华为eNSP配置防火墙命令行放行

最新推荐文章于 2025-04-03 19:43:36 发布
最新推荐文章于 2025-04-03 19:43:36 发布
阅读量6.2k 收藏 64
点赞数 6
分类专栏: 华为eNSP 文章标签: 网络 华为 网络协议 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54100121/article/details/124225895
版权

防火墙命令行放行

三种区域:
DMZ区域是非军事化区域,外网流量要先访问DMZ区域,DMZ从而进行更好的阻拦
trust区域是内部区域,俗称内网
untrust区域是外部区域,俗称外网
内网需要做安全策略才能访问外网,外网是不能访问内网的

准备工作:
所有设备修改名称
配置IP地址

防火墙默认阻挡所有流量通过

配置IP地址:
LSW1配置:
vlan 10
int vlan 10
undo shutdown
port-group group-member eth0/0/1 eth0/0/2
port link-type access
port default vlan 10
​
AR1配置:
int gi0/0/0
ip add 10.1.1.2 24
undo shutdown
​
int loopback 0
ip add 1.1.1.1 32
​
FW1配置:
vlan 10
int vlan 10
ip add 192.168.10.254 24
undo shutdown
int gi1/0/2
portswitch      #转换成二层接口
port link-type access
port default vlan 10    
undo shutdown
​
int gi1/0/1
ip add 10.2.2.2 24
undo shutdown
​
int gi1/0/0
ip add 10.1.1.1 24
undo shutdown

添加安全区域,放行流量

FW1配置:
firewall zone trust             #进入安全区域
add int vlan 10                 #把安全区域的接口或者vlan划分进去
quit
​
firewall zone untrust           #进入外网区域,这个区域是不能访问内网的
add int gi1/0/0                 #添加这个区域的接口
quit
​
firewall zone dmz               #进入dmz区域,这个区域是非军事区域,也就是相当于防火墙里面的第二道防火墙
add int gi1/0/1                 #添加这个区域的接口
quit

默认防火墙所有接口都是在local区域的,所以我们要放行local区域

FW1配置:
security-policy                 #建立安全策略
rule name local                 #起个名字为local
source-zone local               #默认所有接口的区域在local
action permit                   #放行流量通过

这样还不算完,这些都做了之后,其它设备还是ping不通防火墙,需要开启连接防火墙的三个接口

FW1配置:
int gi1/0/2                     #进入gi1/0/2接口
service-manager ping permit     #在接口上允许ping,如果不开这个ping,就算策略做了也不能与防火墙通信
quit
​
int gi1/0/1
service-manager ping permit
quit
​
int gi1/0/0
service-manager ping permit
quit

内网的PC1去ping通防火墙的192.168.10.254

外网的R1路由器去ping通防火墙

DMZ服务器去ping通防火墙

防火墙命令行放行
vx XIxi_AL
12-08 3112
三种区域: DMZ区域是非军事化区域,外网流量要先访问DMZ区域,DMZ从而进行更好的阻拦 trust区域是内部区域,俗称内网 untrust区域是外部区域,俗称外网 内网需要做安全策略才能访问外网,外网是不能访问内网的 准备工作: 所有设备修改名称 配置IP地址 防火墙默认阻挡所有流量通过 配置IP地址: LSW1配置: vlan 10 int vlan 10 undo shutdown port-group group-member eth0/0/1 eth0/0/2 port ...
华为防火墙配置笔记
weixin_30375247的博客
07-05 7071
防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。 初始化防火墙 初始化防火墙: 默认用户名为admin,默认的密码Admin@12...
安全防御——二、ENSP防火墙实验学习_ensp模拟防火墙旁挂控制实验_ensp两个防火墙ping不通
韩束一叶子
03-14 828
防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
eNSP实验——防火墙配置(Zone 区域配置 + 安全策略配置
最新发布
记录
04-03 2431
防火墙(Firewall)是一种网络安全设备(硬件或软件),用于监控和控制进出网络的流量,基于预定义的安全规则允许或阻止数据包的传输。其主要目的是在可信网络(内网)和不可信网络(外网)之间建立安全屏障,防止未授权访问、恶意攻击和数据泄露。防火墙既可以是二层设备,也可以是三层设备,具体取决于其工作模式和部署场景。特性三层防火墙二层防火墙工作层级网络层(Layer 3)数据链路层(Layer 2)IP地址需求需要配置IP地址和路由无需IP地址,透明转发部署影响需调整路由表对网络拓扑无影响过滤依据。
华为eNSP实验-防火墙模拟配置(采用ping命令逐步分析)
weixin_42536940的博客
07-14 2万+
eNSP模拟实现防火墙配置,采用ping来逐步分析命令的作用
华为ensp防火墙配置(纯享版)
qq_45673244的博客
11-05 4638
防火墙是生活和项目中不可或缺的一部分,本篇文章对华为ensp防火墙配置做一个总结。在之前的dhcp配置中有软件的下载地址,需要地址的小伙伴可以去看之前的dhcp中继配置防火墙配置拓展很多,本文不涉及抄袭,写文的目的是解决自在配置时候的问题,并总结经验,提供一些方法给需要的同学!!!!
华为ENSP华为eNSP配置防火墙命令放行实验
小吴的博客
09-19 2477
本次实验按照拓扑的要求完成了dmz和trust区域可以主动互访、untrust区域只能主动互访dmz和trust可以主动访问dmz和untrust。这篇文章只是按照作者自己的思维来配置,若其他小伙伴有其他的想法欢迎与作者交流!!!以上就是今天实验的内容,本文仅仅简单介绍了ensp中的防火墙的使用。
Linux防火墙关闭.开启.端口放行命令
qq_43012792的博客
09-24 7070
使用阿里云 CentOS 7 演示: 1、暴力临时关闭所有端口(临时:重启服务器就不会生效,会打开防火墙): 不推荐 service firewalld stop 或 systemctl stop firewalld # 临时关闭防火墙(所有端口) service firewalld status 或 systemctl status firewalld # 查看防火墙运行的信息 firewall-cmd --state # 查看防火墙是否运行中 2、防火墙放行指定端口命令: 推
Linux防火墙命令 开启、关闭、放行端口、检测远程端口
热门推荐
clover661的博客
08-11 3万+
一、查看系统防火墙状态(如果返回 running 代表防火墙启动正常) systemctl status firewalld 二、放行端口 添加端口 返回 success 代表成功(–permanent永久生效,没有此参数重启后失效) 1. firewall-cmd --zone=public --add-port=80/tcp --permanent #放行80端口 2. firewall-cmd --zone=public --add-port=443/tcp --permanent #放行443
网络工程师之华为Ensp配置
九儿九只的博客
05-02 7027
网络工程师 软考 华为 ENSP 路由
华为防火墙配置命令手册
02-20
华为 防火墙 配置 命令 手册。正版书籍不得转送. 防火墙配置指南.pdf 系列安全产品 操作手册(V1.06).pdf 系列安全产品 Web配置手册(V1.04).pdf 系列安全产品 命令手册..pdf ....
常用华为防火墙命令
12-12
常用华为防火墙命令
使用eNSP配置防火墙USG6000v双机热备(VGMP+HRP+OSPF+NAT)
有谁需要地图吗?
02-28 9354
前言 本实验使用华为模拟器eNSP中USG6000v完成实验。USG6000v是虚拟防火墙。 实验拓扑 配置过程 一、导入设备包 由于USG6000v模拟器需要导入设备包才能使用,所以需要在华为企业专网下载USG6000v的设备包才能使用,根据自己eNSP的版本下载对应版本的设备包,推荐使用eNSP500或eNSP510。比如我的eNSP版本是510,那么需要进入该链接:eNSP各版本下载链接进行设备包的下载。 下载设备包需要一个华为账户...
ENSP实现防火墙区域策略与用户管理
2301_80177550的博客
07-11 1271
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地址为10.0.3.10。5.生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123。4.办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证。2.生产区不允许访问互联网,办公区和游客区允许访问互联网。
ensp通过防火墙做nat dns
qq_60582114的博客
10-14 3361
前言 以usg6000v为例,防火墙分为四个常见区域:trust区域(优先级85),dmz区域(优先级50),untrust区域(优先级5)和local区域(优先级100)。需要注意的是,如果需要区域间通信,则需要通过安全策略放行通信来实现,下面,我们将通过简单的拓扑使用防火墙做nat和dns…… 1.实验拓扑内网通过dhcp接口下放192.168.1.0网段,FW1的g1/0/1接口ip为10.1.1.1/24,AR1的looback口ip为1.1.1.1/32,以此类推,外网做ospf实现通信。 实验
ensp 防火墙简单配置
weixin_44152531的博客
09-17 2万+
本次实验使用PC:1 服务器:2 client:1 交换机:1 为s3700 防火墙:1 为USG6000V beta版本 (使用该设备需要虚拟镜像) 1. 访问防火墙接口 当配置好了IP地址后发现访问不了防火墙的网关地址,这时候要在防火墙的接口中配置命令: interface GigabitEthernet1/0/1 undo shutdown ip address 192.168.1.254 255.255.255.0 service-manage ping permit //为允许接口ping..
eNSP防火墙任务配置
m0_64118193的博客
10-17 6974
进入untrust区域。#进入trust区域。
Linux防火墙配置放行端口
qq_1801743621的博客
04-24 1万+
文章目录一、firewalld的基本使用(系统防火墙)二、配置firewalld-cmd三、通过firewall-cmd(放行端口) 一、firewalld的基本使用(系统防火墙) 1.查看防火墙状态: systemctl status firewalld.service 2.关闭防火墙: systemctl stop firewalld.service 3.重启防火墙: systemctl restart firewalld.service 4.开启防火墙: systemctl start fir
华为eNSP防火墙配置
02-21
### 华为eNSP防火墙配置指南 #### 1. 基础环境搭建 为了在华为eNSP模拟器中进行防火墙配置,需先建立基础网络拓扑结构。通常情况下,这涉及到创建至少两个路由器或交换机以及一台或多台PC终端来模拟内外网环境。 #### 2. 防火墙模块安装与初始化设置 启动所需设备后,在目标路由器上加载防火墙软件包,并完成初始向导式的简单设定过程,比如定义主机名、登录密码等基本信息[^1]。 #### 3. 安全区域划分 通过命令行界面CLI进入安全策略视图下,利用`firewall zone`指令新增自定义的安全区段,如Trust(信任)、Untrust(不信任),并将相应的物理端口分配给这些逻辑分区: ```shell [Huawei] firewall zone trust [Huawei-zone-trust] add interface GigabitEthernet 0/0/1 ``` 上述例子表示将GigabitEthernet 0/0/1接口划入到名为“trust”的区域内[^2]。 #### 4. 访问控制列表ACL的应用 针对不同方向的数据流制定过滤规则,即所谓的访问控制列表(Access Control List, ACL),用于精确管控进出流量的行为模式。例如允许特定IP地址范围内的计算机访问内部资源的同时阻止其他外部请求: ```shell [Huawei] acl number 3000 [Huawei-acl-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination any [Huawei-adv-3000] quit [Huawei] interface gigabitethernet 0/0/2 [Huawei-GigabitEthernet0/0/2] traffic-filter inbound acl 3000 ``` 此段脚本实现了仅放行来自192.168.1.x子网内机器发起的所有类型的连接尝试,而拒绝其余未授权源点发出的信息传递活动[^3]。 #### 5. NAT转换机制部署 对于希望隐藏真实局域网布局或者实现多对一映射场景而言,启用Network Address Translation (NAT) 功能至关重要。下面给出了一种典型应用场景下的参数调整方式——动态PAT(port address translation): ```shell [Huawei]interface g0/0/2 [Huawei-GigabitEthernet0/0/2]nat outbound 2000 [Huawei]interface loopback 0 [Huawei-LoopBack0]ip address 1.1.1.1 255.255.255.255 [Huawei]acl number 2000 [Huawei-2000]rule permit source 172.16.0.0 0.0.255.255 ``` 这里假设外网出口位于g0/0/2接口处,则该组语句的作用就是让所有源自私有IPv4区间(172.16.0.0~172.16.255.255) 的报文经过此处时自动替换掉原有的源地址字段值成为公网可见形式再向外转发出去[^4]。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

嘻嘻哥哥~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值