【HCIA 安全】安全策略实验

最新推荐文章于 2023-03-09 17:45:33 发布
最新推荐文章于 2023-03-09 17:45:33 发布
阅读量340 收藏
点赞数
文章标签: 安全 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40733491/article/details/125699002
版权

防火墙安全策略及应用
配置需求
在这里插入图片描述
配置安全策略,完成以下需求:
Trust区域在工作时间(周一~周五9:00-21:00)禁止访问【娱乐】类应用。
允许Trust区域(10.1.1.0/24~10.1.4.0/24地址列表)访问其他任意区域。
允许Untrust区域访问DMZ区域的http、https、ftp服务(使用服务组。

在这里插入图片描述
security-policy
default action permit
在这里插入图片描述
time-range 工作时间
period-range 09:00 to 21:00 working-day
在这里插入图片描述

ip address-set trust_network type object
adress 0 10.1.1.0 mask 24
adress 1 10.1.2.0 mask 24
adress 2 10.1.3.0 mask 24
adress 3 10.1.4.0 mask 24
在这里插入图片描述
ip service-set service_groub type object
service 0 service-set http
service 1 service-set https
service 2 service-set ftp
在这里插入图片描述
security-policy
rule name trust_untrust
source-zone trust
destination-zone untrust
application category Entertainment
time-range 工作时间
action deny
在这里插入图片描述

display security-policy all
19:50:40 2022/07/09
Total:2
RULE ID RULE NAME        STATE	            ACTION
---------------------------------------------------------
0    default             enable               deny
---------------------------------------------------------

防火墙Web备注界面步骤

第一步:创建时间段
在这里插入图片描述
第二步:创建地址
在这里插入图片描述
第三步:新建服务组

在这里插入图片描述
第四步:新建安全策略,并调用创建的时间段、地址对象。
在这里插入图片描述

第五步:trust-any 策略放行
在这里插入图片描述
第六步:untrust-dmz策略放行

在这里插入图片描述
测试结果:
在这里插入图片描述

测试防火墙的安全接口,需要执行以下命令,才能够ping 通
interface GigabitEthernet0/0/1
ip address 202.100.1.10 24
service-manage ping permit

总结:

安全策略配置思路
第一步:基本配置
IP 、地址、 zone、 路由

第二步:定义各种对象
定义时间段 :
time-range 上班时间
period-range 09:00:00 to 21:00:00 working day
定义地址集:
ip address-set trust_network type object
adress 0 10.1.1.0 mask 24
adress 1 10.1.2.0 mask 24
adress 2 10.1.3.0 mask 24
adress 3 10.1.4.0 mask 24
定义服务集:
ip service-set service_group type object
service 0 service-set http
service 1 service-set https
service 2 service-set ftp

第三步:配置安全策略
security-policy
rule name trust_untrust ----------- #不允许trust到untrust上班时间访问娱乐服务
source-zone trust
destination-zone untrust
application category Entertainment------------#应用可以直接调用
time-range 上班时间-------------直接调用定义的对象
action deny
rule name trus_any
source-zone trust
source-adress adress-set trust_network
action permit
rule name untrust_dmz
source-zone untrust
destination-zone dmz
service service_group
action permit

第四步:检查

[FW1]display security-policy all
20:05:17 2019/09/17
Total:4
RULE ID   RULE NAME         STATE     ACTION         HITTED
0         default           enable     deny           2089
1         truist_untrust    enable     deny           23
2         trust_any         enable     permit         124
3         untrust_dmz       enable       permit       2

[FW1]display security-policy rule truist_untrust
20:06:20 2019/09/17
(23 times matched)
rule name trust_untrust
source-zone trust
destination-zone untrust
application category Entertainment
time-range 上班时间
action deny
异小生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HCIA-Security 实验手册 v3.0.docx
07-14
HCIA-Security 实验手册 v3.0.docx
HCIA综合实验
qq_40005416的博客
04-27 3697
文章目录前言一、子网划分二、配置思路三、配置命令1.IP地址+vlan+dhcp服务SW1SW2R1R2ISP2.OSPF配置R1R23.ACL+NATR1R24.服务器配置http服务器dns服务器总结 前言 本篇博客将对HCIA的所有内容做一个总结,整合为一个综合实验来完成。 要求 1.ISP路由器只能配置IP地址,之后不进行任何配置 2.内部整个网络基于192.168.1.0/24进行地址划分 3.R1/2之间启动OSPF协议,单区域 4.PC1-4自动获取IP地址 5.PC1不能telnetR1
云计算HCIA---综合实验
灵兮诺雪的博客
12-25 863
实验要求 实验拓扑图 拓扑分析 在内网,共有3个大网段,在两个大网段中还要划分为两个小网段,即vlan 2和vlan 3。 R1与R2之间启动OSPF PC1-PC4自动获取IP地址 --- R1和R2需要启动DHCP服务。 PC1不能telnet R1 --- R1需要开启telnet服务并且需要在R1的0/0/0接口配置一张高级acl表,deny PC1 的远程登录服务。 R2公网IP地址只有一个,在配置nat时需要使用current-interface。 外部需要...
云计算HCIA实验手册
02-13
4. **网络安全**:涵盖云环境中的网络配置,如VPC(Virtual Private Cloud)、子网、安全组和NAT网关等,以及云环境下的安全策略,包括防火墙规则、SSL/TLS加密和访问控制。 5. **计算服务**:重点讲述华为云的...
HCIA-cloud pdf.zip
03-22
7. **拖拽题**:这部分通常会测试考生的实际操作能力,例如在模拟环境中配置云服务、设置安全策略等,要求考生对理论知识有扎实的理解并能应用于实际场景。 "HCIA新题.pdf"文件提供了最新的考试题目,考生可以通过...
华为模拟器eNSP-HCIA综合实验2
01-04
410e-AF31-34AEFD496286`、`31F98983-55A7-47e9-BAF2-9FD76F18E27D`和`25C2083F-BEC9-4cf0-9237-C4EC683AF107`可能分别对应其他网络设备,如额外的路由器或交换机,或者包含特定功能如NAT、DHCP服务器安全策略的...
HCNA-安全.zip
05-25
华为网络安全培训ppt+实验手册,其中包括v2.5版本的ppt课件,和实验手册,合成一个压缩包。HCNA-Security-CBSN_V2.5_教材及实验手册
华为HCIA、HCIP路由交换实验拓扑新版
最新发布
04-10
华为HCIA(Huawei Certified ICT Associate)和HCIP(Huawei Certified ICT Professional)是...无论你是初入职场的新人,还是寻求技能提升的网络工程师,华为HCIA和HCIP路由交换实验拓扑新版都是不容错过的学习资源。
HCIA-Security_V3.0_培训教材.pdf
07-15
HCIA-Security_V3.0_培训教材 官方最新学习教材,考取HCIA必备教材
无密码-HCIA-Security实验手册V3.0.pdf
06-12
华为安全认证最新实验手册,需要考证的同学可以下载看看
HCIA-Security_V3.0_实验手册.pdf
07-15
HCIA-Security_V3.0_实验手册是HCIA考试必备教材,考试必备
华为认证HCIA-Security(安全)PPT教材及实验手册V3.0.rar
01-07
新版HCIA-Security V3.0考试内容覆盖信息安全安全概述、操作系统与主机安全网络安全基础、加解密与应用、安全运营与分析基础等。考试代码:H12-711。 掌握中小型网络信息安全基础知识与相关技术(华为防火墙技术、加解密技术、信息安全系统运维等),具备协助设计、部署和运维中小型企业网络安全架构的能力,实现中小企业网络和应用的安全保障。 信息安全概念、信息安全标准与规范、常见攻击手段、基础操作系统安全、防火墙安全策略、防火墙NAT技术、防火墙双机热备技术、入侵防御技术、密码学基础、PKI机制、IPSec/SSL VPN技术、数据监控与分析、电子取证技术以及应急响应技术。
HCIA(华为体系初级网络安全工程师)eNSP(基础实验一静态路由)
m0_63069714的博客
12-06 1034
题目要求: 步骤一:对IP地址进行子网划分。 1,首先将192.168.1.0/24的IP地址进行子网划分,取其中五段子网,用来作为可用网段使用,其他作为备用网段。 子网划分结果: 192.168.1.0/27 192.168.1.32/27 192.168.1.64/27 192.168.1.96/27 192.168.1.128/27 192.168.1.160/27 192.168.1.192/27 192.168.1.224/27 2,将192.168.1.0/27的
华为数通HCIA、HCIP实验(含ensp实验拓扑资料)
热门推荐
yuyeconglong的博客
03-09 1万+
HCIA+HCIP实验拓扑
HCIA-Security -- 防火墙安全策略
qq_50929489的博客
11-13 2292
介绍了防火墙的基本概念与发展历史,同时介绍了防火墙安全区域、安全策略以及相应的控制原理。搭配基于实际环境的练习,独立完成华为防火墙安全策略的配置方法.并掌握防火墙在网络安全方案的部署场景。
HCIA HCIP安全入门 学习笔记
06-26
`undo`用于撤销指令,`save`保存配置,`disipintbrief`展示接口摘要信息,`disiprouting-table`显示路由表,`diszone`显示区域,`disfirewallsessiontable`显示会话,`dissecurity-policy all`显示安全策略。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值