ensp配置USG5500防火墙

最新推荐文章于 2024-07-05 09:27:02 发布
最新推荐文章于 2024-07-05 09:27:02 发布
阅读量8.1k 收藏 23
点赞数 3
分类专栏: 模拟器 运维 静态路由 文章标签: 路由器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46772639/article/details/123952413
版权

ensp配置USG5500防火墙

在这里插入图片描述
[FW]firewall packet-filter default permit all ——————这个是放行默认所有接口

FW1:首先实现内网PC1可以访问到路由器。需要的配置有配置接口地址,安全策略放行,NAT转换,默认路由指到下一跳
[FW1]dis cur
13:20:19 2022/04/04

interface GigabitEthernet0/0/0
alias GE0/MGMT
ip address 192.168.1.254 255.255.255.0
service-manage enable
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit

interface GigabitEthernet0/0/1
ip address 12.12.12.1 255.255.255.0
service-manage enable
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit

interface GigabitEthernet0/0/2

interface GigabitEthernet0/0/3

interface GigabitEthernet0/0/4

interface GigabitEthernet0/0/5

interface GigabitEthernet0/0/6

interface GigabitEthernet0/0/7

interface GigabitEthernet0/0/8

interface NULL0
alias NULL0

firewall zone local
set priority 100

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0

firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/1

firewall zone dmz
set priority 50

aaa
local-user admin password cipher % % sA’mEjOqP*IooDS8mG]3[NE<% %
local-user admin service-type web terminal telnet
local-user admin level 15
authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

nqa-jitter tag-version 1

ip route-static 0.0.0.0 0.0.0.0 12.12.12.2

banner enable

user-interface con 0
authentication-mode none
user-interface vty 0 4
authentication-mode none
protocol inbound all

slb

right-manager server-group

sysname FW1

l2tp domain suffix-separator @

firewall packet-filter default permit interzone local trust direction inbound
firewall packet-filter default permit interzone local trust direction outbound
firewall packet-filter default permit interzone local untrust direction inbound
firewall packet-filter default permit interzone local untrust direction outboun
d
firewall packet-filter default permit interzone local dmz direction inbound
firewall packet-filter default permit interzone local dmz direction outbound
firewall packet-filter default permit interzone trust untrust direction inbound
firewall packet-filter default permit interzone trust untrust direction outboun
d
firewall packet-filter default permit interzone trust dmz direction inbound
firewall packet-filter default permit interzone trust dmz direction outbound
firewall packet-filter default permit interzone dmz untrust direction inbound
firewall packet-filter default permit interzone dmz untrust direction outbound

nat address-group 1 12.12.12.1 12.12.12.1

ip df-unreachables enable

firewall ipv6 session link-state check
firewall ipv6 statistic system enable

dns resolve

firewall statistic system enable

pki ocsp response cache refresh interval 0
pki ocsp response cache number 0

undo dns proxy

license-server domain lic.huawei.com

web-manager enable

policy interzone trust untrust outbound
policy 1
action permit

nat-policy interzone trust untrust outbound
policy 1
action source-nat ————注意:这里如果是no-nat会导致内网访问不成功
address-group 1

return

——————————————————————————————————
【FW1】配置ipsec vpn的参数和协商。注意需要关闭两边内网的NAT

[FW1]display current-configuration
16:00:33 2022/04/04

acl number 3000
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

ike proposal 1
dh group2
integrity-algorithm aes-xcbc-96

ike peer fw2
pre-shared-key % % +D(hUR47OOq%_^*DkdZ%[2)}% %
ike-proposal 1
remote-address 23.23.23.3

ipsec proposal test
esp authentication-algorithm sha1
esp encryption-algorithm aes

ipsec policy map 1 isakmp
security acl 3000
ike-peer fw2
proposal test

interface GigabitEthernet0/0/0
alias GE0/MGMT
ip address 192.168.1.254 255.255.255.0
service-manage enable
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit

interface GigabitEthernet0/0/1
ip address 12.12.12.1 255.255.255.0
ipsec policy map
service-manage enable
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit

interface GigabitEthernet0/0/2

interface GigabitEthernet0/0/3

interface GigabitEthernet0/0/4

interface GigabitEthernet0/0/5

interface GigabitEthernet0/0/6

interface GigabitEthernet0/0/7

interface GigabitEthernet0/0/8

interface NULL0
alias NULL0

firewall zone local
set priority 100

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0

firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/1

firewall zone dmz
set priority 50

aaa
local-user admin password cipher % % sA’mEjOqP*IooDS8mG]3[NE<% %
local-user admin service-type web terminal telnet
local-user admin level 15
authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

nqa-jitter tag-version 1

ip route-static 0.0.0.0 0.0.0.0 12.12.12.2

banner enable

user-interface con 0
authentication-mode none
user-interface vty 0 4
authentication-mode none
protocol inbound all

slb

right-manager server-group

sysname FW1

l2tp domain suffix-separator @

firewall packet-filter default permit interzone local trust direction inbound
firewall packet-filter default permit interzone local trust direction outbound
firewall packet-filter default permit interzone local untrust direction inbound
firewall packet-filter default permit interzone local untrust direction outboun
d
firewall packet-filter default permit interzone local dmz direction inbound
firewall packet-filter default permit interzone local dmz direction outbound
firewall packet-filter default permit interzone trust untrust direction inbound
firewall packet-filter default permit interzone trust untrust direction outboun
d
firewall packet-filter default permit interzone trust dmz direction inbound
firewall packet-filter default permit interzone trust dmz direction outbound
firewall packet-filter default permit interzone dmz untrust direction inbound
firewall packet-filter default permit interzone dmz untrust direction outbound

nat address-group 1 12.12.12.1 12.12.12.1

ip df-unreachables enable

firewall ipv6 session link-state check
firewall ipv6 statistic system enable

dns resolve

firewall statistic system enable

pki ocsp response cache refresh interval 0
pki ocsp response cache number 0

undo dns proxy

license-server domain lic.huawei.com

web-manager enable

policy interzone local untrust inbound
policy 1

policy interzone trust untrust inbound
policy 1
action permit
policy source 192.168.2.0 0.0.0.255
policy destination 192.168.1.0 0.0.0.255

policy interzone trust untrust outbound
policy 1
action permit

nat-policy interzone trust untrust outbound
policy 1
action no-nat
policy destination 192.168.2.0 mask 24
address-group 1

policy 0

policy 2
action source-nat
address-group 1

return
[FW1]

——————————————————————————————————————
【FW3】

[FW3]dis cur
16:08:52 2022/04/04

stp region-configuration
region-name f0eedc15704f
active region-configuration

acl number 3000
rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

ike proposal 1
dh group2
integrity-algorithm aes-xcbc-96

ike peer fw1
pre-shared-key % % /d=U~a/WfP!1Jg9:/DyQ[@7.% %
ike-proposal 1
remote-address 12.12.12.1

ipsec proposal test
esp authentication-algorithm sha1
esp encryption-algorithm aes

ipsec policy map 1 isakmp
security acl 3000
ike-peer fw1
proposal test

interface GigabitEthernet0/0/0
alias GE0/MGMT
ip address 192.168.2.254 255.255.255.0
service-manage enable
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit

interface GigabitEthernet0/0/1
ip address 23.23.23.3 255.255.255.0
ipsec policy map
service-manage enable
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit

interface GigabitEthernet0/0/2

interface GigabitEthernet0/0/3

interface GigabitEthernet0/0/4

interface GigabitEthernet0/0/5

interface GigabitEthernet0/0/6

interface GigabitEthernet0/0/7

interface GigabitEthernet0/0/8

interface NULL0
alias NULL0

firewall zone local
set priority 100

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0

firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/1

firewall zone dmz
set priority 50

aaa
local-user admin password cipher % % o#ro#KyHH#T=\T#<ul~*[>5,% %
local-user admin service-type web terminal telnet
local-user admin level 15
authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

nqa-jitter tag-version 1

ip route-static 0.0.0.0 0.0.0.0 23.23.23.2

banner enable

user-interface con 0
authentication-mode none
user-interface vty 0 4
authentication-mode none
protocol inbound all

slb

right-manager server-group

sysname FW3

l2tp domain suffix-separator @

firewall packet-filter default permit interzone local trust direction inbound
firewall packet-filter default permit interzone local trust direction outbound
firewall packet-filter default permit interzone local untrust direction inbound
firewall packet-filter default permit interzone local untrust direction outboun
d
firewall packet-filter default permit interzone local dmz direction inbound
firewall packet-filter default permit interzone local dmz direction outbound
firewall packet-filter default permit interzone trust untrust direction inbound
firewall packet-filter default permit interzone trust untrust direction outboun
d
firewall packet-filter default permit interzone trust dmz direction inbound
firewall packet-filter default permit interzone trust dmz direction outbound
firewall packet-filter default permit interzone dmz untrust direction inbound
firewall packet-filter default permit interzone dmz untrust direction outbound

nat address-group 2 23.23.23.3 23.23.23.3

ip df-unreachables enable

firewall ipv6 session link-state check
firewall ipv6 statistic system enable

dns resolve

firewall statistic system enable

pki ocsp response cache refresh interval 0
pki ocsp response cache number 0

undo dns proxy

license-server domain lic.huawei.com

web-manager enable

policy interzone local untrust inbound
policy 1
action permit

policy interzone trust untrust inbound
policy 1
action permit
policy source 192.168.1.0 0.0.0.255
policy destination 192.168.2.0 0.0.0.255

nat-policy interzone trust untrust outbound
policy 2
action no-nat
policy destination 192.168.1.0 mask 24

policy 3
action source-nat
address-group 2

return

A.TOP
关注
  • 3
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为eNSP防火墙USG5500基本配置
mxiang5087的博客
12-04 2010
查询防火墙配置文件,使用命令dis cu,找到数据包过滤部分的配置,local到trust区域的数据包允许进也允许出,所以防火墙报文到各自区域都有outbound,报文都能通过。配置防火墙端口地址,并定义DMZ、Trust、Untrust区域,把接口分配到三个不同的区域,需注意Local区域没有定义,但是代表防火墙本身,192.168.0.1是防火墙自带的管理地址,10.1.1.1、10.1.30.1、20.1.1.1都是防火墙Local内的地址。修改防火墙的策略,使得DMZ区域的主机能进行ping测试。
ENSP实验十二——USG5500策略配置命令验证
qq_21230015的博客
12-15 7004
一、设备清单及目标 1,设备 3台PC,1台USG5500。 2,目标 配置并验证USG5500一些策略配置命令。 二、拓扑图 三、配置 1,PC PC1作为trust区域 IP/掩码 1.1.1.1/24,GW1.1.1.254 PC2作为untrust区域 IP/掩码 2.2.2.2/24,GW2.2.2.254 PC3作为dmz区域 IP/掩码3.3.3.3/24,GW3.3.3.254 2,防火墙 要求一: trust可以访问dmz和untrust,untru
解决USG6000V启动失败问题&测试eNSP中服务器连通性
热门推荐
一名北漂Java程序员的学习记录!
12-18 3万+
USG6000V、eNSP安装包 ,需要自取。 链接:https://pan.baidu.com/s/1Z5vvlCFb8u7ay1Et82udoQ 提取码:l6ts 解决USG6000V启动失败问题操作视频: 解决USG6000V启动失败问题 如何解决USG6000V启动失败问题 现象描述 启动USG6000V设备之后,设备命令行无法接收输入,在长时间等待后一直输...
华为ENSP防火墙+路由器+交换机的常规配置
最新发布
weixin_43075093的博客
07-05 1493
一、适用场景: 1、普通企业级网络无冗余网络环境,防火墙作为边界安全设备,分trust(内部网络信任区域)、untrust(外部网络非信任区域)、dmz(非军事服务器区域) 2、dmz区域运行企业的专业服务器,本例以FTP与HTTPS服务器为访问目标,供trust中的有线用户、无线用户访问。 3、cloud云朵模拟外部网络,无线区域的STA与手机用户能访问cloud云朵外部网络。 4、使用无线AC控制器统一管理所有的无线AP接入点,下发wifi配置,管理信道、射频2.4Ghz与5Ghz、等。
华为USG5500防火墙配置实验一.pdf
11-18
华为USG5500防火墙配置实验一.pdf
华为5500网络限流配置_华为USG5500防火墙配置实验一
weixin_40006133的博客
12-22 953
华为USG5500防火墙配置实验1、实验拓扑内网:192.168.0.0/24外网:192.168.1.0/24其他设备地址规划如图,按照拓扑图搭建网络,并配置设备地址2、具体配置命令AR1system-view[Huawei]sysnameAR1[AR1]interfaceg0/0/0[AR1-GigabitEthernet0/0/0]ipaddress192.168.0.15024[...
ENSP1.3 USG6000防火墙设备包(百度网盘)
12-18
ENSP 1.3 USG6000防火墙设备包,注意开启service-manage enable,网云中不要绑定公网网卡,文件大小784MB
ensp防火墙USG6000v
02-04
eNSP里面的防火墙USG6000v可用版本,解决eNSP防火墙USG6000v为beta版的问题 适合刚入手学习eNSP及其防火墙配置的实验 亲测可配置云、nat、IP v6过渡技术、VRRP、隧道等技术
华为USG防火墙配置实例
03-24
USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。可广泛应用于运营商、企业、政府、金融、能源、学校等领域的网络边界。USG5500系列产品部署于网络出口处,...
eNSP+USG6000V防火墙
10-22
eNSP(Enterprise Network Simulation Platform)是一款由华为提供的免费的、可扩展的 、图形化操作的网络仿真工具平台,主要对企业网络路由器、交换机进行软件仿真,完美呈现真实设备实景,支持大型网络模拟,让广大...
华赛防火墙USG2200&5500web配置方式
12-04
华赛防火墙USG2200&5500web配置方式
华为USG防火墙典型配置案列
11-05
华为防火墙典型配置案例,主要介绍了防火墙NAT,HA,策略等功能的实际配置案例。
华为防火墙USG6000WEB配置案例
12-09
华为防火墙USG6000WEB配置案例,详细指导你如何配置华为防火墙,是新手入门的最佳文档
ENSP实验十三——USG5500的基本配置(一)
qq_21230015的博客
12-16 8289
一、设备清单及目标 1,设备 10台PC,4台交换机S5700,2台路由器AR2220,2台服务器server,1台防火墙USG5500。 2,目标 ①Trust区域各个主机可以互联 ②trust区域内各个主机可以访问dmz ③trust区域内192.168.2.0/24网段不能访问外网untrust区域,.1.0/24可以 ④开启域名服务器使trust内192.168.1.0/24可以直接ping域名。 二、拓扑图 三、配置 1,PC PC1:IP/掩码 192.168.1..
华为5500&6000v防火墙配置命令简介
Red_guest的博客
03-19 5938
华为5500&6000v防火墙配置命令简介
华为防火墙USG5500
weixin_34082177的博客
06-08 2602
华为防火墙USG5500重点:什么是防火墙防火墙基础;防火墙功能配置一.什么是防火墙:1.什么是防火墙防火墙主要用于保护一个网络免受来自另一个网络的***和***行为,因其隔离、防守属性,防火墙灵活应用于网络边界、子网隔离等位置,如企业网络出口、大型网络内部子网隔离、数据中心(IDC)边界。2.对比交换机路由器防火墙:1)交换机:组建局域网、通过二层或三层交换快速转发报文;2)路由器:连接不...
使用ensp配置网络安全
l_s_k的博客
04-21 4585
拓扑图 在此基础上继续搭建 配置路由器防火墙之间的互联地址为192.168.5.2/24,在路由器OSPF中发布与防火墙互联网段。 配置防火墙路由器互联地址为192.168.5.1/24. 配置与外网互联地址为192.168.12.9/24,设置外网默认路由。 配置内网访问外网nat规则,保护内网地址。 设置访问策略,部门1、部门2设置可以访问外网,部门三设置为不能访问外网。 防火墙使...
ensp防火墙usg5500 nat配置
07-28
eNSP配置防火墙USG5500的NAT,可以按照以下步骤进行操作: 1. 首先,使用命令`dis cu`查询防火墙配置文件,找到NAT部分的配置信息。根据引用\[2\]中的描述,可以看到防火墙配置文件中有关数据包过滤的配置。 2. 在配置文件中找到需要进行NAT的接口,例如Trust区域的接口。根据引用\[3\]中的描述,可以看到防火墙的接口地址分配情况,其中192.168.5.1是Trust区域的地址。 3. 针对需要进行NAT的接口,使用命令`nat outbound`进行配置。根据具体需求,可以选择不同的NAT类型,例如静态NAT、动态NAT或PAT(端口地址转换)。 4. 配置NAT规则,指定源地址和目的地址的转换方式。根据具体需求,可以使用命令`nat server`配置静态NAT规则,或使用命令`nat address-group`配置动态NAT规则。 5. 配置完成后,保存配置并应用到防火墙上。 需要注意的是,具体的NAT配置步骤可能会因为实验拓扑和需求的不同而有所差异。因此,在进行NAT配置时,建议参考eNSP提供的文档或教程,以确保正确配置防火墙的NAT功能。 #### 引用[.reference_title] - *1* *2* *3* [华为eNSP防火墙USG5500基本配置](https://blog.csdn.net/compression/article/details/127671075)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值