防御保护---防火墙(安全策略、NAT策略实验)

于 2024-07-22 21:32:53 发布
阅读量547 收藏 8
点赞数 7
文章标签: 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzhlove_/article/details/140618932
版权

一、实验括扑图

二、实验要求
 

1.生产区在工作时间(9:00-18:00)内可以访问DMZ区,仅可以访问http服务器;
2.办公区全天可以访问DMZ区,其中10.0.2.10可以访问FTP服务器和HTTP服务器,10.0.2.20仅可以ping通10.0.3.10
3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理
4.到公网的nat配置
 

三、实验思路

此次实验主要是以web界面的形式来配置防火墙,所以在上图中防火墙与cloud连接(不需要交换机也可),为了在web界面管理防火墙,web界面相对来说比较友好,可以直观的看出各种配置及条目。
在防火墙与交换机SW7做三层,并且在防火墙部署三个区域的网关,向下使用子接口,分别对应生产区与办公区,然后在防火墙上做安全策略以及NAT策略,实现对路由的控制与转发。

四、实验步骤
配置IP地址以及VLAN

[Huawei]sy ISP
[ISP]int l0
[ISP-LoopBack0]ip add 1.1.1.1 24
[ISP-LoopBack0]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip add 12.0.0.2 24
[ISP-GigabitEthernet0/0/1]int g0/0/2
[ISP-GigabitEthernet0/0/2]ip add 21.0.0.2 24


[LSW4]vlan b 2 to 3
[LSW4]int g0/0/2
[LSW4-GigabitEthernet0/0/2]port link-type access 
[LSW4-GigabitEthernet0/0/2]port default vlan 2
[LSW4-GigabitEthernet0/0/2]int g0/0/3
[LSW4-GigabitEthernet0/0/3]port link-type access 
[LSW4-GigabitEthernet0/0/3]port default vlan 3
[LSW4-GigabitEthernet0/0/3]int g0/0/1   
[LSW4-GigabitEthernet0/0/1]port link-type trunk 
[LSW4-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3
[LSW4-GigabitEthernet0/0/1]undo port trunk allow-pass vlan  1
 

配置防火墙IP地址及划分区域
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.20 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 








 
配置防火墙安全策略






根据实验需求配置安全策略:

测试











 配置防火墙NAT策略





wzhlove_
关注
  • 7
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙的安全区域及安全策略NAT 配置
Qconfig100的博客
10-18 2446
公司总部的网络分成了三个区域,包括内部区域(Trust)、外部区域(Untrust)和服务器区域(DMZ)。你设计通过防火墙来实现对数据的控制,确保公司内部网络安全,并通过DMZ区域对外网提供服务。并且需要将DMZ区域中的一台服务器(IP地址为10.0.3.3)提供的Telnet服务和FTP服务发布出去,对外公开的地址为10.0.10.254/24。
华为防火墙配置NAPT:在华为防火墙上配置安全策略NAT策略(NAPT),使Client1能够访问Server1的Web服务。
彭淦淦的博客
04-28 1334
4.2 方案 搭建实验环境,如图-18所示。 图-18 4.3 步骤 实现此案例需要按照如下步骤进行。 1)配置接口,如图-19所示。 图-19 2)配置安全策略,如图-20所示。 图-20 3)配置NAT策略,如图-21和图-22所示。 图-21 图-22 4)测试可以访问。 ...
4.安全与NAT策略-1
weixin_34377065的博客
06-27 970
1.安全策略配置 1.1 基本概念 下一代防火墙流量处理流程 策略匹配规则 从上到下匹配 使用第一个匹配流量的策略规则 后面的策略规则不会匹配 三种类型的Policy Rule intraZone:流量在一个zone里面穿梭,默认允许。 InterZone:流量在不同的zone之间穿梭,默认拒绝。 Universal:policy rule默认的类型,可以是intraZone...
4.安全与NAT策略-2
weixin_33736649的博客
06-26 235
2.NAT 2.1 NAT的类型 源NAT:用于内部用户上网 目的NAT--用于私有网络中的服务器为公有网络提供服务 2.2 源NAT的类型 静态IP 一对一固定转换(双向NAT:出去转源,进来转目的) 源IP改变,源端口不变(10.0.0.1:1025--->202.100.1.1:1025) 动态IP 源IP一对一动态转换,端口不变 动态IP/Port(DIPP) 多...
防御保护----防火墙安全策略NAT策略实验
Tmg3202915143的博客
01-26 409
【代码】防御保护----防火墙安全策略NAT策略实验
HCNA-Security-CBSN构建基础安全网络v2.5视频课程
06-09
防火墙基础知识和应用技术、NAT技术等防火墙基本原理以及在华为防火墙中的实现,华为防火墙用户管理及认证原理, IPSec、SSL等技术原理以及在华为防火墙中的实现,UTM技术及相关防御策略的部署配置,终端安全技术及...
华为HCNA-Security培训视频教程【共35集】.rar
09-25
08-防火墙安全策略的基本使用 09-多通道协议技术 10-防火墙安全策略细调 11-NAT技术简介及源NAT基本配置 12-NAT中的路由环路 13-no_pat及nat_server 14-NAT_Inbound+Nat_Server 15-域内NAT+Nat_Server 16-...
优质资料(2021-2022年收藏)山东省职业院校技能大赛高职组“计算机网络组建与信息安全技术”项目竞赛规程.doc
11-28
- 硬件防火墙与入侵检测:部署防火墙,实施NAT转换、DDoS防御,使用入侵检测技术预警网络风险。 - 安全配置与防护:包括VPNs的配置,提供远程安全接入和站点到站点的IPSec连接。 - 工程文件制作:依据国家标准...
最新cisco asa911-k8
12-25
配置涵盖防火墙规则、访问控制列表(ACLs)、身份认证、IPsec和SSL VPN、NAT转换等多方面。 **4. 安全最佳实践** - **定期更新**:保持ASA软件的最新状态,以抵御新的安全威胁。 - **安全策略审查**:定期评估并...
华为认证HCIA-Security(安全)PPT教材及实验手册V3.0.rar
01-07
信息安全概念、信息安全标准与规范、常见攻击手段、基础操作系统安全、防火墙安全策略防火墙NAT技术、防火墙双机热备技术、入侵防御技术、密码学基础、PKI机制、IPSec/SSL VPN技术、数据监控与分析、电子取证技术...
华为防火墙如何为NAT开放安全策略
09-16
如何为NAT开放安全策略
防御保护---防火墙(安全策略NAT策略实验)
M372109150的博客
01-25 1712
此次实验主要是以web界面的形式来配置防火墙,所以在上图中防火墙与cloud连接(不需要交换机也可),为了在web界面管理防火墙,web界面相对来说比较友好,可以直观的看出各种配置及条目。1.生产区在工作时间内可以访问服务器区,仅可以访问http服务器; 2.办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10 3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理 4.办公设备可以访问公网,但是其他区域不行。
华为防火墙NAT配置与策略管理
qq_60654159的博客
11-19 7135
人类对计算机网路的使用已经拓展到各个领域,而计算机网络的设计者在当时无法想象网络能有今天的规模。任何一个接入互联网的计算机、ipad、手机及安卓电视,要想在互联网中畅游,必须有一个合法的IP地址。而IP地址,曾经认为足以容纳全球的计算机,但是在今天看来,已经严重枯竭。IPv6的出现就是为了解决地址不足的问题,但在IPv6普及之前,需要有一个过渡技术ーNATNAT的出现缓解了地址不够用的情况,它可以让同一局域网内60000多用户同时使用一个合法IP地址访问互联网,NAT技术不是新技术,对于我们来说也不陌生
防火墙NAT策略
sjsjshhs134654的博客
11-14 793
一个范围私网地址对应一个公网IP地址的多个端口(该公网地址是公司出口路由器IP地址)一个范围私网地址对应一个公网IP地址的多个端口(该公网非公司出口路由器公网IP)一个私网地址的一个端口对应一个公网地址的一个端口(一般用于外网访问内网服务器)一个范围私网地址对应一个范围的公网地址。一个私网地址对应一个公网地址。
理论+实操:防火墙NAT策略
Lfwthotpt的博客
02-11 4835
文章目录一:NAT概述1.1 NAT分类1.1.1 NAT No-PAT1.1.2 NAPT(Network Address and Port Translation,网络地址和端口转换)1.1.3 出接口地址 (Easy-IP)1.1.4 NAT Server1.1.5 Smart NAT (智能转换)1.1.6 三元组NAT1.2 黑洞路由1.3 Server-map1.3.1 server-...
2021-07-14
qq_55803921的博客
07-14 1034
07/14课堂笔记 NAT转换在这里可以分为四种: 源NAT: no-pat pat ease-ip 目标NAT: server nat 暂且不明: 双向nat alg特性 如果在防火墙上的是源NAT转换,则防火墙先匹配安全策略,再匹配NAT策略 如果在防火墙上的是目标NAT转换,则防火墙先匹配NAT策略,再匹配安全策略 实验总结概述: 防火墙上做NAT: 第一步: 将接口划分好所属区域,做好基础配置 第二步: 创建一个nat地址池,并将模式改为no-pat(虽然不节省地址,但是实验要求),将地址池的范围规
防御保护--安全策略NAT配置实验
weixin_68374338的博客
02-19 394
1.生产区在工作时间内可以访问服务器区,仅可以访问http服务器。 2.办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10。 3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理。 4.办公区设备可以访问公网,其他区域不行。
华为防火墙NAT安全策略设置的解释
qq_47529104的博客
03-15 1707
1、no-pat 我们知道no-pat会产生相应的server-map表项,其主要作用是加快nat的转换,但是在一开始的时候防火墙是没有server-map表的,只有本次通信中的首包触发了链接的建立之后,才会产生相应的server-map表,也正是因为这样我们在no-pat的时候其对应的安全策略放行的是内网主机的IP地址。 2、NAT server 在nat server的情况下默认会生成正反两条server-map,且不需要有首包就存在,一条帮助外网主机进行目的地址的转换,另一条是帮助内网服..
学完这篇,再不怕防火墙NAT策略问题
jifu_edu的博客
12-12 766
⚫ 和接口地址不在同一网段,此时发布NAT地址池和nat server的路由,不能通过在ospf中添加network的方式实现,因为NAT地址池和nat server的global地址网段对于OSPF来说是down的,所以OSPF是不会发布相应路由出去的,此时可以在防火墙上配置NAT地址池的地址或者是nat server的global地址的黑洞路由,然后通过在OSPF中引入静态路由的方式实现。在防火墙上使用NAT策略NAT时,对于不同的流,可以出现NAT转换后的IP和端口都相同的情况。
ensp配置防火墙安全策略
最新发布
03-26
ensp是华为公司推出的一款网络模拟器,用于模拟和测试网络设备的功能和性能。在ensp中配置防火墙安全策略可以帮助保护网络的安全,防止未经授权的访问和攻击。 在ensp中配置防火墙安全策略的步骤如下: 1. 登录ensp,并选择需要配置防火墙的设备。 2. 进入设备的配置界面,找到防火墙相关的配置选项。 3. 配置访问控制列表(ACL),ACL用于定义允许或禁止通过防火墙的流量。可以根据源IP地址、目标IP地址、协议类型、端口等条件进行过滤。 4. 配置安全区域,安全区域用于将网络划分为不同的安全级别,可以根据安全级别设置不同的访问控制策略。 5. 配置NAT网络地址转换),NAT用于将私有IP地址转换为公共IP地址,以实现内部网络与外部网络的通信。 6.*** 配置其他安全功能,如入侵检测与防御、DDoS防护、反病毒等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值