华为防火墙技术漫淡_2.5如何精确指…

最新推荐文章于 2022-05-24 16:47:18 发布
最新推荐文章于 2022-05-24 16:47:18 发布
阅读量396 收藏
点赞数
分类专栏: 强叔侃墙华为防火墙技术漫淡
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tjjingpan/article/details/77368061
版权

如何精确匹配条件是配置安全策略的难点,匹配条件设置的过于宽泛,会带来安全风险;匹配条件设置的过于严格,可能会导致报文无法命中策略,影响业务正常运行。强叔在这里为大家介绍一种通用的配置思路:首先配置缺省包过滤的动作为允许通过,对业务进行调测,保证业务正常运行;然后查看会话表,以会话表中记录的信息为匹配条件配置安全策略;最后恢复缺省包过滤的配置,再次对业务进行调测,验证安全策略是否正确。

实例:

华为防火墙技术漫淡_2.5如何精确指定匹配条件

PC和Web服务器与防火墙直接相连,PC属于
Trust安全区域,Web服务器属于Untrus区域,要求PC能够正常访问Web服务器。

先配置Trust安全区域到Untrust区域的缺省包过滤,将动作设置为允许。

firewall packet-filter default
permit interzone trust untrust direction outbound

PC可以正常访问Web 服务器

查看会话表

display firewall session table
verbose

13:33:26
 2017/06/30

 Current Total
Sessions : 1

  http
 VPN:public --> public

  Zone:
trust--> untrust  TTL: 00:00:10
 Left: 00:00:10

  Interface:
GigabitEthernet0/0/0  NextHop: 172.16.1.2
 MAC: 54-89-98-50-3b-d4

 
<--packets:4 bytes:465   -->packets:6
bytes:411

 
192.168.1.2:2053-->172.16.1.2:80

由此配置如下安全策略

policy interzone trust untrust
outbound

 policy
1

  action
permit

  policy
service service-set http

  policy
source 192.168.1.2 0

  policy
destination 172.16.1.2 0

将缺省包过滤恢复为拒绝通过

firewall packet-filter default
deny interzone trust untrust direction outbound

PC还可以正常访问Web服务器。

____________________________________________________________________________________________

华为防火墙技术漫淡_2.5如何精确指定匹配条件

firewall packet-filter default permit interzone trust local
direction inbound

[FW]display firewall session table
verbose 

21:44:09  2017/06/30

 Current Total Sessions : 1

  telnet  VPN:public
--> public

  Zone: trust--> local
 TTL: 00:10:00  Left:
00:09:54

  Interface: InLoopBack0
 NextHop: 127.0.0.1  MAC:
00-00-00-00-00-00

  <--packets:46 bytes:2885
  -->packets:47 bytes:1973

 
192.168.56.1:50689-->192.168.56.200:23

 

 

由此我们可以配置如下安全策略

policy interzone local trust
inbound

 policy
1

  action
permit

  policy
service service-set telnet

  policy
source 192.168.56.1 0

  policy
destination 192.168.56.200 0

firewall packet-filter default
deny interzone trust local direction inbound

 

telnet 192.168.56.200 成功

 

设置super密码

super
 password  cipher
 123456

 

tjjingpan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙基础配置1_ensp防火墙配置_ensp华为防火墙配置_
09-29
这是我自己制作的关于ensp防火墙的基本配置文件
防火墙策略配置
BerL1n
09-26 7036
拓扑 任务一 c2 ping c1 ,c1 not ping c2 首先我们要做的就是配置接口、网关、子网掩码,使得c1与c2可以互ping 如上图,我们先开启两个客户机,为方便测试。 命令 sys sysname FW dis ip int br 查看状态 int g0/0/1 ip add 192.168.2.1 24 int g0/0/2 ip add 192.168.1.1 ...
ENSP实验十二——USG5500策略配置命令验证
qq_21230015的博客
12-15 6722
一、设备清单及目标 1,设备 3台PC,1台USG5500。 2,目标 配置并验证USG5500一些策略配置命令。 二、拓扑图 三、配置 1,PC PC1作为trust区域 IP/掩码 1.1.1.1/24,GW1.1.1.254 PC2作为untrust区域 IP/掩码 2.2.2.2/24,GW2.2.2.254 PC3作为dmz区域 IP/掩码3.3.3.3/24,GW3.3.3.254 2,防火墙 要求一: trust可以访问dmz和untrust,untru
《防火墙-安全策略配置2.0》
weixin_52439435的博客
05-24 1778
《防火墙-安全策略配置2.0》
华为防火墙NAT配置与策略管理
qq_60654159的博客
11-19 6598
人类对计算机网路的使用已经拓展到各个领域,而计算机网络的设计者在当时无法想象网络能有今天的规模。任何一个接入互联网的计算机、ipad、手机及安卓电视,要想在互联网中畅游,必须有一个合法的IP地址。而IP地址,曾经认为足以容纳全球的计算机,但是在今天看来,已经严重枯竭。IPv6的出现就是为了解决地址不足的问题,但在IPv6普及之前,需要有一个过渡技术ーNAT。 NAT的出现缓解了地址不够用的情况,它可以让同一局域网内60000多用户同时使用一个合法IP地址访问互联网,NAT技术不是新技术,对于我们来说也不陌生
防火墙安全策略
热门推荐
曹世宏的博客
05-17 8万+
包过滤技术基础 包过滤技术简介: 对需要转发的数据包,先获取报头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。 实现包过滤的核心技术是访问控制列表。 包过滤作为一种网络安全保护机制,主要用于对网络中各种不同的流量是否转发做一个最基本的控制。 传统的包过滤防火墙对于需要转发的报文,会先获取报文头信息,包括报文的源IP地址、目的IP地址、IP层所承载的上层协议的协...
华为防火墙技术漫谈_非试读
04-13
电子书下载 高清 带索引书签目录_徐慧洋,白杰,卢宏旺编著_北京:人民邮电出版社 完全版本
华为防火墙技术漫谈.zip
05-23
华为防火墙技术漫谈_PDF电子书下载 高清 带索引书签目录_徐慧洋,白杰,卢宏旺编著_北京:人民邮电出版社_P548_2015.05
华为防火墙技术漫谈.pdf
01-16
华为防火墙技术漫谈,理论篇共包含十章,涵盖了会话与状态检测、安全策略、攻击防范、NAT、GRE 、L2TP 、IPSec 、SSL、双机热备、出口选路的原理、应用场景及配置方法
华为防火墙技术漫谈.z01
09-11
华为防火墙技术漫谈完整版共3个压缩卷,此为卷二,全部下载3个压缩卷后,放在同一文件夹下,然后解压缩即可。
华为防火墙安全策略配置
foamy_3379的专栏
04-17 6460
华为防火墙安全策略配置 一、配置要求及拓扑; 要求: 1、Trust区域用户可以访问Untust区域与DMZ区域用户; 2、Untrust区域用户只能访问DMZ区域ICMP与Telnet流量; 3、DMZ区域用户即不能访问Untrust区域和Tust区域; 4、区域trust内只允许源地址为192.168.1.0/24,ICMP ; 二、基础配置 防火墙huaweiFW system-vie
华为防火墙NAT配置
qianyiweiliang的博客
10-13 4万+
华为防火墙NAT配置
华为防火墙安全策略
weixin_49209272的博客
12-11 8552
1初识安全策略 小伙伴们,我们试想下如果防火墙把所有流量都拒绝了,内部用户将无法畅游网络,外部合法用户将无法访问内部资源。因此我们需要配置防火墙的一个特性,让它更好的实现防火墙的功能,这个特性就是安全策略。平时我们上班乘坐地铁,出差乘坐高铁或飞机,在这三个场所中都会有蓝色的标志“Security Check”,旁边站着一个工作人员“安检员”。他的作用就是检查乘客随身携带的物品是否安全,如安全放行通过,如不安全,拒绝通过。回顾下防火墙的作用是保护特定的网络免受“不信任”的网络的攻击和入侵,但还要允许网..
华为防火墙基本配置
qq_57258570的博客
11-19 6383
、网络中的攻击类型 1.木马 :木马是一种伪装技术,把一段程序(夺权或开启后门)伪装到一个正常的文件或程序中。获取管理员权限,盗取账号等。 2.后门 :人为给系统留漏洞,便于下一次的入侵行为。 3.病毒 :为破坏系统或文件。 4.广播攻击 : 攻击网络通讯,使网络变慢或瘫痪。 5.拒绝服务攻击:针对定的服务或服务器进行攻击,使其无法提供服务。 6.欺骗 :sql注入,html页面脚本,收集客户端的信息。 2、华为防火墙 1.型号:USG2000...
6-华为防火墙:配置基于源IP地址的NAT
weixin_33688840的博客
07-07 1044
一、实验一:配置No-Pat1、基本配置略:2、R1开启Telnet功能:[R1]user-interface vty 0 4[R1-ui-vty0-4]authentication-mode password ? <cr>Please press ENTER to execute command[R1-ui-vty0-4]authentication-mode passwordP...
华为防火墙ipsec对接华三防火墙
最新发布
11-01
华为防火墙与华三防火墙之间的IPSec对接,是通过IPSec协议实现两个防火墙之间的安全通信和数据传输。下面是一个简单的说明步骤: 1. 配置华为防火墙:首先,在华为防火墙上配置与华三防火墙对接的IPSec通道。配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值