USG防火墙实验举例

于 2023-11-14 12:29:34 发布
阅读量83 收藏
点赞数
分类专栏: 华为防火墙 文章标签: 网络 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xw19979790869/article/details/134393613
版权

安全策略实现了基于应用的流量转发控制,而且还可以对流量的内容进行安全检测和处理。

一、认识防火墙:

传统防火墙包过滤

传统防火墙根据五元组(源地址、目的地址、源端口、目的端口、协议类型)来控制流量在安全区域间的转发。

传统网络与新时代网络对比
传统网络的特点新时代网络特点
用户等于IP(例如市场部=192.168.1.0/24),用户的区分只能通过网段或安全区域的划分来实现。如果用户的IP地址不固定,则无法将用户与IP地址关联。因为用户移动办公,IP地址不固定,所以企业管理者希望将用户与IP地址动态关联起来,从而能够以可视化方式查看用户的活动,根据用户信息来审计和控制穿越网络的应用程序和内容。
应用等于端口,例如浏览网页的端口为80,FTP的端口为21。如果想允许或限制某种应用,直接允许或禁用端口就能解决问题。大多数应用集中在少数端口(例如80和443),应用程序越来越Web化(例如微博、Web Mail)。允许访问80端口将不仅仅是允许浏览Internet网页,同时也可使用多种多样的基于网页的应用程序。
网络是黑白分明的,只有安全和不安全之分,即要么是安全的应用,要么是不安全的应用。对于不安全的应用全部拒绝即可,不会影响正常业务。正常的应用程序常常会伴随不安全的流量。网络攻击由传统的单包攻击转为木马、黑客等信息窃取技术,应用和数据库存在大量的风险。
下一代防火墙的安全策略

下一代防火墙的安全策略不仅可以完全替代包过滤的功能,还进一步实现了基于用户和应用的流量转发控制,而且还可以对流量的内容进行安全检测和处理。下一代防火墙的安全策略可以更好的适应新时代网络的特点,满足新时代网络的需求。

与的传统安全策略相比,下一代防火墙的安全策略体现了以下优势:

  • 能够通过“用户”来区分不同部门的员工,使网络的管理更加灵活和可视。
  • 能够有效区分协议(例如HTTP)承载的不同应用(例如网页IM、网页游戏等),使网络的管理更加精细。
  • 能够通过安全策略实现内容安全检测,阻断病毒、黑客等的入侵,更好的保护内部网络。 

二、FW安全策略:

安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略。

设备能够识别出流量的属性,并将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。流量匹配安全策略后,设备将会执行安全策略的动作。

  • 如果动作为“允许”,则对流量进行内容安全检测。最终根据内容安全检测的结论来判断是否对流量进行放行。

  • 如果动作为“禁止”,则禁止流量通过。

内容安全一体化检测是指使用设备的智能感知引擎对一条流量的内容只进行一次检测和处理,就能实现包括反病毒、入侵防御、URL过滤、DNS过滤、文件过滤、内容过滤、应用行为控制、邮件过滤、APT防御在内的内容安全功能,通过各种内容安全功能来保证网络安全。

三、实验:

3.1实验拓扑:

3.2 LSW1简单的配置:

S1的vlan与DHCP配置


sysname S1
#
vlan batch 10 100
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
dhcp enable
#

vlan 10 的配置:

#
interface Vlanif10
 ip address 10.0.10.254 255.255.255.0
 dhcp select interface

 vlan 100 的配置:

#
interface Vlanif100
 ip address 10.0.12.2 255.255.255.0
#

 PC1与PC2成功拿到DHCP:

3.3 FW的配置:

##指向10.0.10.0网段的静态路由##
[FW1]ip route-static 10.0.10.0 24 10.0.12.2


##指向公网的默认路由##
[FW1]ip route-static 0.0.0.0 0.0.0.0 172.16.1.2

FW的接口区域配置

#
trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet0/0/0
    GigabitEthernet1/0/1
#
untrust
 priority is 5
 interface of the zone is (1):
    GigabitEthernet1/0/0

FW1配置安全策略:

##从trust 到 untrust只允许10.0.10.0网段通信##
#
 rule name t_2_u
  source-zone trust
  destination-zone untrust
  source-address 10.0.10.0 mask 255.255.255.0
  action permit
#

3.4 R1配置远程:

######配置AAA#####
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user xiao password cipher %$%$*b<i1^W8,;&B|u2+ebl;4"(Z%$%$
 local-user xiao privilege level 3
 local-user xiao service-type telnet
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#

####配置vty#####

user-interface con 0
 authentication-mode password
user-interface vty 0 4
 authentication-mode password
 set authentication password cipher %$%${ikeE<k_,UWbae-g"!VJ,,M\~bqCW;BxbW0:@t"!
Tp&9,M_,%$%$
user-interface vty 16 20

3.5实验结果:

远程R1

成功远程到了R1 !!!

<(@~@)> 

 

 

 

 

 

 

IT_小薇子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
USG6000V防火墙基础配置实验
qq_58187222的博客
03-17 1781
防火墙是一种计算机网络安全系统,可限制进出专用网络或专用网络内的互联网流量。此类软件防火墙或专用的软硬件防火墙的主要功能是选择性地阻止或允许数据包。防火墙通常用于帮助阻止恶意活动并防止专用网络内外的任何人进行未经授权的 Web 活动。防火墙可以被视为门控边界或网关,用于管理被允许和被禁止的 Web 活动在专用网络中的传播。该术语源于物理墙的概念,即在紧急救援人员将其扑灭之前用于减缓火势蔓延的屏障。而网络安全领域的防火墙用于 Web 流量管理,通常旨在减缓Web 威胁的传播。
HCIA Security案例实验
最新发布
12-05
适合人群:1、具备基础防火墙安全技术知识的高校相关专业或跨专业学生; 2、具有HCIA安全基础,深入学习HCIA安全技术,具有网络安全基础者。 3、具有数通基础,想学习安全方向的技术人员、工程师、高校学生等你将会学到:HCIA Security实验讲解课程简介:注意:本课程以实操配置为主,理论学习在该部分是顺带而过,本课程目标是提高大家实操动手能力。郑老师精心开发原创课程,配套资料齐全,提供详细(非常详细,每一条命令都保存步骤!)配套资料,包含但不限于:1、上课使用的拓扑;2、实验配置文档(非常详细!)3、精心录制讲解视频;4、提供本课程内容答疑注意:本课程以实操配置为主,理论学习在该部分是顺带而过,本课程目标是提高大家实操动手能力。
旁挂式防火墙USG6000V)实验
weixin_72910567的博客
06-09 2464
实验通过配置旁挂式防火墙,实现了内网用户访问外网的安全过滤功能。通过配置策略路由,将内网用户访问外网的流量(回包)重定向到防火墙上,使流量经过防火墙安全检测后再返回交换机。通过配置DHCP服务,为内网用户分配IP地址。通过配置安全策略,控制不同区域之间的流量访问权限。本实验加深了对旁挂式防火墙的理解和应用,提高了网络安全性。
网络实验】华为防火墙基础之安全策略以及easyIP和NAPT以及web管理的配置
Vector_seven的博客
08-19 4817
3.在设计拓扑图的时候,管理口思考了很久加入哪个区域,但是后来想可以不加入区域,任何人都访问不到这个区域来,没有安全策略。Untrust区域目前只有一台192.168.2.3的主机,我们配置安全策略使得ip范围在2.4-2.5。配置0/0/0为管理接口,用cloud1去桥接真机,配置web应用口,但是又没有直连0/0/0口。改变策略使得该ip可以通过,此时我们直接改网段的策略,使得2.0网段都可以通过。这一条是防火墙的管理接口的默认ip,我们改成和云桥接的ip同一网段的ip。此时去ping,失败。
结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)
m0_65463546的博客
03-13 9035
这两天跟着老师学习了网络安全防御之防火墙的配置,过程中不乏遇到了许多问题,例如访问https://ip:8443地址却没有提示继续进入的接口,或者是无法ping通防火墙测试端口等问题,希望接下来的分享能够帮助到大家! 为了节省大家的时间,我把实验和具体问题分开罗列,大家根据个人需求查看即可!(这里建议初学的伙伴们还是跟着实验走一遍比较好!)
天清汉马USG防火墙用户手册
08-13
VSOS是启明星辰USG设备使用的操作系统。可以通过命令行配置,也可以通过图形界面进行配置。其中命令行配置除了可以通过console口连接,也可以通过SSH,Telnet客户端连接,图形界面采用的B/S模式,可以通过HTTPS和...
华为USG防火墙配置实例
03-24
USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。可广泛应用于运营商、企业、政府、金融、能源、学校等领域的网络边界。USG5500系列产品部署于网络出口处,...
华为USG防火墙运维命令大全 (2).docx
06-21
华为USG防火墙运维命令大全 (2).docx华为USG防火墙运维命令大全 (2).docx华为USG防火墙运维命令大全 (2).docx华为USG防火墙运维命令大全 (2).docx华为USG防火墙运维命令大全 (2).docx华为USG防火墙运维命令大全 (2)....
华为USG5500防火墙配置实验一.pdf
11-18
华为USG5500防火墙配置实验一.pdf
启明星辰安全网关USG防火墙操作手册
04-19
启明星辰安全网关USG防火墙操作手册,大概讲解了启明星辰天清汉马USG防火墙的登陆和维护操作等
eNSP防火墙usg6000v安全策略
qq_50810522的博客
01-01 8027
本期呢我们来说说安全策略这个东西 在usg6000v中,系统安全策略有4种分别是local、trust、dmz、untrust,他们的安全级别分别为100、85、50、5;当然,我们也可以自己手动创建安全区域并定义安全等级,话不多说,开整。 可以看到,我在这里做了4个安全区,那么先来点简单的,我想让trust->untrust区域可以ping通,反过来untrust->trust可以通的。这里先配下防火墙g1/0/0和g1/0/2的ip,以及将这两个端口划到相应的区域 现在..
eNSP之域间流量控制实验
qq_53365842的博客
04-26 1935
回环接口 [R1]int loopback1 [R1-LoopBack1]ip add 3.3.3.3 32 [R1-LoopBack1]q [R1]int loopback2 [R1-LoopBack2]ip add 6.6.6.6 32 [R1-LoopBack2]q [R1]int loopback3 [R1-LoopBack3]ip add 8.8.8.8 32 [R1-LoopBack3]q [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 200.1.
华为USG6000防火墙安全策略配置实例(CLI方式)
永远是少年
07-26 1万+
今天给大家介绍华为防火墙安全策略配置实例。本文采用华为eNSP模拟器,设计了一个USG6000系列防火墙的配置实例,并安全要求完成了相应配置。 一、实验拓扑及要求 实验拓扑如上所示,现在要求配置如图所示的实验拓扑图,并配置防火墙安全策略实现: 1、Trust区域可以访问Untrust区域。 2、Trust区域可以访问DMZ区域的lo0,但不能访问其他IP地址。 二、实验配置命令 (一)华为防火墙默认安全策略 在华为系列防火墙中,默认的安全策略根据出入区域的不同而不同,具体如下所示: 1、域内流量。 域内
华为USG6000v防火墙双机热备综合实验
qq_43205578的博客
03-02 1万+
实验背景: 笔者最近在工作中接触到华为的防火墙,第一感触就是华为防火墙与其它厂商的防火墙在双机热备切换方面有点不同,华为引入了私有协议。 Vgmp(VRRP Group Management Protocol),VRRP组管理协议。由于双机热备导致设备出问题时可能会来回路径不一致,因为主备切换了配置VGMP保证一个组内的VRRP全为Active,如果有一个不是,则全部切换至Standby HRP ...
华为防火墙usg5500)区域间实验
weixin_54223979的博客
05-07 3198
以下通过防火墙的不同区域间的策略来了解防火墙的工作原理, 路由器和防火墙之间最大的不同之处就是防火墙接口下是有区域的,而路由器接口之间是平价的,防火墙根据不同的区域分配不同的安全等级实现隔离控制。 实验拓扑图 由于防火墙下的PC为直连,所以这里不做路由。 需求: 1.内网(trust)可以访问外网(untrust) 2.内网(trust)可以访问服务器(dmz) 3.外网(untrust)可以访问服务器(dmz) 开机之后我们查看以下华为防火墙USG5500的缺省区域 分.
区域防火墙技术综合实验
weixin_30568591的博客
05-25 482
一、实验拓扑和地址规划表(个人学号后三位047) GNS3拓扑和地址表 Cisco PT 拓扑和地址表 Device Interface IP Address Subnet Mask Default Gateway R1 Fa0/1 19...
防火墙USG6000v配置实验
热门推荐
chaojixiaojingang
08-10 2万+
        为了完成这个实验,我也忙了好几天,在中间出过许多错误,问了好几个同学,最后终于把这个实验完成啦,为了表示庆祝,所以把这个实验过程写下来,以便后来有同学想看可以看看,提供些经验。 注意:防火墙和云连接的端口必须是g0/0/0 环境:window7 1.设计实验拓扑图2.根据实验拓扑图配置Client1Client2Client3Server1Server2Cloud1 将设备全部...
USG防火墙修改默认规则及放行telnet 流量实验
weixin_34293246的博客
05-11 1424
R1在的配置 :[R1]inter [R1]interface e0/0/0[R1-Ethernet0/0/0]ip add [R1-Ethernet0/0/0]ip address 192.168.2.2 24[R1]ip route-static 192.168.1.0 255.255.255.0 192.168.2.1 静态路由 开启虚拟终端服务 [R1]user-inte...
思科 ASA5505 防火墙放行流量简单配置案例
qq_46635165的博客
11-29 9748
思科ASA 5505防火墙是通过创建vlan,将端口加入vlan,对vlan的安全等级进行设置的方式创建安全区域,通过ACL对vlan之间的流量进行控制; 0x01 ,搭建实验拓扑如下: 实验要求及目的:配置安全区域,安全规则,实现trust区域中的CLIENT可以ping通untrust区域中的SERVER,SERVER也可以ping通CLIENT ; 0x02 步骤,命令 首先对asa5505进行配置清空,减少实验干扰:主要用到两条命令:write erase ,reload ciscoasa#wri
华为usg防火墙pool 源nat配置实验
06-09
好的,我可以为你提供一些关于华为USG防火墙Pool源NAT配置的实验步骤。下面是具体步骤: 1. 首先,登录到华为USG防火墙Web管理界面,并选择“配置向导”选项卡。 2. 在“配置向导”页面中,选择“网络配置”选项...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值