一般企业网络规划(防火墙)出口

最新推荐文章于 2024-04-09 17:58:11 发布
最新推荐文章于 2024-04-09 17:58:11 发布
阅读量2.1k 收藏 38
点赞数 42
文章标签: 网络 运维 华为
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21612759/article/details/136548201
版权
本文详细介绍了如何使用华为USG防火墙为中小企业构建网络,包括配置IP地址、安全域划分、路由、NAT策略以及安全策略的设置,确保内外部网络的隔离和高效通信。
摘要由CSDN通过智能技术生成

目前很多中小企业的网络规划其实很简单 ,出口就一台防火墙,下面挂一核心交换机,其他的就是接入交换了,那要如果更快的部署使用呢,下面以华为USG防火墙为例。

一、网络拓扑如下:

配置思路:

1、配置IP地址,并加入安全域

2、配置路由信息

3、配置NAT策略

4、配置安全策略

二、登录防火墙设备,配置接口地址及接口所在的安全域

配置外网接口地址

interface GigabitEthernet1/0/0

ip address 60.30.0.1 255.255.255.0

配置防火墙内网接口

interface GigabitEthernet1/0/1

ip address 172.16.0.1 255.255.255.0

[FW]interface GigabitEthernet1/0/4

[FW]ip address 192.168.0.1 255.255.255.0

[FW]service-manage ping permit  //接口开通ping 功能

 [FW] service-manage http  permit

[FW]firewall zone trust   //加入trust 安全域【办公区域】

[FW-zone-trust]add interface g1/0/4

[FW-zone-trust]quit

[FW]firewall zone untrust //加入untrust安全区域【外网区域】

[FW-zone-untrust]add interface g1/0/0

[FW-zone-untrust]quit

[FW]firewall zone dmz  //加入dmz安全区域【服务器区域】

[FW-zone-dmz]add interface g1/0/1

[FW-zone-dmz]quit

二、配置路由信息,一般都是配置缺省路由。

[FW]ip route-static 0.0.0.0 0.0.0.0 60.30.0.100

三、配置NAT   策略

[FW]nat-policy    //创建Nat

[FW-policy-nat]rule name Trust_Internet   //NAT策略名字 Trust_Internet

[FW-policy-nat-rule-Trust_Internet]source-zone trust  //转换源trust区域

[FW-policy-nat-rule-Trust_Internet]destination-zone untrust  //转换上网区域unturst 

[FW-policy-nat-rule-Trust_Internet]source-address 192.168.0.0 0.0.0.255 //转换源地址

[FW-policy-nat-rule-Trust_Internet]service http  //开放的服务类型

[FW-policy-nat-rule-Trust_Internet]service dns

[FW-policy-nat-rule-Trust_Internet]action source-nat easy-ip   //激活   放行端口

[FW-policy-nat-rule-Trust_Internet]quit

四、配置安全区域

注备:内部区域为Trust  外网区域为Untrust

[FW]security-policy    //创建安全策略 

[FW-policy-security]rule name Trust_Intelnet    //安全策略名字

[FW-policy-security-rule-Trust_Intelnet]source-zone trust    //放行trust安全区域

[FW-policy-security-rule-Trust_Intelnet]destination-zone untrust //到untrust 安全

[FW-policy-security-rule-Trust_Intelnet]source-address 192.168.0.0 0.0.0.255  //源IP

[FW-policy-security-rule-Trust_Intelnet]service icmp //放行服务类型

[FW-policy-security-rule-Trust_Intelnet]service dns

[FW-policy-security-rule-Trust_Intelnet]service http

[FW-policy-security-rule-Trust_Intelnet]action permit   激活放行动作

[FW-policy-security-rule-Trust_Intelnet]quit

五、配置DMZ区域,一般为服务器区域

[FW]security-policy    //创建安全策略 

[FW-policy-security]rule name Trust_Intelnet    //安全策略名字

[FW-policy-security-rule-Trust_Intelnet]source-zone trust    //放行trust安全区域

[FW-policy-security-rule-Trust_Intelnet]destination-zone untrust //到untrust 安全

[FW-policy-security-rule-Trust_Intelnet]source-address 192.168.0.0 0.0.0.255  //源IP

[FW-policy-security-rule-Trust_Intelnet]service icmp //放行服务类型

[FW-policy-security-rule-Trust_Intelnet]service dns

[FW-policy-security-rule-Trust_Intelnet]service http

[FW-policy-security-rule-Trust_Intelnet]action permit   激活放行动作

[FW-policy-security-rule-Trust_Intelnet]quit

六、验证效果

测试:trust 访问dmz区域是通的,而DMZ区哉是无法访问Trust区域,因为没有放行此动作。

以下是防火墙查看会话表信息

[FW]display firewall session table  //查看会话表信息

[FW]display firewall session table verbose //查看会话表的详细信息

[FW]display firewall session table service http  //查看某个服务类型的会话信息

爱吃啤酒焖鹅的顾问
关注
企业网络基于防火墙NAT综合实施案例实战(附topo实验配置环境)
悦分享
09-15 395
需求2:企业2内访问internet(No-pat),企业2的web服务器对外提供服务,额外申请的公有IP地址(102.1.1.101、102.1.1.102、102.1.1.103)映射到企业2私有地址(192.168.1.1、192.168.1.2、192.168.2.100)。需求4:PC4、PC5访问工商WEB服务器,不能真接访问工商WEB服务器,需要访问到防火墙iP地址,防火墙根据安全策略访问到工商Web服务器,工商WEB服务器原路数据返回(双向NAT);
中小型企业网络规划设计方案_实战:企业网络系统规划与设计与事项
热门推荐
weixin_39756192的博客
10-24 1万+
某大中型企业。有多个部门,财务部、人事部、销售部、工程部。同部门之间采用二层交换网络相连;不同部门之间采用VLAN路由方式互访。企业有一台内部web服务器,承载着内部站,方便员工了解公司的即时信息。局域路由器启用多种路由协议(静态路由、动态路由协议),并实施路由控制、负载均衡、访问限制等功能。企业有一条专线接到运营商用以连接互联,由于从运营商只获取到一个公IP地址,所以企业员工访问互联需...
企业出口网络设计与规划
11-26
企业出口网络设计与规划企业出口网络设计与规划
园区网络安全设计——出口防火墙
城下深蓝的博客
05-27 3147
园区网络安全设计——出口防火墙
五、防御保护---防火墙出口选路篇
M372109150的博客
01-30 1112
本篇介绍了防火墙的就近选路,策略路由选路和智能选路(全局路由策略) 1.基于链路带宽的负载分担 2.基于链路质量进行负载分担 3.基于链路权重进行负载分担 4.基于链路优先级的主备备份
基于策略路由部署网络出口设计研究与实现
毕业作品网站
07-23 1706
摘 要:基于策略的路由是一种比基于目的网络的路由更灵活的数据包路由和转发机制。路由器处理需要转发的数据包,通过路由图决策,路由图确定数据包的下一个路由器转发路径。该设计以校园为背景,采用多出口周边网络方案,可以缓解CERNET与公互联不畅的问题,但会导致周边网络路由复杂。为此,您应该在实施此方案之前规划好您的周边网络路由,并通过掌握该流量在您的周边网络中的转发过程来有效地预留流量。外只能访问内记录服务器,内主机可以自动选择出口访问外。实验基于典型计算机网络环境对网络功能的要求,使用ENSP模拟
防火墙企业园区出口安全方案中的应用(ENSP实现)_基于ensp的大型企业双路由出口与双防火墙,以及两台三层交换机作为汇聚接入设备的
2401_84140463的博客
04-09 928
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
基于eNSP加防火墙的千人中型校园/企业网络规划与设计(附所有配置命令)
06-04
文件中包含了基于eNSP加防火墙的千人中型校园/企业网络规划与设计的topo图及其完整的配置(2份 区别就是第二个加了无线网络规划设计(WIFI))(三层架构,核心层、汇聚层、计入层),并加所有的配置命令(以txt形式在...
基于华为eNSP的中小企业办公园区/校园网络规划与设计
10-18
在设计原则以及设计需求的前提下,对企业办公园区进行网络规划设计,其中分为两大部分,一部分是进行网络拓扑结构搭建,其中包括对设备及端口进行了相应的配置;另一部分是对整体、部分的网络功能进行相关的网络仿真...
网络设备与组技术中智简园区/企业网络规划与设计 word 文档 使用说明
最新发布
06-20
- **出口区组设计**:出口区通常是指企业网络与外部互联之间的边界区域。在这里需要设计防火墙、路由器等安全设备,确保内外部通信的安全。 - **汇聚层组设计**:汇聚层是连接接入层与核心层的关键节点,...
基于智能DNS的校园网络出口的设计和实现(收集于网络
07-28
基于智能DNS的校园网络出口的设计和实现
数据中心网络出口设计
weixin_34198797的博客
11-21 1144
标题索引追朔原因问题刨析出口结构网络优化 转载于:https://blog.51cto.com/weiboxue/1983722
防火墙企业园区出口安全方案中的应用(ENSP实现)
Shass的博客
01-25 2990
该方案描述了防火墙企业园区网络的Internet出口处的典型应用。如果您想在企业网络出口部署防火墙,完全可以借鉴此案例。该方案诠释了双机热备的经典组:“防火墙上行连接交换机,下行连接三层设备”。我们可以借此理解双机热备的典型应用。该方案展现了防火墙作为关的多出口选路能力,包括:全局智能选路和策略路由智能选路等功能。该方案还体现了防火墙的应用识别和控制能力。防火墙不仅能够识别端口信息,还能够识别各种应用,并且能够根据应用进行访问控制、策略路由和流量控制。
防火墙在广电出口安全方案中的应用
网络技术联盟站
07-28 1400
广电行业除了提供家庭广播电视业务,还向ISP租用链路开展宽带用户上、服务器托管等网络接入服务。此时网络出口处通常部署防火墙作为出口关提供Internet接入及安全保障功能。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fumULCvx-1690533020230)(https://img.wljslmz.cn/wljslmzcn/202209202201412.png)]NAT。
配置公司内防火墙安全区域和策略
weixin_72584149的博客
01-25 780
要求:生产区是vlan 2 ,办公区是vlan 3,生产区的安全区域是SC , 办公区的安全区域是BG ,server1(ftp服务器)和server2(http服务器)在DMZ区域 ,生产区只能在9:00到18:00访问server1和server2 , 办公区全天都可以访问server1和server2。1.先配二层的交换机LSW7,生产区在vlan 2 ,办公区在vlan 3 ,g0/0/1 是access类型 ,g0/0/2是 access类型 , g0/0/3是trunk类型。
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 1120
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
浅谈企业出口防火墙的选择
weixin_33849215的博客
11-11 1091
1. 防火墙作为专用安全设备,自身的安全性必须得到保障。防火墙的软硬件应该为一体化设计产品,硬件为专用硬件平台,软件为专用的安全操作系统,非通用操作系统加装防火墙软件。 2. 防火墙的性能参数主要包括防火墙的吞吐量,3DES×××吞吐量,每秒新建连接数,最大并发连接数四个指标。一般来说,这4个指标应该是完全匹配的,根据木桶原理,4个指标中某一个指标或...
防火墙配置NAT 多出口
qq_44757725的博客
11-13 4534
防火墙配置NAT多出口 配置实例 某企业网络拓扑如下 部门A:vlan11:192.168.11.1 /24 部门B:vlan12:192.168.12.1/24 两个部门均通过vlan10接入防火墙,从而访问外部网络。内部服务器开启了web服务以及ftp服务,外部客户端只能访问内部的web服务和ftp服务。防火墙有联通和电信两个出口。 设备配置 防火墙配置 interface Gigabit...
防火墙实现实时企业网络访问控制策略
防火墙作为网络出口设备,负责实施严格的访问控制,只允许特定的流量通过。 需求分析部分指出,需要对内部网络的出站流量进行限制,防火墙的包过滤规则可以满足此需求,通过源IP地址、目的IP地址和端口号来确定哪些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值