向访问DMZ区。 3、为什么设置DMZ区? 为了安全(哈哈!)...
系统架构之DMZ
hxt的博客
09-11 1万+
一、何为DMZDMZ,即Demilitarized Zone的缩写,直译为非军事区或停火区,就是指介于内网(可信任区)和外网(不可信区)之间的一个中间公共访问区域(独立网络),目的在于在向外界提供在线服务的同时,阻止外部用户直接访问内网,以确保内部网络环境的安全。该区域一般可以被外网用户所访问,但不能主动向内网发起连接请求 在实际的运用中,某些主机需要对外提供服务,为了更好地提供服务,同时又要...
华为ensp防火墙2019
06-21
华为模拟器ensp的防火墙压缩包,没密码!!!版本稳定。
华为防火墙配置使用手册自己写.docx
01-02
华为防火墙配置使用手册自己写 本文档主要介绍了华为防火墙配置使用手册,涵盖了防火墙的基本配置、Telnet配置防火墙策略等内容。 一、基本配置: 1. 防火墙默认的管理接口为g0/0/0,默认的ip地址为192.168....
华为ENSP防火墙+路由器+交换机的常规配置
最新发布
07-07
1、普通企业级网络无冗余网络环境,防火墙作为边界安全设备,分trust(内部网络信任区域)、untrust(外部网络非信任区域)、dmz(非军事服务器区域) 2、dmz区域运行企业的专业服务器,本例以FTP与HTTPS服务器为...
华为usg3000配置案例
06-19
华为usg3000配置案例,
防火墙ip配置
m0_64771829的博客
01-25 563
配置dmz区域IP地址,同时启用管理勾选ping命令方便检测。7.进入安全区域,创建生产区和办公区,以便于将细化管理。1.首先在交换机7上创建vlan 2 3 命令如下。2.分别进入0/0/3 和0/0/2接口。9.通过ping命令测试是否通路。5.进入防火墙,开启web服务。如图所示需要配置该拓扑的ip。6.进入防火墙后台,配置ip。4.进入0/0/1接口。3.定义所属vlan。以上是配置防火墙ip。
firewall防火墙
yutao___的博客
11-10 244
firewall防火墙 实验环境 下面做的ip和需求的ip不一致个人喜欢用自己的ip原理没变 在网关服务机配置网卡34 IP 在网关服务机配置网卡35IP 在网关服务机配置网卡32 IP 将网关服务机修改内核添加路由功能 内网主机配置IP网关 网站服务机配置ip 网关 外网测试机ip 网关 Ping 网站服务机 Ping 外网测试机 给网关服务机 网卡32 配置trusted区域 网卡34 配置dmz区域 35配置external区域 修改external为默认区域 修改ssh配
防火墙安全配置
Ideone的博客
03-18 2497
此时用PC1 ping PC 2,即使两台PC是同一网段,依旧是无法ping通,原因也是在防火墙上存在一条安全策略默认拒绝所有,所以我们需要编写一条安全策略来实现trust区域与untrust区域的通信,由于此时我们使用的是二层协议,所以我们需要添加VLAN ID。路由器ping防火墙,即使路由器与防火墙为直连,但是依旧是无法ping通的,原因是在配置防火墙时,没有启用访问管理,设置启动访问管理,并选择放通ping流量即可ping通。NGFW能对七层检测,可以清楚地呈现网络中的具体业务,并实行管控。
华为防火墙外网访问dmz
07-28
华为防火墙配置中,外网访问DMZ的步骤如下: 1. 首先,需要创建DMZ域并将接口添加到该域中。可以使用以下命令创建DMZ域并添加接口: firewall zone name DMZ add interface GigabitEthernet 1/0/2 2. 接下来,需要将内网办公区(trust域)的接口添加到信任域中。可以使用以下命令将接口添加到trust域: firewall zone trust add interface GigabitEthernet 1/0/1 3. 最后,需要将外网接口添加到非信任域(untrust域)中。可以使用以下命令将接口添加到untrust域: firewall zone untrust add interface GigabitEthernet 1/0/3 通过以上配置,外网就可以访问DMZ中的服务器了。请注意,这只是配置的基本步骤,具体的配置可能会因网络环境和需求而有所不同。\[3\] #### 引用[.reference_title] - *1* [华为防火墙做出口网关](https://blog.csdn.net/m0_63775189/article/details/125884715)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [华为防火墙USG6000V---内网访问外网---外网访问内网服务器(NAT服务器)示例配置](https://blog.csdn.net/lehe99/article/details/127677628)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值