华为策略路由引流旁挂防火墙

最新推荐文章于 2024-05-13 15:20:30 发布
最新推荐文章于 2024-05-13 15:20:30 发布
阅读量1w 收藏 43
点赞数 3
文章标签: 华为 其他 经验分享 网络协议 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45457085/article/details/121213782
版权

拓扑图解释:由于没有ENSP防火墙插件,故用AR2代替防火墙,PC1与PC2模拟内网trust区域设备,AR3模拟外网untrust区域

项目要求:

1.外网访问内网流量需要通过防火墙过滤再进入内网;

2.内网访问外网流量直接出站无需过滤。

配置思路:

1.首先配通底层,为了直观我这里采用手写静态路由,项目上为了方便可以直接跑内部动态路由协议;

2.在外网入站口AR1的G0/0/2上使用策略路由PBR进行流量重定向。

配置开始:

1.配通底层:

SW1上:

AR1上: 

 

AR2上(模拟防火墙设备): 

 AR3上(模拟外网用户):

 2.PBR配置:此处演示以VLAN2网段为例其他网段同理

acl 3001

rule 0 permit ip destination 172.16.0.0   0.0.0.255   // //acl抓取172.16.0.0 24 网段流量

traffice classifier AR3_PC1 operator or   // //创建名称为AR3_PC1流量分类器,匹配条件之间为或的关系

traffice behavior AR3_PC1    // // 创建名称为AR3_PC1流量行为

redirect ip-nexthop 10.0.0.6   // //重定向下一跳为10.0.0.6

traffice police AR3_PC1 // //创建名称为AR3_PC1策略路由

classifier AR3_PC1 behavior AR3_PC1 // // 将流量分类器与流量行为加入策略路由

interface g0/0/2

traffice-police AR3_PC1 inbound

3.验证配置:

 AR3上(模拟外网用户):

tracert 172.16.0.253   // //跟踪PC1地址

PC1上:

AR2上抓包(模拟防火墙设备):

使用PC1 ping AR3上loopback0口1.1.1.1

 抓包发现只有1.1.1.1-----172.16.0.253 replay回复的包过墙了   172.16.0.253-----1.1.1.1请求的包直接通过SW1-AR1-AR3走了

验证完成

总结:

1.AR2模拟防火墙设备,如若是真实防火墙设备需要将接口加入安全区域,放通安全策略,如果是双向保文都过墙需要关闭防火墙会话表(或者放通两个区域互访)。

2.如果需要流量出的包和入的包都过防火墙则需要在AR1-AR2之间建立两条物理直连链路,一条为入流量一条为出流量,否则一条链路会导致报文三层环路,数据包在AR1-AR2之间循环直至耗费完TTL丢包。

 

竹子的神秘微笑
关注
  • 3
    点赞
  • 43
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
企业网络中的防火墙旁挂实例
weixin_30752699的博客
01-24 2182
最近由于工作原因,按照客户的需求需要将防火墙旁挂,并将部门流量引流防火墙上。本文章将讲述基本术语、原理、实验(可下载) 基础介绍: PE和CE BGP/MPLS IP VPN的基本模型由三部分组成:CE、PE和P。 CE(Customer Edge):用户网络边缘设备,有接口直接与服务提供商网络相连。CE可以是路由器或交换机,也可以是一台主机。通常情况下,CE“感...
防火墙典型配置案例
10-29
华为防火墙配置案例 包括路由模式、透明模式、旁路模式配置
华为路由器多出口策略路由配置
05-06
华为路由器配置策略路由,多出口案例
华为策略路由-旁挂IPGUARD安全网关
11-23
华为交换机策略路由配置,适合旁挂路由器,安全网关等设备。
防火墙学习3---防火墙旁挂交换机,交换机静态路由引流(主备部署)
最新发布
weixin_48030849的博客
05-13 932
备注:本人学习华为防火墙的笔记记录方式,如有错误,请指出。
旁挂设备通过策略路由引流
03-08
防火墙、waf等设备旁挂。通过策略路由引流,实现安全设备对流量的安全控制与监测。
华为防火墙策略路由旁路部署
热门推荐
解不开的未知数
04-17 1万+
配置策略路由引流旁挂防火墙)示例 为了保证企业内网的安全,通过配置策略路由将外网到内网的全部流量引流防火墙进行安全检测。 组网需求 如图1所示,某公司由于业务需要,用户有访问Internet的需求。用户通过核心交换机SwitchA以及接入网关Router与Internet进行通信。 为了保证公司网络的安全性,将所有进入公司内网的流量引入到旁挂防火墙进行安全检测后再进入公司内部网络。...
H3C华三旁挂防火墙
weixin_45457085的博客
12-09 9304
适用场景: 旁挂防火墙部署 注意事项: 1.接入与汇聚都是二层部署,流量之间可以透传到防火墙 2.防火墙与汇聚交换机之间双线互联,一条做子接口起网关剥掉VLAN,一条做三层口用来路由,保证来回流量路径一致 3.汇聚与核心之间可以不通过OSPF,直接指静态路由,接入端VLAN比较多还是推荐动态协议比较方便。 配置思路: 1.首先配置接入与汇聚,打通二层。 2.配置防火墙与汇聚的互联与起网关 3.配通汇聚与接入OSPF 4.测试配置 配置开始 接入交换机上: vlan 2...
华为设备配置策略路由引流旁挂防火墙
Tony_long7483的博客
04-20 3822
华为设备配置策略路由引流旁挂防火墙
旁挂防火墙(USG6000V)实验
weixin_72910567的博客
06-09 2343
本实验通过配置旁挂防火墙,实现了内网用户访问外网的安全过滤功能。通过配置策略路由,将内网用户访问外网的流量(回包)重定向到防火墙上,使流量经过防火墙的安全检测后再返回交换机。通过配置DHCP服务,为内网用户分配IP地址。通过配置安全策略,控制不同区域之间的流量访问权限。本实验加深了对旁挂防火墙的理解和应用,提高了网络安全性。
防火墙虚拟系统——引流
SSR_ZZ的博客
12-25 1346
在虚拟系统和根系统互访的场景中,虚拟系统和根系统都会按照防火墙转发流程对报文进行处理。针对互访的业务,虚拟系统和根系统都要配置策略、都会建立会话。这样,一方面增加了配置的复杂性,另一方面,每条连接都需要两条会话,业务量大时,会造成整机的会话资源紧张。通过配置引流表,可以解决上述问题。报文命中引流表时,根系统不再按照防火墙转发流程处理报文,而是按路由表或引流表直接转发报文。因此,根系统中不需要为命中引流表的报文配置策略,根系统也不会为命中引流表的报文创建会话。
防火墙双机设备(旁挂组网),HRP双主原因
weixin_46639226的博客
10-25 1581
防火墙双机热备配置、HRP双主
华为防火墙配置基于静态路由的GRE隧道.pdf
05-12
华为防火墙配置基于静态路由的GRE隧道.pdf
华为基于基于源地址的策略路由.docx
09-30
华为基于源地址的策略路由 基于源地址的策略路由是指通过基于源地址的策略路由配置,使得报文可以根据源地址被分类,并选择不同的出口,控制报文转发。本文将详细介绍基于源地址的策略路由配置思路和操作步骤。 ...
eNSP——VRF高级 旁挂防火墙
m0_64218141的博客
03-20 718
本文旨在通过VRF技术完成外挂防火墙,涉及的技术有OSPF、VRF及基础的VLAN知识。
在eNSP模拟器上使用usg6000v实现双机热备(旁路部署,上下行连接三层设备的主备备份组网)
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
06-22 2839
在eNSP模拟器上使用usg6000v实现双机热备(旁路部署,上三下三,主备模式)拓扑图设备选型实验要求操作步骤结果验证 拓扑图 设备选型 PC1设备为PC型终端设备 LSW1设备为S3700型交换机 LSW2-3为S5700型交换机 AR1-5为AR2220型路由器 FW1-2为USG6000型防火墙 实验要求 1.完成所有设备的初始化配置(命名,接口IP,FW设备的安全区域划分) 2.在AR1-2设备上部署VRRP备份组,用于内网设备的网关 3.底层部署OSPF,Trust区域(内网区域)为OSPF1
PaloAlto旁挂部署
weixin_30399871的博客
07-04 732
第一步:电脑连接防火墙 第二步:电脑浏览器输入https://192.168.1.1(paloalto防火墙默认管理地址)登陆到防火墙管理界面 第三步:给接口配置,接口配置为TAP模式 第三步:配置一条默认策略,原区域与目标区域为TAP区域,配置文件把防毒,漏洞,以及URL调用上来 第四步:接受交换机或路由器镜像过来的流量 第五步:分析流量 转载于:https://www....
引流配置简单介绍
大任的网络专栏
03-30 2169
ip access-list to_SACG_G1/6 10 permit ip 10.xxx.70.0/24 any route-map to_SACG_G1/6 permit 10 match ip address Wlan-01-user set ip next-hop 192.xxx.33.196 interface Ethernet1/6ip policy route-map SACG_G1/6
华为接口策略路由配置命令
05-28
华为设备可以通过接口策略路由(IP Policy-based Routing)实现根据IP地址或端口号等条件对不同的流量进行不同的路由操作,以下是一些常用的华为接口策略路由配置命令: 1. 创建路由策略 ``` [huawei] ip policy-based-route policy1 [huawei-ip-policy-based-route-policy1] rule permit ip source 10.1.1.0 0.0.0.255 [huawei-ip-policy-based-route-policy1] rule deny ``` 这个命令创建了一个名为policy1的路由策略,并添加了两条规则。第一条规则允许源IP地址为10.1.1.0/24的流量通过,第二条规则拒绝所有其他流量。 2. 配置路由策略的下一跳 ``` [huawei] interface GigabitEthernet 0/0/1 [huawei-GigabitEthernet0/0/1] ip policy-based-route policy1 apply next-hop 192.168.1.1 ``` 这个命令将名为policy1的路由策略应用于接口GigabitEthernet 0/0/1,并将下一跳地址设置为192.168.1.1。 3. 配置路由策略的出接口 ``` [huawei] interface GigabitEthernet 0/0/1 [huawei-GigabitEthernet0/0/1] ip policy-based-route policy1 apply interface GigabitEthernet 0/0/2 ``` 这个命令将名为policy1的路由策略应用于接口GigabitEthernet 0/0/1,并将出接口设置为GigabitEthernet 0/0/2。 这些命令只是华为接口策略路由配置的一部分,如果你需要更多的帮助,可以查阅华为官方文档或咨询华为技术支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值