华为---USG6000V防火墙web基本配置示例

目录

1. 实验要求

2. 配置思路

3. 网络拓扑图

4. USG6000V防火墙端口和各终端相关配置

5. 在USG6000V防火墙web管理界面创建区域和添加相应端口

6. 给USG6000V防火墙端口配置IP地址

7. 配置通行策略

8. 测试验证

8.1 逐个删除策略,再看各区域终端通信情况

9. 模拟企业网连接互联网---源地址转换和目标地址转换

9.1 源地址转换配置

9.2 目标地址转换


       防火墙配置宗旨是人性本恶,进出防火墙的数据都要放行才能出入。是不是“好人”?要经过检查才知道。

1. 实验要求

        USG6000V防火墙创建trust、dmz、untrust区域,添加相应端口到各区域,配置策略,测验各区域下终端通信、源地址转换、目标地址转换情况。

2. 配置思路

  1. 终端配置IP及网关;
  2. 防火墙创建区域,区域添加相应端口;
  3. 防火墙端口配置IP地址、路由;
  4. 防火墙配置策略: trust-->untrust、trust-->dmz、dmz-->untrust 放行;
  5. 防火墙配置源转换,实现trust和dmz区域可以访问外网;
  6. 防火墙配置目标地址转换、配置策略,实现外网可以访问dmz区域服务器;

3. 网络拓扑图

4. USG6000V防火墙端口和各终端相关配置

        eNSP模拟器中设备(防火墙)与物理机实现连接通信,请看我的另一篇文章:

        VRP远程管理(华为设备telnet登录密码配置与测试环境搭建)——在物理机上创建回环网卡及eNSP模拟器与物理机实现连接通信。

        文章链接为:http://t.csdnimg.cn/YQzIi

        其他PC配置相似,不再赘述。


        为了避免实验测试网卡和连接互联网的网卡IP地址都是同一网段,造成无法登录USG6000V防火墙web管理界面,修改了管理口默认IP地址。

5. 在USG6000V防火墙web管理界面创建区域和添加相应端口


        创建DMZ和untrust区域和添加相应端口与创建trust区域过程相同,不再赘述。

6. 给USG6000V防火墙端口配置IP地址


        其他端口IP地址配置与GE1/0/0端口IP地址配置过程相同,不再赘述。

7. 配置通行策略


        test_trust区域到test_dmz区域和test_dmz区域到test_untrust区域策略配置,跟test_trust区域到test_untrust区域策略配置过程相同,不再赘述。test_trust区域到test_dmz区域和test_untrust区域策略配置可以一起配置,目的安全区域单击多选进行选择。

8. 测试验证

        通过ping测试,只有放行的区域可以正常通信,没有放行的区域无法通信。放行区域逆向也无法通信。

8.1 逐个删除策略,再看各区域终端通信情况

1. 删除test_trust区域到test_dmz区域放行策略


        test_trust区域到test_dmz区域终端无法通信,test_trust区域到test_untrust区域终端通信正常。

2. 删除test_dmz区域到test_untrust区域放行策略


        test_dmz区域到test_untrust区域终端无法通信,test_trust区域到test_untrust区域终端通信正常。

3. 删除test_trust区域到test_untrust区域放行策略


        test_trust区域到test_untrust区域终端无法通信。


9. 模拟企业网连接互联网---源地址转换和目标地址转换

        在本文1-6配置基础上,进行如下配置。

9.1 源地址转换配置

        内网私网地址转换成内网出口地址。


        去掉PC3的网关地址,这样PC3没有默认路由,只能在自己所在网段通信,无法和其他网段IP终端通信。

        将源IP地址转换成内网出端口GE1/0/2的IP地址,这样PC3的IP地址和GE1/0/2的IP地址在同一网段,不用路由也可以正常通信。

        通过ping测试,放行的区域可以正常通信。

        9.2 目标地址转换

        内网服务器地址转换成内网出口地址,外网访问内网服务器可以通过访问内网出口地址即可。

        网络拓扑图调整为如下所示:

        各终端配置:

        USG6000V防火墙NAT Server配置:


        服务器映射,即目标地址转换。如果勾选配置黑洞路由选项,会提示“接口地址不支持配置UNR”提示框,无法完成配置。


        此处添加的地址,用于外网访问内网服务器策略配置。

        外网访问内网服务器策略配置

        测试验证:

        内外网访问web服务器正常。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/579720.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2024年深度学习、计算机视觉与大模型面试题综述,六大专题数百道题目

DeepLearning-Interview-Awesome-2024 本项目涵盖了大模型(LLMs)专题、计算机视觉与感知算法专题、深度学习基础与框架专题、自动驾驶、智慧医疗等行业垂域专题、手撕项目代码专题、优异开源资源推荐专题共计6大专题模块。我们将持续整理汇总最新的面试题并详细解析这些题目&a…

解决 MacOS JD-GUI 打开失败的问题

JD-GUI下载地址:http://java-decompiler.github.io JD-GUI 是一款轻量级的 Java 反编译工具,对于一些没有源码的 Jar 包,直接拖进去就可以反编译源码,十分的方便。 在 MacOS 还是 Mojave 的时候,JD-GUI 使用一切正常…

负载均衡——Ribbon

文章目录 Ribbon和Eureka配合使用项目引入RibbonRestTemplate添加LoadBalanced注解注意自定义均衡方式代码注册方式配置方式 Ribbon脱离Eureka使用 Ribbon,Nexflix发布的负载均衡器,有助于控制HTTP和TCP客户端的行为。基于某种负载均衡算法(轮…

线性代数基础【3】向量

第一节 向量的概念与运算 一、基本概念 ①向量 ②向量的模(长度) ③向量的单位化 ④向量的三则运算 ⑤向量的内积 二、向量运算的性质 (一)向量三则运算的性质 α β β αα (β γ) (α β) γk (α β) kα kβ(k l) α kα lα (二)向量内积运…

SQL进阶:Case语句使用

case语句是一个非常有趣的语句,它的结果是一个值,这意味着凡是能用到单值的地方都可以用case语句。 基本结构 case语句的基本结构如下: CASEWHEN condition1 THEN result1WHEN condition2 THEN result2ELSE result3END 其中case..end是一对,标志着语句的开始和结束。whe…

TypeScript前端学习(四)

前言 还是分享的笔记,大佬请绕行! 一、类的定义和继承 console.log("----对象---"); var people {"name": "张三",syaHi() {console.log("HI,my name is " this.name);} } people.syaHi();console.log("…

使用poi将pptx文件转为图片详解

目录 项目需求 后端接口实现 1、引入poi依赖 2、代码编写 1、controller 2、service层 测试出现的bug 小结 项目需求 前端需要上传pptx文件,后端保存为图片,并将图片地址保存数据库,最后大屏展示时显示之前上传的pptx的图片。需求看上…

sheng的学习笔记-【中】【吴恩达课后测验】Course 4 -卷积神经网络 - 第四周测验

课程4_第4周_测验题 目录 第一题 1.面部验证只需要将新图片与1个人的面部进行比较,而面部识别则需要将新图片与K个人的面部进行比较。 A. 【  】正确 B. 【  】错误 答案: A.【 √ 】正确 第二题 2.在人脸验证中函数d(img1,img2)起什么作用&a…

如何使用宝塔面板+Discuz+cpolar内网穿透工具搭建可远程访问论坛服务

文章目录 前言1.安装基础环境2.一键部署Discuz3.安装cpolar工具4.配置域名访问Discuz5.固定域名公网地址6.配置Discuz论坛 前言 Crossday Discuz! Board(以下简称 Discuz!)是一套通用的社区论坛软件系统,用户可以在不需要任何编程的基础上&a…

少走十年弯路!!!webpack详解

webpack是什么?? 本质上,webpack 是一个用于现代 JavaScript 应用程序的 静态模块打包工具。当 webpack 处理应用程序时,它会在内部从一个或多个入口点构建一个 依赖图(dependency graph),然后将你项目中所需的每一个模…

LSTM的记忆能力实验

长短期记忆网络(Long Short-Term Memory Network,LSTM)是一种可以有效缓解长程依赖问题的循环神经网络.LSTM 的特点是引入了一个新的内部状态(Internal State) 和门控机制(Gating Mechanism)&am…

禁止选择当天及以后的时间

这篇文章编辑与2023.12.26,所以可以选择的时间为包含2023.12.25以及之前的时间 实现思路:1、获取当天时间的年月日,然后默认时分秒为23:59:59; 2、获取到时间转为时间戳减去 一天(1*24*3600*10…

MySQL部署之yum安装

目录 MySQL 清理环境 下载yum源的rpm包 关闭防火墙 关闭selinux 安装必要的软件包 初始化 获取临时密码并修改密码 MySQL https://www.mysql.com //mysql官网 yum安装步骤 yum安装 清理环境 [rootmysql ~]# yum erase mariadb mariadb-server mariadb-libs mariadb-de…

智能三维数据虚拟现实电子沙盘

一、概述 易图讯科技(www.3dgis.top)以大数据、云计算、虚拟现实、物联网、AI等先进技术为支撑,支持高清卫星影像、DEM高程数据、矢量数据、无人机倾斜摄像、BIM模型、点云、城市白模、等高线、标高点等数据融合和切换,智能三维数…

Ubuntu20.04配置

新建用户 sudo adduser username给用户sudo权限 新创建的用户没有root权限,我们执行以下命令给用户sudo权限 sudo usermod -a -G adm username sudo usermod -a -G sudo username删除用户 删除用户及用户所有文件(/home/username/路径下的所有文件&a…

centos 扩充swap分区

安装操作系统的时候默认配置没改,导致安装数据库软件的时候提示swap太小,操作记录如下: 1、查看当前的分区情况 free -m total used free shared buff/cache available Mem: 3952 82…

【WSL2】安装和配置ubuntu

文章目录 1. 安装WSL22. 安装ubuntu2.1. 通过Microsoft Store2.1. 通过命令行 3. ubuntu的使用3.1. 创建管理员root账户3.2. 换源3.3. 安装图形化界面 1. 安装WSL2 在控制面板 - 程序 - 程序与功能中点击启用或关闭Windows功能,选择 虚拟机平台适用于Linux的Window…

<JavaEE> 协议格式 -- 传输层协议 TCP

目录 一、TCP协议格式长啥样? 二、TCP协议属性解释 1)源端口号/目的端口号 2)序号/确认序号 3)TCP报头长度 4)保留位 5)标志位 6)窗口大小 7)校验和 8)紧急指针…

GrayLog日志平台的基本使用-ssh接入Dashboards展示

这里使用的版本为graylog4.2.10 1、一键安装graylog4.2.10,解压zip包,执行脚本就行 链接:https://pan.baidu.com/s/11U7GpBZ1B7PXR8pyWVcHNw?pwdudln 提取码:udln 2、通过rsyslog采集系统日志,具体操作参考前面文…

R语言【base】——system.file() 在软件包等中查找文件的完整文件名。

Package base version 4.3.2 Parameters system.file(..., package "base", lib.loc NULL,mustWork FALSE) 参数【...】:字符向量,指定某个软件包中的子目录和文件。默认情况下,没有值则返回软件包的根目录。不支持通配符。 …