《防火墙-安全策略配置2.0》

最新推荐文章于 2025-03-21 11:43:39 发布
最新推荐文章于 2025-03-21 11:43:39 发布
阅读量2.2k 收藏 15
点赞数 1
分类专栏: 华为ensp 文章标签: 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52439435/article/details/124949790
版权

《防火墙-安全策略配置》

安全策略应用

一、实验目的

建立一个以防火墙为基础的体系结构:财务服务器可以通信财务人员和员工的电脑,财务人员可以与财务服务器及员工电脑通信,员工可以通信财务人员的电脑,不可以访问财务服务器。

二、组网设备

防火墙USG5500一台,pc机三台,交换机S5700两台

三、实验拓扑图

在这里插入图片描述

四、实验内容及步骤

1.配置IP、子网掩码及网关:
pc1为财务服务器,pc2为财务人员,pc3为员工
Pc1 Pc2 Pc3

IP192.168.10.2192.168.20.2192.168.20.3
子网掩码255.255.255.0255.255.255.0255.255.255.0
网关192.168.10.1192.168.20.1182.168.20.1

2.配置trust和untrust区域:
首先进入系统视图,然后配置trust和untrust区域,分别进入GE 0/0/2和GE 0/0/3接口设置对应的IP

GE 0/0/2GE 0/0/3
192.168.10.1/24192.168.20.1/24

把GE 0/0/2接口加入trust区域,GE 0/0/3 接口加入untrust区域
FW1:
Enter system view, return user view with Ctrl+Z.
[SRG]
[SRG]firewall zone trust
[SRG-zone-trust]add interface GigabitEthernet 0/0/2
[SRG]interface GigabitEthernet 0/0/2
[SRG-GigabitEthernet0/0/2]ip address 192.168.10.1 24
[SRG]firewall zone untrust
[SRG-zone-untrust]add interface GigabitEthernet 0/0/3
[SRG]interface GigabitEthernet 0/0/3
[SRG-GigabitEthernet0/0/3]ip address 192.168.20.1 24

3.配置安全策略:
(1)流量方向为出 trust—>untrust,策略源地址来自于pc1,从而pc1可以对pc2和pc3随意访问。
[SRG]policy interzone trust untrust outbound
[SRG-policy-interzone-trust-untrust-outbound]policy 2
[SRG-policy-interzone-trust-untrust-outbound-2]action permit
[SRG-policy-interzone-trust-untrust-outbound-2]policy source 192.168.10.0 mask 2
(2)流量方向为入 trust<—untrust,策略源地址来自于pc2,从而仅允许pc2可以对pc1访问,而pc3则不可以。
[SRG]policy interzone trust untrust inbound
[SRG-policy-interzone-trust-untrust-inbound]policy 3
[SRG-policy-interzone-trust-untrust-inbound-3]action permit
[SRG-policy-interzone-trust-untrust-inbound-3]policy source 192.168.20.2 0
(3)pc2和pc3在同一个交换机下,没有过多配置,是可以互相通信的。

实验结果:

pc1通pc2(成功)
在这里插入图片描述

pc1通pc3(成功)

在这里插入图片描述

pc2通pc1(成功)
在这里插入图片描述

pc3通pc1(失败)

在这里插入图片描述

HCIE-Cloud Computing v2.0 lab机考全讲解
stqer的博客
10-30 1526
FusionCompute扩容&虚拟化管理FusionAccess部署及桌面管理FA&FC升级rainbow迁移HuaweiCloudStack6.5规划1、HCS规划题:Type l、Type IlI2、FC:创建主机、扩容、创建dvs、创建windows、创建euler4、升级:VRM、ITA5、rainbow阵列配置、交换机配置虚拟化及桌面云的部署、升级及业务管理Rainbow的配置及V2V迁移根据场景进行HCS TypeI、II的规划设计。
防火墙安全策略(基本配置
2301_78439235的博客
07-10 9969
此时,即使配置了接口所在安全域允许访问local区域的安全策略,也不能通过该接口访问本地防火墙。所以服务器回包时候,会直接查询会话表,实现通信,所以防火墙只需要放行一边就行,流量能出去能建立会话,流量就可以按照会话回来。firewall zone name命令用来创建安全区域,并进入安全区域视图。id表示安全区域ID,取值4~99,默认递增。安全区域在使用时需要与防火墙的特定接口相关联,即需要将接口加入到安全区域。和交换机、路由器相同,interface命令用来创建接口或进入指定的接口视图。
防火墙安全策略配置
qq_44197252的博客
07-02 9111
建立网络拓扑图,防火墙的接口0/0/0用于连接PC,PC的网段192.168.5.0,PC访问服务器需要经过防火墙的筛选;防火墙的接口0/0/1 用于连接网段192.168.1.0中的服务器,当网段192.168.5.0中的PC访问服务器时,只有符合要求的IP才能访问。网络拓扑图如下图所示: 对防火墙的接口进行配置,分别让接口0/0/0连接PC,接口0/0/1连接服务器,并且规定PC端的网段为192.168.5.0服务器端的网段为192.168.1.0,如下图所示: 在防火墙中加入信任区域,..
常见防火墙安全策略配置及精准排障指导
最新发布
乐维社区的博客
03-21 913
防火墙作为企业网络安全的第一道防线,其安全策略配置与故障排查能力直接决定了整体防护效能。2025年,随着混合云架构、零信任模型的普及,防火墙的部署场景愈发复杂。本文基结合真实案例,系统梳理防火墙安全策略配置逻辑、高级应用技巧及精准排障方法论,助力企业构建高可靠、高智能的防护体系。
防火墙-安全策略配置1.0
weixin_52439435的博客
05-24 1898
防火墙-安全策略配置1.0
华为HCIE-Data Center V2.0数据中心培训教材和实验手册.rar
08-06
7. **安全与合规**:数据中心的安全措施,如防火墙策略、入侵检测、安全组规则以及合规性要求,确保数据中心运行的安全稳定。 8. **灾难恢复与业务连续性**:学习如何规划和实施灾难恢复计划(DRP)和业务连续性...
H3C防火墙-安全策略典型配置举例
MAsunshine的博客
10-21 8654
基于 IP 地址的安全策略配置举例 组网需求 • 某公司内的各部门之间通过 Device 实现互连,该公司的工作时间为每周工作日的 8 点到 18点。 • 通过配置安全策略规则,允许总裁办在任意时间、财务部在工作时间通过 HTTP 协议访问财务数据库服务器的 Web 服务,禁止其它部门在任何时间、财务部在非工作时间通过 HTTP 协议访问该服务器的 Web 服务。 组网图 配置步骤 (1) 配置接口 IP 地址、路由保证网络可达,具体配置步骤略 (2) 配置时间段 创建名为 work 的时间段,其时
HCNP-Security CISN V2.0中文教材
11-17
最后,教材强调了管理员在登录系统后,应立即修改默认密码,以保证系统安全,并对设备的不同接口进行安全策略配置,从而确保设备转发流量时的安全性。 总结来说,HCNP-Security CISN V2.0中文教材为网络管理员提供...
DCC-CRL1000 R2.0 云服务实训平台用户操作手册
03-09
- **安全与备份**:手册会强调平台的安全策略,包括防火墙规则、数据备份和恢复机制,以确保用户的数据安全。 - **监控与报警**:用户可以设定监控规则,当达到特定条件时接收到报警,以及时了解系统状态并作出...
防火墙详解(三)华为防火墙基础安全策略配置(命令行配置
热门推荐
Richardlygo的博客
09-23 1万+
原文链接:https://blog.csdn.net/qq_46254436/article/details/105397534。注意防火墙默认不允许所有流量通过所以未配置安全策略时都不能通信。Trust区域可以主动访问Untrust区域,但是反之不行。PC2服务器 查看是否能通,发现可以,证明配置成功。untrust区域和trust区域都可以访问DMZ区域。内网用户可以访问外网用户,但是外网用户不能访问内网用户。外网用户和内网用户都可以访问公司服务器配置完成之后可以通过。查看接口IP等信息。
防火墙---策略配置
angelliusa的博客
01-28 596
防火墙安全策略部署
Star_wake_up的博客
01-22 1002
防火墙安全部署
防火墙安全策略配置/防火墙安全架构基于-小白渗透详细教程
程序员三九的博客
06-14 542
M 防火墙安全选项防火墙安全选项允许 ACSLS 在防火墙后运行,同时客户机软件可以跨该防火墙发出请求。针对 ACSLS 客户机也提供了防火墙安全
防火墙的安全区域及安全策略、NAT 配置
Qconfig100的博客
10-18 2749
公司总部的网络分成了三个区域,包括内部区域(Trust)、外部区域(Untrust)和服务器区域(DMZ)。你设计通过防火墙来实现对数据的控制,确保公司内部网络安全,并通过DMZ区域对外网提供服务。并且需要将DMZ区域中的一台服务器(IP地址为10.0.3.3)提供的Telnet服务和FTP服务发布出去,对外公开的地址为10.0.10.254/24。
防火墙配置和策略
qq_64441401的博客
11-06 1212
对进出网络或者主机的数据包基于一定规则的检查,而且在匹配到某规则时,规则的定义做出相应的处理动作。只有运行策略的数据包,才能够通过。filter表:是iptables的默认表,用于过滤数据包,可以控制数据包的进出,以及任何时候接受或者拒绝数据包。自上向下,按顺序依次进行检查,找到匹配的规则立刻停止,如果在链中找不到规则,则会按照该链的默认策略处理。1、如果策略已保存过,写在配置文件中的,保存,导入到iptables,重启服务器即可。防水墙:ensp,不透明的工作方式,你干什么都有记录,但是你自己不知道。
防火墙安全策略
AXDRXS的博客
07-10 1483
我们本次做的实验用到的防火墙是华为的USG6000V1,所有的安全策略,用户认证都在该设备的可视化界面中进行操作,并搭配老伙伴ENSP模拟器,接下来让我们进入实验。
防火墙安全配置
Ideone的博客
03-18 3062
此时用PC1 ping PC 2,即使两台PC是同一网段,依旧是无法ping通,原因也是在防火墙上存在一条安全策略默认拒绝所有,所以我们需要编写一条安全策略来实现trust区域与untrust区域的通信,由于此时我们使用的是二层协议,所以我们需要添加VLAN ID。路由器ping防火墙,即使路由器与防火墙为直连,但是依旧是无法ping通的,原因是在配置防火墙时,没有启用访问管理,设置启动访问管理,并选择放通ping流量即可ping通。NGFW能对七层检测,可以清楚地呈现网络中的具体业务,并实行管控。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值