华为usg6000配置手册_带你了解防火墙安全区域的作用及简单的配置,小白不要错过了...

上一篇文章《防火墙入门基础之登录Web配置界面》已经简单的介绍了关于华为防火墙的如何配置Web登录,也开始接触了关于防火墙安全区域的基本概念。其实防火墙安全区域是一个非常重要的概念,简称为区域(Zone)。安全区域是一个或多个接口的集合,是防火墙区别于路由器的主要特征。

2130ed0131d13450dda7c672a0cb49fa.png

防火墙默认情况下为我们提供了三个安全区域,分别是Trust、DMZ和Untrust

  1. Trust区域,该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
  2. DMZ区域,该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。
  3. Untrust区域,该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络
0335473024c2e3ec8206fa0348885fb4.png

除了以上三个安全区域外,我们可以根据自身的业务来规划不能安全区域,可以通过以下命令添加。

[USG6000V1]firewall zone name yewu 

添加完需要对安全区域设置优先级,可以执行如下命令,优先级的范围为0-100。

[USG6000V1-zone-yewu]set priority 30

我们还可以通过web页面添加安全区域,以华为USG6000为例,如下图

687317b0ae5fd3296a428b927c242bf0.png

安全区域的优先级的作用

每个安全区域都有自己的优先级,用1-100的数字表示,数字越大,则代表该区域内的网络越可信。报文在两个安全区域之间流动时,我们规定:报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound)报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。报文在两个方向上流动时,将会触发不同的安全检查。

a56fa7d1de04afd737162d2a57ba3869.png

下面通过一个案例,来看看安全区的数据的流动。

ad918634792c0e79989bf87148586897.png

关键配置

把GE1/0/0接口添加到trust安全区域,并配置接口IP地址为192.168.1.1

[USG6000V1]firewall zone trust [USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.1.1 24

把GE1/0/1接口添加到untrust安全区域,并配置接口IP地址为192.168.2.1

[USG6000V1]firewall zone untrust [USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/1[USG6000V1-GigabitEthernet1/0/1]ip address 192.168.2.1 24

同一个安全区域的内,是否会触发数据包的检查?

PC1和PC2属于同一安全区域的,而PC1、PC2和PC3属于不同的区域的。在没有配置任何安全策略的情况下,我们先看看同一个安全区域的是否能ping通。

61bf6df0cb1ee5ff5b4929be816d9868.png

PC1主机PingPC2主机

通过以上测试结果,我们发现PC1能正常Ping通PC2。这样就说明了,在同一个安全区内,不会触发安全检查。

那么不同安全区域呢,又如何呢?

接着我们通过测试PC1和PC3的相互访问,验证不同安全区域的情况。

f1619a1ee211139e8fda71c3ca4da619.png

PC1主机Ping不通PC3主机

通过以上结果,证明了报文在不同的安全区域之间流动时,才会触发安全检查。

如果让PC1能正常访问PC3,我们可以通过配置安全策略来实现。

我们先配置允许trust区域流量去往untrust。

e0e6a38e32a8d233be8abe9959b25237.png

添加完这一条安全策略,PC1能访问PC3吗?我们先来看看效果

e9d7441fe1149b773d5f17e63efdbd25.png

从上图可以看到,PC1能正常PingPC3,说明这个策略是起作用了。我们还可以通过查看策略的命中率。

88f3c1593e38511f786fc32be383fee5.png

如果想让PC3也能正常Ping通PC1,也需要添加一条untrust区域流量去往trust的安全策略。

关于安全策略可以做到很精细的匹配,我这里为了演示方便,就把策略放的很宽,在生产环境中,安全策略是严格把控的,所有在学习防火墙重点是在安全策略上。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/504268.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【LeetCode笔记】621. 任务调度器(Java、桶)

文章目录题目描述代码 && 思路1. 直白的 ac 做法 O(n)、O(n)2. 桶排思想的做法 O(n)、O(n)二刷打卡第十六天~ 题目描述 有点阅读题的意思,可以结合例子理解一下题干~ 代码 && 思路 1. 直白的 ac 做法 O(n)、O(n) 同样是…

python 截取字符串6位_在Python中从字符串获取x个最低有效位

How can I get the x LSBs from a string (str) in Python?In the specific I have a 256 bits string consisting in 32 chars each occupying 1 byte, from wich i have to get a "char" string with the 50 Least Significant Bits.解决方案I think that a possi…

【LeetCode笔记】162. 寻找峰值(Java、二分、偏数学)

文章目录题目描述思路 && 代码1. 暴力法 O(n)2. 二分法 O(logN)二刷打卡第十七天~ 题目描述 难点在于 logN 复杂度 思路 && 代码 1. 暴力法 O(n) 最简单的做法,直接遍历判断即可。 class Solution {public int findPeakElement(in…

pca图像压缩python_基于PCA的图像降维及图像重构

1 PCA简述PCA(Principal Component Analysis)主成分分析算法,在进行图像识别以及高维度数据降维处理中有很强的应用性,算法主要通过计算选择特征值较大的特征向量来对原始数据进行线性变换,不仅可以去除无用的噪声,还能减少计算量…

【知识补充】对称加密、非对称加密、数字签名与DDoS攻击

文章目录一. 对称加密1)知识点2)具体算法1. DES2. 3DES3. AES二. 非对称加密(公钥密码)1)知识点2)具体算法RSA三. 数字签名1)知识点四. DDoS 攻击1)直接 DDos 攻击2)反射…

python导出excel文件数字签名_Python使用RSA+MD5实现数字签名

数字签名主要有防抵赖和防篡改两种功能:一是能确定消息确实是由发送方签名并发出来的,因为别人假冒不了发送方的签名,二是能确定消息的完整性。作为具体实现,发送报文时,发送方用一个哈希函数(例如MD5、SHA-1、SHA-256…

【LeetCode笔记】76. 最小覆盖子串(字符串、滑动窗口)

文章目录题目描述思路 && 代码二刷最近一直在充电基础知识、维护 leetcode 总结博客 今天继续摸一摸新题目吧~ 题目描述 感觉和 03. 无重复的最长子串 有点像,都是在字符串上用滑动窗口来找子串。并且都是属于那种,解决一次以后&…

python和revit_Revit中Python脚本使用技术训练视频教程

本视频教程是由Lynda机构出品的Revit中Python脚本使用技术训练视频教程,时长:3小时08分,大小:500 MB,MP4高清视频格式,附工程源文件,教程使用软件:Python, Revit, Dynamo Studio&…

【LeetCode笔记】84. 柱状图中最大的矩形(字符串、单调栈)

文章目录题目描述思路 && 代码二刷题目描述 和接雨水有点像,但是具体做法还是有点不同。 思路 && 代码 暴力法只能过 94 / 96 的样例:复杂度O(n^2) & O(1),一个双重循环遍历所有可行矩阵。 这里就直接用 O(n) & O…

毫秒值转换为日期工具_为机器学习准备数据

将数据转化为见解并不是神奇的事情。您必须首先了解您的数据,并使用它来创建驱动操作的报告。如果您的竞争对手使用机器学习和人工智能来自动推动行动,而您却没有,那您​​将处于不利地位。为ML和AI准备好数据涉及将结构化和半结构化数据集组…

【LeetCode笔记】剑指 Offer 55 - II. 平衡二叉树(递归、二叉树)

文章目录题目描述思路 && 代码二刷一脸懵逼,居然没写这道题的题解。。 题目描述 思路 && 代码 思路:平衡二叉树判断公式 左子树满足 右子树满足 左右子树高度差不超过1 /*** Definition for a binary tree node.* public class Tre…

springcloud 网关_Spring Cloud 系列之 Netflix Zuul 服务网关(二)

本篇文章为系列文章,未读第一集的同学请猛戳这里:哈喽沃德先生:Spring Cloud 系列之 Netflix Zuul 服务网关(一)​zhuanlan.zhihu.com本篇文章讲解 Zuul 网关过滤器实现统一鉴权以及网关过滤器异常统一处理。网关过滤器…

【LeetCode笔记】207. 课程表(Java、图、BFS、队列)

文章目录题目描述思路 && 代码二刷题目描述 刷的第一道图相关的题,简直考古要复习一下拓扑、邻接矩阵之类的知识啦 思路 && 代码 前置课程看成入度,后置课程看成出度对于入度,只需要记录有多少即可。对于出度&#xff0c…

python语言浮点数可以不带小数部分吗_python 浮点数四舍五入需要注意的地方

本文主要分享基于python的数据分析三方库pandas,numpy的一次爬坑经历,发现并分析了python语言对于浮点数精度处理不准确的问题,并在最后给出合理的解决方案。如果你也在用python处理数据,建议看一下,毕竟0.1的误差都可…

【LeetCode笔记】399. 除法求值(Java、图)

文章目录题目描述思路 && 代码题目描述 第二道图题,大概是hot100里唯二的图题了。。 思路 && 代码 邻接矩阵存储,g[i][j] 代表 i / j 的值通过已知的表达式,对矩阵进行维护(包括间接得到的值,见注…

python 降维 聚类_比PCA降维更高级——(R/Python)t-SNE聚类算法实践指南

作者介绍:Saurabh.jaju2Saurabh是一名数据科学家和软件工程师,熟练分析各种数据集和开发智能应用程序。他目前正在加州大学伯克利分校攻读信息和数据科学硕士学位,热衷于开发基于数据科学的智能资源管理系统。介绍许多数据科学家经常面对的问…

【LeetCode笔记】406. 根据身高重建队列(Java、偏数学)

文章目录题目描述思路 && 代码二刷题目描述 老阅读题了 ,第一遍看题的时候一脸懵逼但其实代码就6行(嘿嘿) 思路 && 代码 先按照身高降序排,再按照人数升序排(套路题) class Solution…

ssd内部是多个flash一起操作_一键自毁军工级SSD固态硬盘的技术亮点

通过短路方式实现,烧毁时可见明火及冒烟,5秒(时间可调整)防误触发功能,每2秒烧毁一片闪存芯片,独特的反馈电路实时反馈烧毁状态,确保所有闪存全部被烧毁。烧毁后电子盘彻底报废,无法通过任何手段恢复数据。…

【LeetCode笔记】309. 最佳买卖股票时机含冷冻期(Java、动态规划)

文章目录题目描述思路 && 代码二刷题目描述 股票系列!这次加入了冷冻期要素,需要考虑更多的状态 思路 && 代码 每天,都有三个状态:开一个 dp int[n][3] 二维数组主要思路…就是理解几种状态,以及…

sun 些命令可以将服务器设置至ok模式_Python 高手之路:从零开始打造一个Web服务器...

文 | Ruslan Spivak 译 | EarlGrey 推荐 | 编程派公众号(ID:codingpy)有一天,一位女士散步时经过一个工地,看见有三个工人在干活。她问第一个人,“你在做什么?”第一个人有点不高兴,吼道“难道你看不出来我…