初探华为防护墙(1)------直连怎么ping不通?什么鬼?看完你就明白了

最新推荐文章于 2024-06-30 14:48:36 发布
最新推荐文章于 2024-06-30 14:48:36 发布
阅读量1w 收藏 25
点赞数 5
分类专栏: 华为防火墙 文章标签: 华为 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlgcszz/article/details/127551842
版权
文章讲述了网工ZZ在配置华为防火墙时遇到的问题,即PC1与PC2无法通过防火墙实现通信。问题出在防火墙的G0/0/1接口未加入Trust安全区域。尽管创建了安全级别更高的test区域,但只有将接口加入Trust区域后,通信才得以恢复。解决方案是允许ICMP协议在非Trust域中通行。
摘要由CSDN通过智能技术生成

初探防火墙

大家好我是你们的网工ZZ,今天我给大家分享一个我在学习华为防火墙上遇到的第一个问题,它困扰了我一半天,在我进行多次实验的情况下,做出了以下总结。
下面是场景图:
在这里插入图片描述
从图中可以显然的看出我所想要的目的,即PC1与PC2实现通信。
在我进行了IP地址配置以及测试直连网段时发现了问题!
PC1的地址如下:
在这里插入图片描述网关的地址为防火墙FW1的G0/0/0的接口IP地址(华为防火墙默认在G0/0/0接口存在IP192.168.0.1/24,你改成192.168.1.254就可以了没什么影响)。

防火墙FW1的G0/0/0接口配置如下:
在这里插入图片描述图中交换机为默认配置,我们现在测试直连的通信情况。

防火墙FW1:
在这里插入图片描述PC1:
在这里插入图片描述可以看出双向直连均测试正常。
但是,奇怪的事情发生了!接下来!
按照相同思路,配置FW1的G0/0/1接口以及PC2的IP地址
FW1的G0/0/1接口配置如下:
在这里插入图片描述PC2的配置如下:
在这里插入图片描述接下来就是重点!!进行双向测试!!
重点来了!

防火墙到PC2无法PING通
在这里插入图片描述PC2到防火墙也无法通信。

发生了什么?为什么不通?,先迷惑一阵子,再仔细分析情景。
首先PC2与PC1情况基本一样,但为什么PC2无法与防火墙通信?这里首先想到防火墙的zone。

zone的基本知识:华为防火墙引入了一个重要的概念:安全区域(Security Zone),简称为区域(Zone)。安全区域是一个或多个接口的集合,防火墙通过安全区域来划分网络、标识报文流动的“路线”。
华为防火墙要求每个接口必须分配到某个安全区域中。
华为防火墙上默认的三个区域,分别是Trust、DMZ、Untrust。
其中Trust安全级别为85,DMZ安全级别为50、Untrust区域安全级别为5。除去这三个区域外我们还可以手工自定义安全区域并为其分配安全级别。考虑到这些,我进行了如下操作:

给防火墙G0/0/1接口添加上zone可以吗?我进行了如下配置:

[FW1]firewall zone name test //自定义zone,名称为test
14:56:50 2022/10/27
[FW1-zone-test]set priority 88 //对test的优先级配置为88
14:57:03 2022/10/27
[FW1-zone-test]add interface GigabitEthernet 0/0/1 //将G0/0/1接口添加到test域中。
14:57:12 2022/10/27

接下来再次进行测试:
首先是防火墙侧:
在这里插入图片描述可以通信。接下来查看PC2侧:
在这里插入图片描述PC2无法PING通防火墙G0/0/1口
这是为什么呢?
我已经为G0/0/1口指定了安全区域,怎么会出现单通的情况?如果单通为什么PC1与FW1不是单通?说明还是存在问题的。
我创建的zone域名为test,安全级别为88,比trust区域的安全级别还高,那么问题出在哪里?

抱着试一试的态度我将G0/0/1的安全区域划在了Trust中,命令如下:
[FW1]firewall zone name test
15:09:01 2022/10/27
[FW1-zone-test]dis this
15:09:02 2022/10/27

firewall zone name test
set priority 88
add interface GigabitEthernet0/0/1

return
[FW1-zone-test]undo add interface GigabitEthernet 0/0/1 #将G0/0/1从test域中移除。
15:09:06 2022/10/27
[FW1-zone-test]quit
15:09:10 2022/10/27
[FW1]firewall zone trust
15:09:20 2022/10/27
[FW1-zone-trust]add interface GigabitEthernet 0/0/1 //将G0/0/1添加到trust域中。
15:09:29 2022/10/27

接下来进行双向测试:
防火墙侧:

PC2侧:
在这里插入图片描述结果发现防火墙与PC2可以实现双向通信。
为什么G0/0/1接口必须加入到trust域才可以,我们先前创建的test域安全级别88比trust默认安全级别还要高,竟然也无法实现通信。实在令人难以琢磨。

综上所述,Ping不通的原因是防火墙的接口未加入trust域。至于为什么要加入trust域才能通信,小伙伴们可以进行探讨。

我们需要在非trust域中开启允许icmp协议就可以ping通了

itgcszz
关注
专栏目录
华为防火墙ping不通?看这里你就会了
路虽远,行将至。事虽难,做必达。
02-20 2万+
网络拓扑图 可以看到华为默认接口存在默认IP地址192.168.0.1/24 那么我们就配置PC1地址如下 ping连接测试毫无问题 接着在防火墙GE 1/0/0接口配上IP地址 PC2如下配置 然而ping测试却不通 同样是直连,为什么一边通一边不通?我们来检查一下防火墙配置,发现默认接口下配置了允许多个服务通过,并且接口加入到了安全区域trust。 我们给另一边接口也开启ping服务并且加入安全区域 [USG6000V1]interface g1/0...
eNSP为什么直连交换机防火墙ping不通交换机
热门推荐
weixin_44881630的博客
04-03 1万+
​​​​大家好,我是爱景甜的网工 我是一个思科出身专注与华为的网工 上次在逛抖音的时候有人问为什么防火墙,交换机,路由器 路由器可以ping防火墙,交换机却不可以这是这么回事那,今天我们来试试 拓展如下: 按道理来说防火墙他的默认有配IP地址为什么ping不通 防火墙默认的IP地址192.168.0.1 那好我们在g0/0/1的接口给它配置IP为10.10.10.1如图 接下来我们要为路由器改名和弄IP我们在去ping一下防火墙看看能不能ping通 我们看到它通..
华为防火墙与路由器直连ping不通原因?
mogexiuluo的博客
10-10 5102
配置命令 [USG6000V1-GigabitEthernet1/0/0]service-manage ping permit。
解决由于防火墙导致ping不通问题
lonesome_zxq的博客
03-25 7183
原始链接:https://blog.csdn.net/MickeyMouse1928/article/details/69372166 Server A可以ping通 Server B, Server B 却ping不通 Server A. 需要在Server A中打开防火墙中的“文件和打印机共享(回显请求 - ICMPv4-In)” 原理见链接:https://blog.51cto.com/y...
windows 防火墙开启导致ping不通
weixin_61092901的博客
10-08 7053
windows ping不通-防火墙拦截
求救:华为防火墙使用ppppoe ping不通外网路由器,外网路由器能ping防火墙pppoe端口
最新发布
Q1096261387的博客
06-30 851
真不道是哪里的问题,防火墙抓包里面没有关于icmp任何信息。在路由器上是能ping防火墙的。
WINDOWS防火墙开启后Ping不通
xiangling_0917的博客
11-27 6048
WINDOWS系统由于安全考虑,当开启防火墙时,默认不允许外主机对其进行ping功能,即别的电脑ping不通本机。别的主机ping不通本机是因为本机的防火墙关闭了ICMP回显功能,只要把这回显功能打开就行了。 具体做法: 以管理员身份运行CMD,输入以下命令      netsh firewall set icmpsetting 8      注:   net
管理-培训-项目管理-华为项目管理培训.ppt
04-04
项目失败的风险初探:什么叫做项目失败,项目失败典型印象,项目失败风险认识,项目成功关键行为. PM项目是一个端到端的全流程项目,按时间段可分为三个阶段:投标前阶段、投标阶段、项目执行阶段。 PM项目是一个系统...
【重磅资料】NB-IoT物联网精品资料合集.zip
09-18
NB-IoT规划目标及规划思路初探 NB-IoT基本原理与eMTC对比介绍 NB-IoT技术业务流程 NB-IoT上行物理层技术 NB-IoT下行物理层技术 NB-IOT原理及测试 NB-IoT智慧水表白皮书 华为 NB-ioT白皮书 华为:NB-IOT Enabling New...
H3C防火墙上网问题
03-14
介绍H3C防火墙命令行下配置出外网,就是常说的上互联网,通常情况下有两种出局方式,一种是固定公网IP,一种是拨号动态获得一个随机IP。
华为HCIP-RS培训视频教程【共44集】.rar
10-10
1.OSPF回顾加多区域配置 2.1+2类LSA 3.OSPF域间域外路由 4.OSPF特殊区域及路由汇总 5.认证及默认路由 6.IS-IS浅析 7.BGP初探 8.BGP原则+同步 9.路由策略+策略路由 10.前缀列表+BGP选路前两条 11.BGP选路2 ...
初探802.11协议(5)——MIMO/MU-MIMO/OFDMA概念介绍
FanFF的博客
09-27 2955
Wi-Fi MU-MIMO/OFDMA
babel7初探 -- rollup + babel7按需加载polyfill
追逐丶的博客
09-26 6988
一、前言 babel7自从2018年下旬出来以后,一直没有仔细研究过。对于一些基本的配置过程还不是很了解。今天就来说下babel7中一个比较重要的特性–按需加载polyfill。这次乘着学习fetch,由于fetch在主流浏览器兼容性并不高,所以需要用到fetch-polyfill的机会,学习巩固一下babel7. polyfill目前没有准确的翻译。直译是填充物的意思,即引入了对应语法的poly......
解决防火墙导致虚拟机不能ping通宿主机的问题
09-08 2155
今天,无缘无故的,虚拟机突然用不了,网络连上不了,一番折腾翻找,最后才发现,是因为虚拟机ping不同宿主主机了,连网关都ping不通了,但是,宿主主机却可以ping通虚拟机。最后才发现,原来是防火墙的问题,直接关掉防火墙自然是可以解决问题的,但是,这样不好,不安全。我们可以用另一种方法来解决,
解决WINDOWS防火墙开启后Ping不通
山楂卷的专栏
01-07 8597
WINDOWS系统由于安全考虑,当开启防火墙时,默认不允许外主机对其进行ping功能,即别的电脑ping不通本机。别的主机ping不通本机是因为本机的防火墙关闭了ICMP回显功能,只要把这回显功能打开就行了。 具体做法: 以管理员身份运行CMD,输入以下命令 01 netsh firewall set icmpsetting 8 注: 01 02 netsh firewall set icmpsetting 8 – 开启ICMP回显 netsh firewall set icmpsetting 8
解决华为ENSP 无法ping通本机(桥接模式)
优秀大表哥的博客
04-03 4760
打开之后输入输入route add 后面加上去往的目的网段IP和目的掩码 和下一跳,就像写静态路由一样,由于我的虚拟网卡是192.168.139.2,所以命令需要写成下面这种。首先先把IP地址和策略写好,由于是实验演示,所以接口我全部加入到trunt区域了,接口IP也把服务全部开启。使用win+r打开cmd ,本机ping模拟器的路由器是通的,但是路由器却不能ping通本机,第二种:桥接防火墙不能ping通后面的服务器IP地址,稍微复杂一点,需要写路由。本人也是亲身经历,也很苦恼,现在出一个教程。
华为USG系列防火墙ping通不能打开网页的解决方案
pizi110的专栏
05-27 8092
华为USG系统防火墙经常能ping通网页,DNS也没有问题,就是不能正常打开网页,经过多次工作中实践得知,需要更改防火墙的mss值才能正常。命令是 firewall tcp-mss 1200 ...
关于华为的USG6000为什么不能ping通其他网络设备
qq_47529104的博客
10-21 4641
1、需要你打开接口上的service-mange,所以需要你输入service- mange enable,然后输入service-mange xxx permit,表示在该接口上能够接受的流量类型,我们可以将ping流量放入允许的范围内。 2、我们需要将接口加入到可信区域,这样才能对主机的ping命令进行回应,因为所有的接口默认都是不信任区域,所以是即使我们把上面的service-mange都配置了,ip也加了,但是最终就是它不会理财任何不信任区域的流量。 ...
防火墙ping不通路由器
08-11
根据提供的引用内容,防火墙无法ping通路由器可能是因为防火墙ping服务没有启用或者没有设置正确的安全区域。请确保防火墙ping服务已经启用并且在安全区域中添加了正确的接口。引用中提到了启用ping服务的命令"service-manage ping permit",请确保该命令已经执行。此外,还需要将接口添加到安全区域,可以使用命令"firewall zone trust"并添加接口的命令来实现。请检查防火墙的配置是否正确,以确保防火墙能够ping通路由器。1 #### 引用[.reference_title] - *1* [华为防火墙ping不通?看这里你就会了](https://blog.csdn.net/weixin_49183673/article/details/123029911)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] [ .reference_list ]
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值