华三Sec Path

于 2024-04-07 12:00:00 发布
阅读量813 收藏 8
点赞数 34
分类专栏: 中级网络工程师IP 文章标签: 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45790661/article/details/137433924
版权

1、设备特点

外观:

功能特点:

安全特性:

vFW的默认账号密码:admin

2、安全区域

1)相同安全级别的集合

2)默认的安全域

【1】区域

trust、untrust、local(所有有接口属于local,不能删除)、management、DMZ

【2】特点

默认创建、区域没有接口、缺省的区域不能删除

【3】区域成员

对象:接口和vlan、IP v4/v6子网、服务

优先级:服务>IP>接口和vlan

安全实例:(用于指定安全策略)

[vFW-acl-ipv4-adv-3001]dis this

#

acl advanced 3001

 rule 0 permit ip source 192.168.1.0 0.0.0.255

#

[vFW-zone-pair-security-Trust-Any]dis this

#

zone-pair security source Trust destination Any

 packet-filter 3001

#

①包过滤(配置安全实例→包过滤)

②对象组的对象策略

对象组:用于匹配数据包的特征

查看命令:[vFW]display current-configuration configuration obj-grp

特征:IP地址、MAC地址、协议

对象策略:根据对象的匹配类型,定义各个对象组之间的策略

                 一个对象策略可以存在多条规则

查看命令:[vFW]display current-configuration configuration object-policy-ip

匹配顺序与创建顺序有关

特点:对象策略匹配对象组,如果不存在,则不匹配任何报文

          对象策略不指定对象组,该规则匹配所有报文

配置步骤:

1、放行Trust区域中10.1.1.0/24到其他区域的任意IP流量。

①定义对象组

object-group ip address Inside

 0 network subnet 192.168.1.0 255.255.255.0

②定义对象策略

object-policy ip TRUST-TO-ANY

 rule 0 pass source-ip Inside

③调用策略

[vFW]zone-pair security source trust destination any

[vFW-zone-pair-security-Trust-Any]object-policy apply ip TRUST-TO-ANY

[vFW-zone-pair-security-Trust-Any]qu

2、只放行DMZ区域到Trust区域中10.1.1.1/24的telnet流量。

①定义对象组

object-group ip address DMZ

 0 network subnet 172.16.2.0 255.255.255.0

object-group ip address Inside_PC1

 0 network host address 192.168.1.1

object-group service Service_telnet

 0 service tcp destination eq 23

②定义对象策略

object-policy ip DMZ-TO-TRUST

 rule 0 pass source-ip DMZ destination-ip Inside_PC1 service Service_telnet

③调用策略

[vFW]zone-pair security source DMZ destination trust

[vFW-zone-pair-security-DMZ-Trust]object-policy apply ip DMZ-TO-TRUST

[vFW-zone-pair-security-DMZ-Trust]qu

3、只放行Untrust区域的10.1.4.0/24到DMZ区域中10.1.2.1/24的HTTP和telnet流量。

①定义对象组

object-group ip address DMZ_srv

 0 network host address 172.16.2.1

object-group ip address Outside

 0 network subnet 202.101.12.0 255.255.255.0

object-group service Service_HTTP

 0 service tcp destination eq 80

 10 service tcp destination eq 23

②定义对象策略

object-policy ip UNTRUST_TO_DMZ

 rule 0 pass source-ip Outside destination-ip DMZ_srv service Service_HTTP

③调用策略

[vFW]zone-pair security source untrust destination dmz

[vFW-zone-pair-security-Untrust-DMZ]object-policy apply ip UNTRUST_TO_DMZ

[vFW-zone-pair-security-Untrust-DMZ]qu

③ASPF

同一个区域内的接口间,如果没有安全实例,默认是丢包

3、基本配置

区域添加接口

查看命令:

DHCP:

设置域间策略:

4、安全策略

1)定义

根据报文的属性特征指导报文的转发行为和DPI(深度报文检测)

2)应用:

防火墙转发报文、流量访问防火墙(telnet)

3)发展:

ALC(采用五元组匹配流量,涉及的层次不高)、UTM、NGFW

4)构成:

过滤条件(设置IP、用户、区域、协议等信息;可以设置多种因数)

设置动作:放行、拒绝、DPI

5)顺序

先创建先匹配;限制越严格写前面

6)流程

7)注意事项

非management和非local安全的报文都会被丢弃

当需要访问防火墙时,需要配置源安全区域到local区域的安全策略

限制越严格写前面

8)配置的顺序

1、允许总裁办在任意时间通过HTTP协议访问财务数据库服务器的Web服务:

security-policy ip

 rule 0 name zongcaiban_to_database

 action pass

 source-zone zongcaiban

 destination-zone database

 source-ip-subnet 192.168.1.0 255.255.255.0

destination-ip-subnet 172.16.2.0 255.255.255.0

service http

2、允许财务部在工作时间通过HTTP协议访问财务数据库服务器的Web服务。

①设置工作时间:

[vFW]time-range Worktime 08:00 to 18:00 working-day

②设置策略:

security-policy ip

 rule 1 name caiwubu_to_database

 action pass

 time-range Worktime

 source-zone caiwubu

 destination-zone database

 source-ip-subnet 202.101.12.0 255.255.255.0

destination-ip-subnet 172.16.2.0 255.255.255.0

service http

5、设备的管理登入

若是要进行非management安全区域主机对设备进行登录,则要记得写安全策略

telnet

[vFW]telnet server enable ---开启telnet服务

[vFW]line vty 0 4---设置VTY远程登入

[vFW-line-vty0-4]authentication-mode scheme  --- AAA认证

[vFW-line-vty0-4]qu

[vFW]local-user LTL class manage ---创建账号

[vFW-luser-manage-LTL]password simple abc@123456---设置密码

[vFW-luser-manage-LTL]service-type telnet---开启服务

[vFW-luser-manage-LTL]qu

HTTP

若是要进行非management安全区域主机对设备进行登录,则要记得写安全策略

Jun_Share
关注
  • 34
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
H3C 防火墙策略介绍
qq_55707182的博客
06-29 5188
注意点:H3C防火墙安全策略和间策略,安全策略的优先级大于间策略,会优先匹配安全策略,匹配不到才会匹配间策略间策略:any to any的间策略优先级低于具体的区到具体的区间策略安全策略匹配顺序:从上到下,和安全策略的ID号没有任何关联Local :默认防火墙所有接口都属于Local安全在初始化的时候,安全策略是空的,因为里面没有内容(没有隐含的拒绝所有的策略)生效的是间策略,这个间策略是拒绝所有的,所以刚开始是所有流量都不通的建议:使用一种策略来进行管理设备(安全策略)1、将
H3C防火墙实验
m0_56063470的博客
11-27 1442
配置ip和默认路由省略(ip rou 0.0.0.0 0 10.0.0.2/ip rou 0.0.0.0 0 20.0.0.2) 改名(第一部做) 改名 sysname fn 绑定防火墙安全端口 [fn]security-zone name Trust [fn-security-zone-Trust]import interface g1/0/0 [fn]security-zone name untrust [fn-security-zone-Untrust]import interfa
防火墙的基本配置
hhhhhhhzp的博客
04-08 4281
第一步:创建拓扑图 第一次做多多关照 如图创建好拓扑图 如图创建好拓扑图,并配置好相应的ip地址及默认路由,其中防火墙的G1/0/1接口IP地址为10.0.0.254 24 防火墙G1/0/2接口IP地址为20.0.0.254 24,防火墙G1/0/3ip地址为30.0.0.254 24,将R1、R2、R3分别划分到VLAN10、VLAN20、VLAN30,交换机出口11、 12、 13分别划分到VLAN10、VLAN20、VLAN30 第二步:划分防火墙防火墙中输入: [FW]firewal
H3C防火墙安全知识、远程登陆及web页面
qq_44208982的博客
06-03 8972
安全相关介绍 安全Security Zone),用于管理防火墙设备上安全需求的一些接口。 管理员将安全需求相同的接口进行分类,并划分到不同安全,从而实现安全策略的统一管理。 防火墙出厂的确省安全 H3C防火墙出厂存在的确省安全:Local 、DMZ、Trust、Untrust、Management。 缺省安全不可删除,且中没有端口。 [H3C]security-zone name ? STRING<1-31> Security zone name Loc
H3C 防火墙混合实验 新华三杯拆解
呦菜呦爱玩的博客
11-23 1460
项目需求 1. 根据题目要求配置IP地址,用路由器模拟PC和internet,只做静态路由 2. 防火墙端口绑定安全,配置安全策略,local/trust/untrust 可互通 3. 内网做ospf 4. 配置NAT使内网可访问 internet
华三visio设备图标
最新发布
03-12
华三visio设备图标,需要自取
2022最新华三IE+RS考试
07-22
这是我2022/7月份过的华三IE+RS考试备考资料,考华三IE+RS的笔试、机试、面试我都是一次性通过。我也一直在CSDN里找相应的资料。但是给我提供帮助不大。而且培训机构的老师只是告诉我几句话(第一:为什么会有这个...
华三交换机配置手册
12-10
华三交换机配置手册 华三交换机配置手册是关于华三交换机的配置指南,旨在帮助网络管理员和工程师快速掌握华三交换机的配置和管理。该手册涵盖了华三交换机的基本配置、VLAN 及接口配置、IP 路由配置、ACL 配置等...
华三交换命令
08-24
华三的配置命令。交换路由防火墙等。华三的配置命令。交换路由防火墙
华三图标总库
10-30
华三网络设备图标,你可方便制作网络拓扑图,网络工程专用图标
华三防火墙安全策略配置
热门推荐
weixin_46322576的博客
02-07 1万+
1.组网需求 ⑴ leadership和staff之间通过FW1实现互连,该公司的工作时间为每周工作日的8点到18点。 ⑵ 通过配置安全策略规则,允许leadership在任意时间、staff在工作时间访问外网。 2. 组网图 3. 配置步骤 (1) 配置接口IP地址、路由保证网络可达。 [FW1]int g1/0/2 [FW1-GigabitEthernet1/0/2]nat outbound [FW1-GigabitEthernet1/0/2]ip addre...
H3C防火墙-安全配置举例
MAsunshine的博客
10-19 9345
1. 组网需求 某公司以 Device 作为网络边界安全防护设备,连接公司内部网络和 Internet。公司只对内部提供Web 服务,不对外提供这些服务。现需要在设备上部署安全,并基于以下安全需求进行间策略 的配置。 • 与接口 GigabitEthernet1/0/1 相连的公司内部网络属于可信任网络,部署在 Trust 安全,可以自由访问 Web 服务器和外部网络。 • 与接口 GigabitEthernet1/0/3 相连的外部网络属于不可信任网络,部署在 Untrust 安全,不能访问公司内
H3C防火墙-安全
MAsunshine的博客
10-19 5125
一. 基本概念 安全:是一个逻辑概念,用于管理安全防护设备上的安全需求相 同的多个接口,便于实现安全控制策略的统一管理。 缺省安全:当首次创建安全策略或间策略时,系统会自动创建 以下安全:local、trust、DMZ,Management和untrust。缺省安全不能被删掉。 DMZ:指介于严格的军事管制区和松散的公共区之间的一种有 着部分管制的区安全中引用这一术语,指代一个逻辑上和物理 上都与内部网络和外部网络分离的区。通常部署网络时,将那些需 要被公共访问的设备(如
H3C 关于安全的一个理解
answan的博客
02-25 788
H3C 关于安全的一个理解
H3C防火墙基础配置1-登录配置、安全配置
阿元的笔记
11-06 1万+
1 登录配置 添加管理类本地用户 local-user test class manage password simple string service-type {ftp|http|https|ssh|telnet|terminal} 添加网络接入类本地用户 local-user test2 class network password simple ...
H3C的防火墙一配置举例
weixin_33940102的博客
09-13 1422
H3C的防火墙必须把接口加到里面去 # 配置接口Ethernet 0/0/0 加入防火墙Trust 。 [H3C] firewall zone trust [H3C-zone-trust] add interface Ethernet 0/0/0 H3C 防火墙(zone) 区(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于路由器的主要特征...
华三防火墙简单配置安全
Ddfgxfgg的博客
05-20 7337
实现简单的核心交换机与出口路由的隔离 华三防火墙默认账户密码为admin/admin 让g1/0/1口为连接核心交换的接口 [H3C]int g1/0/1 //进入g1/0/1接口 [H3C-GigabitEthernet1/0/1]port link-mode bridge //设置端口模式为二层 [H3C-GigabitEthernet1/0/1]port link-type trunk //设置为trunk接口 [H3C-GigabitEthern...
(2)防火墙的基本配置---1安全和端口
lzlz70707的专栏
02-23 9421
拿到这个防火墙先观(端)察(详)一下,面板上一共12个千兆电口,两个光口跟GE0 GE1形成Combo。反正这项目也不用光口,暂且放下。还一个HDD扩展口,用于插扩展硬盘。还两个USB,暂时不知道有啥用。最后还一个Console口,熟悉的套路这玩意是接串口的。 起初以为GE3~GE11这些个端口是交换机作用,于是接两个计算机互相PING,结果不通。 先将计算机上的串口通过专用转接线(买防火墙
h3c sec_path
10-03
H3C SecPath华三科技推出的一款网络安全产品。它是一种网络安全解决方案,旨在提供全方位的保护,帮助网络管理员有效地识别、阻止和响应各种网络威胁。 H3C SecPath可以对网络进行全面的安全检测和监控,包括入侵检测和防御、漏洞扫描、网络访问控制等功能。通过实时监测网络流量,SecPath可以精确识别和阻止各种潜在的威胁,例如恶意软件、网络攻击、入侵行为等。 此外,H3C SecPath还提供了强大的漏洞扫描功能,帮助网络管理员及时发现和修复网络中存在的安全漏洞,从而减少网络面临攻击的风险。同时,SecPath还支持多种身份验证方式和访问控制策略,确保只有授权用户可以访问网络资源。 除了以上功能,H3C SecPath还提供了丰富的日志记录和报告功能。管理员可以查看详细的安全日志,对网络安全事件进行追踪和分析。此外,SecPath还可以生成报表,提供对网络安全状况的全面评估和分析。 总的来说,H3C SecPath是一款功能强大的网络安全产品,它能够全面保护企业网络免受各种威胁的侵害。通过利用其强大的安全检测和防御功能,SecPath能够及时发现和阻止网络攻击,并提供详细的日志和报告,帮助管理员全面了解和分析网络安全状况。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jun_Share

能不花就省点~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值