防火墙详解(三)华为防火墙基础安全策略配置(命令行配置)

实验要求

根据实验要求配置防火墙:

  1. 合理部署防火墙安全策略以及安全区域
  2. 实现内网用户可以访问外网用户,反之不能访问
  3. 内网用户和外网用户均可以访问公司服务器

在这里插入图片描述

实验配置

步骤一:配置各个终端、防火墙端口IP地址

终端以服务器为例:

在这里插入图片描述

防火墙进入配置界面,登录密码等问题请阅读文章:通过网页登录配置华为eNSP中USG6000V1防火墙

防火墙端口配置地址:

[USG6000V1]sy FW1      //修改名称
[FW1]un in en          //关闭提示信息
Info: Information center is disabled.
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip ad 10.0.0.254 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip ad 202.196.10.254 24
[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip ad 192.168.10.254 24

可以使用display ip interface brief查看接口IP等信息。

步骤二:根据终端类型,给防火墙的接口合理规划安全区域

区域规划如下图:

区域规划

 将防火墙端口添加到区域中:

[FW1]
[FW1]firewall zone trust                  //进入trust区域
[FW1-zone-trust]add interface g1/0/0      //将接口G1/0/0添加到trust区域中
[FW1-zone-trust]firewall zone untrust     //进入untrust区域
[FW1-zone-untrust]ad interface g1/0/1
[FW1-zone-untrust]q
[FW1]
[FW1]firewall zone dmz                   //进入DMZ区域
[FW1-zone-dmz]ad interface g1/0/2

 配置完成之后可以通过dis zone 查看区域详细信息:

[FW1]dis zone 
localpriority is 100               //信任值 100interface of the zone is (0):
#
trustpriority is 85interface of the zone is (2):GigabitEthernet0/0/0GigabitEthernet1/0/0
#
untrustpriority is 5interface of the zone is (1):GigabitEthernet1/0/1
#
dmzpriority is 50interface of the zone is (1):GigabitEthernet1/0/2
#

防火墙安全区域概念见文章:防火墙详解(一) 网络防火墙简介

步骤三:根据实验要求配置安全策略

实验要求:

内网用户可以访问外网用户,但是外网用户不能访问内网用户
外网用户和内网用户都可以访问公司服务器
也就是说

Trust区域可以主动访问Untrust区域,但是反之不行。
untrust区域和trust区域都可以访问DMZ区域。
注意防火墙默认不允许所有流量通过所以未配置安全策略时都不能通信。
配置安全策略,使得内网用户可以访问外网用户,但是外网用户不能访问内网用户;内网用户可以访问服务器:

[FW1]
[FW1]security-policy          //进入安全策略视图
[FW1-policy-security]rule name t2ud    //创建名为t2ud的安全规则
[FW1-policy-security-rule-t2ud]source-zone trust     //设置安全规则的源安全地址为trust
[FW1-policy-security-rule-t2ud]destination-zone untrust dmz   //设置安全规则的目的安全地址为untrust和DMZ
[FW1-policy-security-rule-t2ud]source-address 10.0.0.0 24 	 //设置安全规则源网段(上面设置了源、目的区域。其实网段可以不设置,但是保险起见还是设置一下)
[FW1-policy-security-rule-t2ud]destination-address 202.196.10.0 24    //设置规则目的网段
[FW1-policy-security-rule-t2ud]destination-address 192.168.10.0 24  
[FW1-policy-security-rule-t2ud]action permit         //设置安全规则的动作为允许

查看:

[FW1-policy-security-rule-t2ud]dis th
#rule name t2udsource-zone trustdestination-zone untrustdestination-zone dmzsource-address 10.0.0.0 24destination-address 192.168.10.0 24destination-address 202.196.10.0 24action permit
#
return

验证:
PC1 ping PC2 与 服务器 查看是否能通,发现可以,证明配置成功。

在这里插入图片描述

PC2不能ping通PC1(外网用户不能访问内网用户):

在这里插入图片描述 配置安全策略,外网用户可以访问公司服务器:

[FW1]security-policy 
[FW1-policy-security]rule name u2d
[FW1-policy-security-rule-u2d]source-zone untrust 
[FW1-policy-security-rule-u2d]destination-zone dmz 
[FW1-policy-security-rule-u2d]action permit 

查看:
我们可以通过dis security-policy all 查看全部安全策略:

[FW1]dis security-policy all 
Total:3 
RULE ID RULE NAME                      STATE      ACTION       HITTED          
-------------------------------------------------------------------------------
0       default                        enable     deny         0                
1       t2ud                           enable     permit       25               
2       u2d                            enable     permit       5               
-------------------------------------------------------------------------------

也可以使用dis security-policy rule u2d查看单个规则详细信息:

[FW1]dis security-policy ru	
[FW1]dis security-policy rule u2d(5 times matched)rule name u2dsource-zone untrustdestination-zone dmzaction permit

验证:
PC2可以 ping 通服务器。

在这里插入图片描述

实验成功!

防火墙配置命令(总)

#
sy FW1      
#
un in en         
#
int g1/0/0
ip ad 10.0.0.254 24
int g1/0/1
ip ad 202.196.10.254 24
int g1/0/2
ip ad 192.168.10.254 24
#
firewall zone trust                 
add interface g1/0/0      
firewall zone untrust     
ad interface g1/0/1
firewall zone dmz                   
ad interface g1/0/2
#
security-policy          
rule name t2ud    
source-zone trust     
destination-zone untrust dmz  
source-address 10.0.0.0 24 
destination-address 202.196.10.0 24    
destination-address 192.168.10.0 24  
action permit        
#
security-policy 
rule name u2d
source-zone untrust 
destination-zone dmz 
action permit 
#


原文链接:https://blog.csdn.net/qq_46254436/article/details/105397534

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/54486.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

离散制造 vs 流程制造:锚定精准制造未来,从装配线到化学反应,实时数据集成在制造业案例中的多维应用

使用 TapData,化繁为简,摆脱手动搭建、维护数据管道的诸多烦扰,轻量替代 OGG, Kettle 等同步工具,以及基于 Kafka 的 ETL 解决方案,「CDC 流处理 数据集成」组合拳,加速仓内数据流转,帮助企业…

Android IME输入法启动显示隐藏流程梳理

阅读Android AOSP 12版本代码,对输入法IME整体框架模块进行学习梳理,内容包含输入法框架三部分IMM、IMMS、IMS的启动流程、点击弹出流程、显示/隐藏流程,以及常见问题和调试技巧。 1. IME整体框架​​​​​​​ IME整体分为三个部分&#xf…

股指期货的持仓量指标如何分析?有哪些作用?

股指期货市的持仓量是一个极其重要的指标,它就像市场的“晴雨表”,能反映出投资者的信心、市场的热度以及潜在的趋势。下面,我们就用大白话的方式来详细解读一下股指期货持仓量指标的分析方法及其作用。 一、什么是股指期货持仓量&#xff1…

用CPU训练机器学习模型

人工智能最近的成功通常归功于 GPU 的出现和发展。GPU 的架构通常包括数千个多处理器、高速内存、专用张量核心等,特别适合满足人工智能/机器学习工作负载的密集需求。 不幸的是,人工智能开发的快速增长导致对 GPU 的需求激增,使得 GPU 难以…

ESP32/ESP8266开发板单向一对多ESP-NOW无线通信

目录 简介读取ESP32/ESP8266接收方Receiver的MAC地址ESP32发送方Sender程序ESP32/ESP8266接收方Receiver程序ESP-NOW通信验证总结 简介 本实验通过ESP-NOW无线通信协议实现ESP32开发板向多个ESP32/ESP 8266开发板发送数据。 读取ESP32/ESP8266接收方Receiver的MAC地址 读取…

Nginx反向代理出现502 Bad Gateway问题的解决方案

🎉 前言 前一阵子写了一篇“关于解决调用百度翻译API问题”的博客,近日在调用其他API时又遇到一些棘手的问题,于是写下这篇博客作为记录。 🎉 问题描述 在代理的遇到过很多错误码,其中出现频率最高的就是502&#x…

LabVIEW提高开发效率技巧----代码规范与文档记录

良好的代码规范与文档记录在LabVIEW开发中至关重要。它不仅能够大幅提升开发效率,还为后续的维护和项目交接提供便利。下面将从命名规则、注释标准、功能说明等多个角度,介绍如何通过规范化开发提高项目的可维护性与协作性。 1. 保持一致的命名规则 在L…

Flutter局域网广播(UDP通信)与TCP通信

前言 现在有一个需求,手机和ESP32通过WIFI进行通信。流程如下: 手机创建TCP服务器手机向192.168.0.255的1002端口广播自己的ip地址以及TCP服务器的端口号ESP32监听到1002的广播内容后,连接手机的TCP服务器。最后就是ESP32硬件和TCP服务器进…

双击热备 Electron网页客户端

安装流程: 1.下载node.js安装包进行安装 2.点击Next; 3.勾选,点击Next; 4.选择安装目录 5.选择Online 模式 6.下一步执行安装 。 7.运行cmd,执行命令 path 和 node --version,查看配置路径和版本 8.Goland安装插件node.js 9.配置运行…

【有啥问啥】深度剖析:大模型AI时代下的推理路径创新应用方法论

深度剖析:大模型AI时代下的推理路径创新应用方法论 随着大规模预训练模型(Large Pretrained Models, LPMs)和生成式人工智能的迅速发展,AI 在多领域的推理能力大幅提升,尤其是在自然语言处理、计算机视觉和自动决策领…

Kafka 下载安装及使用总结

1. 下载安装 官网下载地址:Apache Kafka 下载对应的文件 上传到服务器上,解压 tar -xzf kafka_2.13-3.7.0.tgz目录结果如下 ├── bin │ └── windows ├── config │ └── kraft ├── libs ├── licenses └── site-docs官方文档…

Flink Task 日志文件隔离

Flink Task 日志文件隔离 任务在启动时会先通过 MdcUtils 启动一个 slf4j 的 MDC 环境,然后将 jobId 添加到 slf4j 的 MDC 容器中,随后任务输出的日志都将附带 joid。 MDC 介绍如下: MDC ( Mapped Diagnostic Contexts ),它是一个…

深度学习:(六)激活函数的选择与介绍

激活函数 之前使用的 a σ ( z ) a\sigma(z) aσ(z) ,其中 σ ( ) \sigma(~) σ( ) 便是激活函数。 在神经网络中,不同层的激活函数可以不同。 在学习中,一般以 g ( z ) g(z) g(z) 来表示激活函数。 为什么需要(线性)激活函数&#xff…

K8s容器运行时,移除Dockershim后存在哪些疑惑?

K8s容器运行时,移除Dockershim后存在哪些疑惑? 大家好,我是秋意零。 K8s版本截止目前(24/09)已经发布到了1.31.x版本。早在K8s版本从1.24.x起(22/05),默认的容器运行时就不再是Doc…

算法之搜索--最长公共子序列LCS

最长公共子序列&#xff08;longest common sequence&#xff09;:可以不连续 最长公共子串&#xff08;longest common substring&#xff09;&#xff1a;连续 demo for (int i 1;i<lena;i){for (int j 1;j<lenb;j){if(a[i-1]b[j-1]){dp[i][j]dp[i-1][j-1]1;}el…

Qt (17)【Qt 文件操作 读写保存】

阅读导航 引言一、Qt文件概述二、输入输出设备类三、文件读写类四、文件和目录信息类五、自定义“记事本” 引言 在上一篇文章中&#xff0c;我们学习了Qt的事件处理机制&#xff0c;知道了如何响应用户的操作。但应用程序常常还需要处理文件&#xff0c;比如读写数据。所以&a…

python爬虫初体验(一)

文章目录 1. 什么是爬虫&#xff1f;2. 为什么选择 Python&#xff1f;3. 爬虫小案例3.1 安装python3.2 安装依赖3.3 requests请求设置3.4 完整代码 4. 总结 1. 什么是爬虫&#xff1f; 爬虫&#xff08;Web Scraping&#xff09;是一种从网站自动提取数据的技术。简单来说&am…

指针修仙之实现qsort

文章目录 回调函数什么是回调函数回调函数的作用 库函数qsort使用qsort函数排序整形使用qsort函数排序结构体 qsort函数模拟实现说明源码and说明 回调函数 什么是回调函数 回调函数就是⼀个通过函数指针调⽤的函数。 如果你把函数的指针&#xff08;地址&#xff09;作为参数…

Sigmoid引发的梯度消失爆炸及ReLU引起的神经元参数失效问题思考

Sigmoid和ReLU激活函数思考&#xff09; 引文Sigmoid函数梯度消失问题梯度爆炸问题解决方案 ReLU函数简化模型示例场景设定前向传播对反向传播的影响总结 内容精简版 引文 梯度消失和梯度爆炸是神经网络训练中常见的两个问题&#xff0c;特别是在使用Sigmoid激活函数时。这些问…

后端-navicat查找语句(单表与多表)

表格字段设置如图 语句&#xff1a; 1.输出 1.输出name和age列 SELECT name,age from student 1.2.全部输出 select * from student 2.where子语句 1.运算符&#xff1a; 等于 >大于 >大于等于 <小于 <小于等于 ! <>不等于 select * from stude…