华为防火墙

华为防火墙的基本配置

实验topo:

在这里插入图片描述

240、防火墙的工作模式:

透明网桥模式:(可将防火墙当做二层交换机用)
路由模式:(可将防火墙当做三层路由器使用)

查看防火墙的各个区域的优先级:
dis zone :
在这里插入图片描述

tips :优先级越高,可信任的程度越高;
默认的优先级:trust 85 、DMZ 50 、Untrust 5 ,local 100;
DMZ:通常放置服务器;

将防火墙的接口划分至区域内:
trust :

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet0/0/1

untrust :

firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/2

DMZ:

firewall zone dmz
set priority 50
add interface GigabitEthernet0/0/3

配置静态路由,打通网络:
R1:

ip route-static 0.0.0.0 0.0.0.0 12.1.1.2

R2:

ip route-static 0.0.0.0 0.0.0.0 23.1.1.1

防火墙:

ip route-static 34.1.1.0 255.255.255.0 23.1.1.2
ip route-static 192.168.1.0 255.255.255.0 12.1.1.1

方向:
inbound :低优先级访问高优先级;(trust 主动发起的访问防火墙)
outbound :高优先级访问低优先级;(防火墙主动发起的访问trust)
tips :“访问”指的是出包,即主动发起的第一个报文,即建立会话;

241、策略配置:

配置防火墙策略,让trust可以访问外网(untrust):
firewall packet-filter default permit interzone trust untrust direction outbound

配置防火墙策略,让DMZ可以访问外网(untrust):
firewall packet-filter default permit interzone dmz untrust direction outbound

配置防火墙策略,让DMZ可以访问外网(untrust):
firewall packet-filter default permit interzone trust dmz direction outbound

242、五元组:
唯一能够确定一个会话session的五个元素
五元素:源ip、目的ip、源端口、目标端口、传输协议;

查看防火墙的临时会话表:
display firewall session table

在这里插入图片描述

Windows:
netstat -an

在这里插入图片描述

243、防火墙的NAT配置:
nat-policy interzone trust untrust outbound:指定策略区域;
允许内网用户访问外网:
nat-policy

policy 1 定义一个策略1
action source-nat 指定动作为源地址的nat 转换;
easy-ip GigabitEthernet0/0/2 做esay-ip nat 转换;

tips :不需要到接口下调用;

查看结果:

在这里插入图片描述

在这里插入图片描述

244、将内网服务器的80 端口映射出外网:
nat server 0 protocol tcp global 23.1.1.3 www inside 192.168.254.254 www

此处需要一个untrust 到DMZ的允许策略:
firewall packet-filter default permit interzone untrust dmz direction inbound

查看结果:
在这里插入图片描述

查看nat转换表 dis firewall session table nat

在这里插入图片描述

245、基于服务器的负载均衡:

slb enable 开启slb服务;

slb
rserver 1 rip 192.168.254.254 weight 32 healthchk
创建真实服务器 1 真实IP地址为192.168.254.254 ,服务器比重为32 ,默认为健康检查;
rserver 2 rip 192.168.254.253 weight 32 healthchk
group web 创建一个叫web的组;
addrserver 1 :将1服务器加入web组中;
addrserver 2 :将2服务器加入web组中;
vserver vweb vip 23.1.1.4 group web :创建一个虚拟服务器vweb,虚拟的IP地址为23.1.1.4 ,将vweb 与真实的组web,关联起来;

tips :由于slb 堵在均衡会自动的做nat 转换,所以,如果真实服务器上面做过nat转换,会与slb冲突;

查看实验结果:
down 掉 server 1:
在这里插入图片描述

down 掉serve 2

在这里插入图片描述
在这里插入图片描述

  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不爱学习的小刘~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值