![](https://img-blog.csdnimg.cn/20201014180756926.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
防火墙
文章平均质量分 57
网络出入口
友人a笔记
Aiden
展开
-
IPSec 域间策略常见问题
当对IPSec进行调试时,如果IPSec的统计信息比较多不便于查看,可以执行以下操作清除IPSec统计信息。如果用户需要对安全策略重新配置,为了使新配置的安全策略生效,可以执行下列操作清除IPSec安全联盟。如果用户需要对安全策略重新配置,为了使新配置的安全策略生效,可以执行下列操作清除IKE安全联盟。因为此时只有USGA配置了域间安全策略,USGC没有配置。假设其他配置都正确,只有域间安全策略配置异常情况下。因为此时只有USGA和USGC都配置了域间安全策略。原创 2023-07-10 16:12:35 · 505 阅读 · 0 评论 -
建立点到多点的IPSec隧道(IKE安全策略方式)
主机PC1与PC2、PC3之间可以安全的通信,PC2、PC3通过USG5500A进行安全通信,USG5500A与USG5500B、USG5500C之间使用IKE自动协商建立安全通道,USG5500B、USG5500C不直接建立任何IPSec连接。USG5500A与USG5500B、USG5500C均为固定公网地址。原创 2023-07-09 23:03:57 · 2106 阅读 · 2 评论 -
华为 USG6000防火墙管理员密码重置(配置会清空)
通过Console口连接设备并重启设备。在设备启动过程中,看到提示信息“Press Ctrl+B to Enter Main Menu...3”时按下Ctrl+B,输入BootROM密码后,进入扩展段BootROM主菜单,按如下步骤将设备配置为空配置启动。1、按Ctrl+B,输入缺省的BootROM密码(缺省的BootROM密码为O&m15213)2、选择2,进入设置启动文件和配置文件的子菜单3、选择1,进入修改配置子菜单4、回车,然后输入“.”来将下次启动配置改为...原创 2021-11-16 16:17:03 · 7905 阅读 · 0 评论 -
USG6000 配置IPv4 PPPoE拨号
网络拓扑:组网需求:FWA作为PPPoE Client,FWB作为PPPoE Server,FWA通过PPPoE方式从FWB获取IP地址,使PC1和PC2可以互相访问。其中,PPPoE Server采用PAP方式验证PPPoE Client,用户名为usera,密码为Password1,FWB为FWA分配的IP地址是10.2.0.2操作步骤一、配置FWB(Server)1、配置接口IP,并加入对应安全区域<USG6000V1>system-view[USG6000原创 2021-03-16 17:08:56 · 1923 阅读 · 0 评论 -
USG6000V通过IKE方式协商IPSec(采用预共享秘钥认证)
网络拓扑:操作步骤一、配置FW11、配置接口IP地址<USG6000V1>system-view[USG6000V1]sysname FW1[FW1]interface GigabitEthernet 1/0/1[FW1-GigabitEthernet1/0/1]ip address 1.1.1.1 24[FW1-GigabitEthernet1/0/1]q[FW1]interface GigabitEthernet 1/0/3[FW1-Gigabi原创 2021-03-09 16:08:27 · 2157 阅读 · 0 评论 -
11、中小企业网络架构-扩展配置防火墙双出口
网络拓扑:vlan2所在网段访问Internet的报文正常情况下流入链路ISP1;vlan3所在网段访问Internet的报文正常情况下流入链路ISP2;vlan2和vlan3所在链路互为备份,当某vlan的链路(主链路)出现故障时,流量切换到另一vlan所在的链路(备链路)上。配置思路:策略路由和IP-Link联动配置思路如下:为实现不同链路分担不同流量,需要配置基于源地...原创 2020-05-11 08:16:33 · 3327 阅读 · 0 评论 -
华为 USG6000防火墙配置镜像模式双机热备
网络拓扑要求:企业前期是一台防火墙,为了提高网络可靠性,并且在不影响原先防火墙配置情况下,新增一台防火墙做双机热备。两台FW的业务接口都工作在三层,下行为三层核心交换机。上行为二层交换机连接运营商的接入点,运营商为企业分配的IP地址为100.1.1.1-100.1.1.5配置思路:两台防火墙型号必须要求一样,配置镜像模式前需要先完成双机热备的网络连接和基本配置,但是不需要配置业...原创 2020-05-28 11:19:30 · 10011 阅读 · 1 评论 -
6、中小企业网络架构-防火墙基本配置
网络拓扑:配置思路:配置下联接口;配置上联接口;配置端口区域;配置域间策略;配置静态路由;配置NAT操作步骤:一、防火墙1、配置下联接口<usg>system-view[usg]sysname FW1[FW1]interface GigabitEthernet 0/0/1[FW1-GigabitEthernet0/0/1]ip address 1...原创 2020-02-10 15:30:34 · 5329 阅读 · 6 评论 -
解决tracert经过防火墙显示*号
存在问题:tracert一台经过防火墙的服务器IP地址,经过防火墙时显示*号。无法详细的显示出tracert的路径信息。解决方法:1、配置ICMP超时报文功能[USG5500]ip ttl-expires enable 2、关闭Tracert报文攻击防范功能(危险操作)[USG5500]undo firewall defend tracert enable 查...原创 2021-02-23 11:31:02 · 8775 阅读 · 3 评论 -
华为USG5300 采用IKE安全策略方式建立IPSec隧道
组网需求:如图所示,网络A和网络B分别通过USG5300 A和USG5300 B与Internet相连。网络环境描述如下:网络A属于10.1.1.0/24子网,通过接口GigabitEthernet 0/0/0与USG5300 A连接。网络B属于10.1.3.0/24子网,通过接口GigabitEthernet 0/0/0与USG5300 B连接。USG5300 A和USG5300 B路...原创 2019-06-03 14:55:25 · 3002 阅读 · 0 评论 -
华为 Router配置采用手工方式建立IPSec隧道
一、组网需求1、如图所示,RouterA为企业分支网关,RouterB为企业总部网关,分支与总部通过公网建立通信。分支子网为10.1.1.0/24,总部子网为10.1.2.0/24。企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于维护网关较少,可以考虑采用手工方式建立IPSec隧道。...原创 2018-06-29 09:13:48 · 10153 阅读 · 8 评论 -
华为Router 动态NAT地址转换配置
一、组网需求:某公司A部门和B部门的私网用户和互联网相连,路由器上接口GigabitEthernet0/0/0的公网地址为202.169.10.1/24,对端运营商侧地址为202.169.10.2/24。A部门允许使用公网IP地址比较多(202.169.10.100~202.169.10.200),所以使用no-pat转换方式(只转换数据包的IP地址,并不使用端口号)的NAT方式替换A部门内部的主...原创 2018-06-19 11:01:13 · 31620 阅读 · 4 评论 -
华为防火墙USG2220 DDNS动态域名配置
关于DDNSDDNS(DynamicDomain Name Server)是动态域名服务的缩写。DDNS是将用户的动态IP地址映射到一个固定的域名解析服务上,用户每次连接网络的时候客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序,服务器程序负责提供DNS服务并实现动态域名解析。DDNS原理DDNS捕获用户每次变化的IP地址,然后将其与域名相对应,这样其...原创 2019-10-28 09:25:14 · 6445 阅读 · 3 评论 -
USG5500 配置地址池和easy-ip双出口NAT
一、组网需求:1、某公司购买了两个运营商的公网IP,使公司内部用户能够通过NAT访问互联网。但是向A运营商只购买一个公网IP,所以想配置为easy-ip的NAT模式。向B运营商购买了6公网IP(202.202.202.1-202.202.202.6),所有想配置为NAT地址池模式。另外,同一个网段的内网,指定IP的机器不能访问互联网,其他IP可以访问互联网。2、网络拓扑3、数据...原创 2018-11-07 21:37:09 · 9298 阅读 · 1 评论 -
华为USG6000V 多ISP接入Internet(基于ISP目的地址的多出口)
一、组网需求1、如图所示,某企业在网络边界处部署了NGFW作为安全网关,并分别从运营商ISP1和ISP2处购买了宽带上网服务,实现内部网络接入Internet的需求。具体需求如下:研发部门和市场部门中的PC可以通过运营商ISP1和ISP2访问Internet,要求去往特定目的地址的流量必须经由相应的运营商来转发。当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免业务中断。...原创 2018-08-15 13:27:48 · 9990 阅读 · 2 评论 -
华为USG6000V 内网通过NAT地址池访问公网
一、组网需求1、某公司在网络边界处部署了NGFW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet,需要在NGFW上配置源NAT策略。除了公网接口的IP地址外,公司还向ISP申请了6个IP地址(1.1.1.10~1.1.1.15)作为私网地址转换后的公网地址。网络环境如图1所示,其中Router是ISP提供的接入网关。2、网络拓扑3、数据规划...原创 2018-07-02 17:06:38 · 13758 阅读 · 1 评论 -
华为E1000-E防火墙,配置内网服务器NAT
背景:在内网部署好应用服务器提供给外网用户访问,而且也只能是被动的接收外网访问(例如web服务器,ftp服务器),服务器本身是不能访问互联网。简单拓扑:一、IP分布1、内网服务器IP:192.168.37.205 内网服务器提供的端口:222、防火墙版本 HRP_M<HSX-FW-2.PT.HB_ZXCN2_E1000-3>display version 19:36:34 ...原创 2018-06-11 21:43:58 · 6886 阅读 · 0 评论 -
USG5500 配置路由模式下主备备份方式的双机热备份
组网需求:USG5500作为安全设备被部署在业务节点上。其中上下行设备均为交换机,USG5300A,USG5300B分别充当主设备和备用设备,且均工作在路由模式下。网络规划如下:•需要保护的网段地址为192.168.1.0/24,与USG5300的GigabitEthernet 0/0/1接口相连,局部在Trust区域中。●外部网络与USG5300的GigabitEthernet 0/0...原创 2020-06-22 10:03:52 · 2478 阅读 · 2 评论