【ensp】防火墙概述与命令总结

最新推荐文章于 2024-06-24 18:11:43 发布
最新推荐文章于 2024-06-24 18:11:43 发布
阅读量1.3w 收藏 226
点赞数 13
分类专栏: 暑期笔记 笔记 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55803921/article/details/118892790
版权

防火墙概述与命令总结

0713 防火墙的基本概述:

防火墙分为:

  • 框式防火墙

  • 盒式防火墙

  • 软件防火墙(公有云、私有云)

我们目前学习的是状态检测防火墙:

  • 通过检查首包的五元组,来保证出入数据包的安全

  • 隔离不同的网络区域

  • 通常用于两个网络之间,有选择性针对性的隔离流量

  • 阻断外网主动访问内网,但回包不算主动访问

安全区域(security zone):被简称为区域(zone),是防火墙的重要概念,缺省时有4个区域:

  1. local:本地区域,所有IP都属于这个区域
  2. trust:受信任的区域
  3. DMZ:是介于管制和不管制区域之间的区域,一般放置服务器
  4. untrust:一般连接Internet和不属于内网的部分

ps:每个接口都需要加入安全区域,不然防火墙会显示接口未激活,无法工作

firewall zone [区域名]  //进入安全区域 

  add interface GigabitEthernet [接口号] //添加接口到此区域

display zone //查看区域划分情况

安全策略:

与ACL类似,动作只有两种:permit和deny

每一个想要通过防火墙的数据包都需要被安全策略检查,如果不写安全策略,ping都经过不了防火墙

如何去写安全策略:

security-policy
 rule name [策略名]
  source-zone [区域名]
  source-address [源地址] [掩码] //此条可以略
  destination-zone [区域名]
  destination-address [源地址] [掩码]  //此条可以略
  service [协议名] //需要放行的协议
  action permit //此条策略的动作是放行

防火墙策略命中即转发

一些今天的名词:

  • ddos攻击防范:ddos攻击就是通过伪造大量不同的mac地址让交换机学习,让交换机无法正常处理其他事情

  • SPU:防火墙特有的,用于实现防火墙的安全功能

  • 五元组:源/目地址、源/目端口号、协议

  • ASPF技术:应用包过滤技术,可以根据协议推出应用包内容,根据内容提前生成server-map表项,在流量没有匹配会话表时,可以匹配server-map来处理

  • ftp无论是主动模式还是被动模式都是client先主动向server发起控制通道连接
    ftp的主动模式(port):server主动向client发起数据通道的连接
    ftp被动模式(pasv):server等待client发起数据通道的连接

0714 防火墙的NAT策略:

NAT转换有两种转换:
源NAT:

no-pat //1对1转化,不节约公网地址,同一时间内只能有一个人上网
pat //指定一个或多个公网地址使PC机可以通过这个公网地址的不同端口进行访问
ease-ip //使用接口的IP作为NAT地址,使PC机可以通过这个公网地址的不同端口进行访问

目标NAT:

server nat //服务器映射

值得注意的是:
如果在防火墙上的是源NAT转换,则防火墙先匹配安全策略,再匹配NAT策略
如果在防火墙上的是目标NAT转换,则防火墙先匹配NAT策略,再匹配安全策略

实验总结概述:
如何做nat:

server nat:

nat server protocol [协议] global [公网地址] [端口] inside [服务器地址] [端口]

pat与no-pat做法:

nat address-group [地址组名]
 mode pat
 section [初始地址] [结束地址]
nat-policy //进入nat策略,将前一步的地址池应用在nat策略中
  source-zone [区域名]
  source-address [源地址] [掩码]
  destination-zone [区域名]
  destination-address [源地址] [掩码] //此步规定什么样的地址允许做NAT转换
  action source-nat address-group NAT //应用地址组
  //之后就是看需要写安全策略

域内nat做法:

访问需要通过公网地址访问

第一步:将接口划分好所属区域,做好基础配置
第二步:创建一个nat地址池,将地址池的范围规划好,(默认为PAT)
nat server 0 protocol tcp global 204.1.1.1 www inside 172.16.1.2 www 
//此步为服务器映射
nat address-group NAT
 mode pat
 section 0 205.1.1.1 205.1.1.1
第三步:进入nat策略,将前一步的地址池应用在nat策略中
nat-policy
 rule name NAT
  source-zone dmz
  destination-zone dmz
  source-address 172.16.1.1 mask 255.255.255.255
  destination-address 172.16.1.2 mask 255.255.255.255
  //此步规定什么样的地址允许做NAT转换
  action source-nat address-group NAT
第四步:设置安全策略,允许地址通过,并说明区域
security-policy
 default packet-filter intrazone enable
 //设置防火墙区域间流量也检查
 rule name NAT
  source-zone dmz
  destination-zone dmz
  source-address 172.16.1.1 mask 255.255.255.255  
  destination-address 172.16.1.2 mask 255.255.255.255
  service http
  service tcp
  action permit

在这里插入图片描述

友情提示:丢包时请看看自己的路由有没有写对

域间双向nat做法:
大致与域内双向NAT相同,只不过需要放行回访的流量,不过需要注意回访流量的源目地址

0715 防火墙的双机热备:

VGMP(VRRP的升级版):统一管理VRRP组的,华为私有协议
状态有:
active(主)
standby(从)
心跳线:同步会话表项,值得注意的是配置接口线缆必须一样,编号区域也要一样

在防火墙上配置VGMP:

FW1:
interface GigabitEthernet1/0/1
 ip address 10.1.1.253 255.255.255.0
 vrrp vrid 10 virtual-ip 10.1.1.254 active 
interface GigabitEthernet1/0/0
 ip address 20.1.1.253 255.255.255.0
 vrrp vrid 20 virtual-ip 20.1.1.254 active 
  interface GigabitEthernet1/0/6
 ip address 12.1.1.1 255.255.255.0
hrp interface GigabitEthernet 1/0/6 remote 12.1.1.2
    hrp enable //注意做好了再打这条命令

FW2:
interface GigabitEthernet1/0/1
 ip address 10.1.1.252 255.255.255.0
 vrrp vrid 10 virtual-ip 10.1.1.254 standby
interface GigabitEthernet1/0/0
 ip address 20.1.1.252 255.255.255.0
 vrrp vrid 20 virtual-ip 20.1.1.254 standby
 interface GigabitEthernet1/0/6
 ip address 12.1.1.2 255.255.255.0
hrp interface GigabitEthernet 1/0/6 remote 12.1.1.1
hrp enable

实验拓扑:
在这里插入图片描述

0717 防火墙的GRE封装:

VPN(虚拟专用网络):廉价、专用、虚拟,基本原理:隧道技术 今天学习了GRE VPN(通用路由封
装):
三要素:
乘客协议:IPV4、IPV6
封装协议:gre
运输协议:IPV4、IPV6

gre在防火墙上应用:

在这里插入图片描述

FW1:
第一步:指向Tunnel转换源目地址,此时协议为ICMP,所以封装icmp
rule name Trust-Gre
  source-zone trust
  destination-zone Gre
  source-address 1.1.1.1 mask 255.255.255.255
  destination-address 2.2.2.2 mask 255.255.255.255
  service icmp
  action permit
第二步:(可省略)
rule name Local-untrust
  source-zone local
  destination-zone untrust
  source-address 202.103.1.1 mask 255.255.255.255
  destination-address 202.103.2.1 mask 255.255.255.255
  service gre
  action permit
第三步:对方回包时,从untrust到local
(因为此时源地址为防火墙接口地址,接口地址皆属于local区域)
此时源为gre封装过后的源目地址,协议为gre,
此动作意为接收到源为fw2的目标为fw1的gre协议的包拆封
rule name Untrust-local
  source-zone untrust
  destination-zone local
  source-address 202.103.2.1 mask 255.255.255.255
  destination-address 202.103.1.1 mask 255.255.255.255
  service gre
  action permit
第四步:当第三步动作后,解封的数据包还属于Gre区域(即Tunnel区域),
数据包的目的地址为trust区域,此包是个icmp流量的协议,
放行后1.1.1.1就收到了经过重重策略的数据包...
 rule name gre-trust
  source-zone Gre
  destination-zone trust
  source-address 2.2.2.2 mask 255.255.255.255
  destination-address 1.1.1.1 mask 255.255.255.255
  service icmp
  action permit

  FW2的配置与FW1大致相同

那如何双向封装的?此时有一个实验拓扑:
在这里插入图片描述

配置其实和上图差不多

FW1:
nat address-group NAT
 mode pat
 section 0 202.1.1.10 202.1.1.10
nat-p
 rule name NAT
  source-zone Gre
  source-zone trust
  destination-zone untrust //规定从哪些地方来的流量做转换
  source-address 172.16.1.1 mask 255.255.255.255
  source-address 172.16.2.1 mask 255.255.255.255
  source-address 192.168.1.1 mask 255.255.255.255
  destination-address 100.1.1.1 mask 255.255.255.255
  action source-nat address-group NAT
security-policy
 rule name Trust_Gre  //因为首先如果想隧道传输,你首先需要从trust区域到gre区域
  source-zone trust
  destination-zone Gre
  source-address 192.168.1.1 mask 255.255.255.255
  destination-address 172.16.1.1 mask 255.255.255.255
  destination-address 172.16.2.1 mask 255.255.255.255
  service icmp
  action permit
 rule name Untrust_local //此处写剥掉gre封装的策略
  source-zone untrust  //为什么是到local是因为我们访问(gre封装)的是防火墙的ip
  destination-zone local  //防火墙的全部ip都属于local区域
  source-address 202.1.2.1 mask 255.255.255.255
  source-address 202.1.3.1 mask 255.255.255.255
  destination-address 202.1.1.1 mask 255.255.255.255
  service gre
  action permit
 rule name Gre_trust //剥掉gre封装之后它属于隧道(tunnel)所属的区域,此处为Gre
  source-zone Gre  //但如果目标不是gre区域的,我们就需要写一个到目标区域的策略
  destination-zone trust
  source-address 172.16.1.1 mask 255.255.255.255
  source-address 172.16.2.1 mask 255.255.255.255
  destination-address 192.168.1.1 mask 255.255.255.255
  service icmp //剥掉了gre协议,我们使用ping来访问目标,所以此处开放的是icmp
  action permit
 rule name T_un  //此处是规定什么样的流量可以使用nat策略访问100.1.1.1
  source-zone Gre 
  source-zone trust
  destination-zone untrust
  source-address 172.16.1.1 mask 255.255.255.255
  source-address 172.16.2.1 mask 255.255.255.255
  source-address 192.168.1.1 mask 255.255.255.255
  destination-address 100.1.1.1 mask 255.255.255.255
  service icmp
  action permit

此处仅有FW1的配置

防火墙中的telnet配置:

telnet enable //打开telnet功能
aaa  //进入aaa视图
manager-user [用户名] //创建管理用户[ ]
 password cipher [密码] //它的密码为[ ]
 service-type telnet //它的服务类型为telnet
 level [权限等级]  //权限为[ ]
user-int vty 0 4
 authentiction-mode aaa
 user privilege [权限等级]
 protocol inbound telnet //允许登进的协议为telnet

防火墙中ssh配置:

stelnet enable //打开stelnet功能
ssh user cake
ssh user cake service-type stelnet
ssh user cake authentication-type password //创建ssh用户
aaa  //进入aaa视图
manager-user [用户名] //创建管理用户[ ]
 password cipher [密码] //它的密码为[ ]
 service-type telnet //它的服务类型为telnet
 level [权限等级]  //权限为[ ]
user-int vty 0 4
 authentiction-mode aaa
 user privilege [权限等级]
 protocol inbound telnet //允许登进的协议为telnet
rsa local....[ 后面全靠问,忘记命令了]  //ssh密钥
云归959
关注
  • 13
    点赞
  • 226
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ensp 防火墙示例_ensp实战之防火墙安全转发策略
weixin_39604516的博客
12-22 1418
本次实验用防火墙是USG6000V,拓扑图如下:步骤一:按上面配好PC1、2、3以及WWW服务器的IP地址、子网掩码以及网关;步骤二:进入防火墙的CLI命令模式下,按一下命令配置配置各个接口的IP 地址,并加入相应的安全区域。system-view[USG6000V1]int g 1/0/0[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.5.1 24...
ensp 双机热备 配置_华为防火墙实现双机热备配置详解
weixin_39845347的博客
12-19 2211
一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路。防火墙承载了非常多的功能,比如:安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。也正是因为防火墙如此的重要,如果防火墙一旦出现问题,所有对外通信的服务都将中断,所以企业中首先要考虑的就是防火墙的优化及高可用性。博文大纲:一、双机热备工作原理二、VRRP协议(1)VRRP协议概述(2)VRRP的角色(3)VRRP的状态机...
ensp中pc机访问不同网络的服务器
wudongfang666的专栏
03-26 613
路由器实现不同ip网络地址的转发是通过内部的路由协议规则转发,pc处于1网段,server处于3网段,如果1访问3,那么1网段的网关是路由器R1,在R1中增加到达3网段的路由协议,因为R2和3网段直连,且R2和R1也有直连链路,所有在R1中增加目的网络是3的网段,下一跳地址是R3的G0口,路由表项:目的ip,下一跳地址,出口(R1的1口)。同理 pc向server请求,server响应报文返回到pc1也需要一条路由协议表项,在R2里面增加到达1网络的路由项,下一跳地址是R1的1口,出口是R2的0口。
安全防御——二、ENSP防火墙实验学习
dzqxwzoe的博客
06-13 957
防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙
ENSP中NAT原理和配置命令
最新发布
CSY20230308003的博客
06-24 1424
网络地址转换NAT(Network Address Translation)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。NAT是将IP数据报文头中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)的功能。Basic NAT是实现一对一的IP地址转换,而NAPT可以实现多个私有IP地址映射到同一个公有IP地址上。
ENSP 防火墙配置IPSecVPN点到多点
h1008685的博客
04-09 1280
ipsec点到多点配置详解,应用场景,web访问防火墙报错【关闭物理机防火墙
14.1 实现eNSP与真实PC桥接
qq_45382474的博客
11-29 7761
原理概述 eNSP不仅支持单击部署,同时还支持Server端分布式部署在多台服务器上,分布式部署环境下能够支持更多设备组成复杂的大型网络eNSP还可与真实设备对接,通过虚拟设备接口与真实网卡的绑定,实现虚拟设备与真实设备的对接,进而实现虚拟网络与真实网络的互联互通。 实验内容 本实验演示如何使用eNSP中的云设备实现模拟器与真实电脑的桥接,实现与真实电脑或其他设备间的正常通信。 实验目的 掌握在eNSP中使用云设备与虚拟PC连接的方法 掌握在eN...
ENSP-----VGMP与HRP协议---防火墙的双机热备
qq_42761527的博客
02-16 5479
一.防火墙热机热备介绍
通用路由平台VRP和eNSP软件概述
:Struggle.
07-29 1852
通用路由平台VRP是华为公司数据通信产品的通用操作系统平台,是华为公司自主知识产权的网络操作系统。* VRP的功能实现统一的用户界面和管理界面管理IP,软转发模型统一控制定义接口功能和数据交换统一实现网络接口,屏蔽不同产品和不同链路层的差异 VRP的作用统一管理企业的路由器、交换机、防火墙、无线 eNSP概述eNSP是一款由华为提供的免费的、可扩展的、图形化操作的网络仿真工具平台,主要针对企业路...
网络安全综合实验(eNSP)(DHCP、OSPF、NAT、防火墙、ACL)
热门推荐
!不将就的博客
06-04 2万+
网络安全综合实验 一、概述 1.1 实验背景及要求 配置ACL,过滤具有某种特点的分组。 配置NAT。在企业内部结构化分层使用NAT地址。 实验测试一种网络攻击,比如SYN_Flood、MAC泛洪攻击或ARP攻击。 配置防火墙,禁止某种网络服务(防火墙在企业内网与外网之间)。 配置VPN。企业内网与外网之间可能有防火墙,也可能有NAT。从企业外部,用户不能直接访问企业内部。企业员工外出,或跨地区、跨国家企业都有跨越公众互联网,访问企业内部网络的需求。配置NAT某种VPN,比如L2TP VPN 或SSL V
华为ensp防火墙镜像包
03-11
华为ensp防火墙镜像包
ensp防火墙USG6000v
02-04
eNSP里面的防火墙USG6000v可用版本,解决eNSP防火墙USG6000v为beta版的问题 适合刚入手学习eNSP及其防火墙配置的实验 亲测可配置云、nat、IP v6过渡技术、VRRP、隧道等技术
防火墙基础配置1_ensp防火墙配置_ensp华为防火墙配置_
09-29
这是我自己制作的关于ensp防火墙的基本配置文件
华为模拟器eNSP 防火墙 USG6000V10
08-18
USG6000系列防火墙的固件, 解压文件,在模拟器上启动USG6000时会提示加载固件,选择解压后的vdi文件,导入后再次点击启动。 注意:命令窗口#号增加属于正常现象,起码跑三四行#号后正常启动。 帐号:admin 密码:...
基于ensp防火墙双击热备二层网络规划与设计(命令齐全)-参考文章-配置实验命令笔记
07-02
文件中包含了基于ensp防火墙双击热备二层网络规划与设计的topo图及其完整的配置(2份 区别就是第二个加了无线网络规划设计(WIFI))(二层架构,核心层、计入层),文件在加入了相应的配套文章连接,并加入了实验的...
ensp】单臂路由的配置
qq_55803921的博客
03-23 1万+
Ensp单臂路由的配置 第一步:搭建拓扑,并划分好各自的vlan区段。 第二步 测试主机的连通性,以确保终端配置没有问题。 第三步 配置交换机,划分vlan,并配置接口类型。 图中的缩写命令:vlan batch 10 20 port link-type access port default vlan 10(或20) port link-type trunk port trunk allow-pass vlan 10 20 Lsw1: g0/0/2与g0/0/3连接终端(电脑等),所以应选用ac
ensp】DHCP配置
qq_55803921的博客
06-12 4644
DHCP与PPP的chap的配置第一步 搭建拓扑第二步 划分vlan,配置合理的MSTP第三步 配置IP与VRRP第四步 配置DHCP第五步 在AR2与AR6上配置CHAP第六步 配置OSPF,配置NAT第七步 配置telnet第八步 配置高级acl达成仅PC5可以telnet到AR1 实验条件: 1.合理配置IP地址 2.如图规划VLAN信息,PC1/PC2/PC3属于VLAN103,AR1属于VLAN101 3.需要合理配置MSTP,ETH-TRUNK,VRRP使网络达到最佳可用性 4.配置动态路由协
ensp】链路聚合与MSTP的配置实验
qq_55803921的博客
04-16 3248
第一步 搭建拓扑。 第二步 配置链路聚合 首先配置LACP链路聚合。 手动配置链路聚合 检查链路状态 STATIC代表静态LACP模式 如果status下显示为Selected时则为正常状态,若如下图一样显示Unselect时则配置未成功。 NORMAL为手动绑定的链路聚合。 注:配置lacp动态链路聚合时,此链路不得有任何已捆绑的链路,如果有则如下图。 第三步 配置MSTP 进入实例生成树配置界面。 此时display之后没有显示是因为少了一条命令, active region-co
ensp防火墙配置命令
06-08
以下是在 Windows 操作系统上配置 ensp 防火墙命令: 1. 打开 Windows 防火墙高级安全性。 2. 在左侧面板中选择“入站规则”。 3. 单击“新建规则”。 4. 选择规则类型“端口”。 5. 选择 TCP 或 UDP,具体取决于...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值