文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

防火墙配置【最详细的实验演示】

2023-09-01 12:51

关注

目录

拓扑及拓扑分析

进入防火墙前准备工作

        1.配置其他区域ip

        2.如何进入防火墙

防火墙的安全域

        1.防火墙的5个安全域

        2.如何自定义安全域

        3.接口加入安全域

        4.配置接口ip 

配置防火墙策略

        1.内网到公网

        2.内网到服务器

        3.公网到服务器

        4.内网到公网NAT转换 

        5.服务器映射

测试

        1.内网到公网

        2.内网到服务器

        3.公网到服务器

        4.内网到公网nat测试

        ​5.服务器映射


拓扑及拓扑分析

 1.防火墙左边区域模拟为内网环境

防火墙上方区域模拟为服务区

防火墙下方的云可以让我们可以进入防火墙的图形配置界面

防火墙的右边区域模拟为公网区域

进入防火墙前准备工作

1.配置其他区域ip

        ip的配置参考拓扑图标记,太基础就省略了

2.如何进入防火墙

        1.使用USG6000V的防火墙

         2.配置云,云配置完成后才可以和防火墙连接

 1)添加一个UDP端口

 2)添加一个虚拟网卡,可以是虚拟机网卡或环回,不能是ensp使用的虚拟网卡

 3)端口映射

        3.修改管理接口ip

1)双击进入防火墙,输入账号密码,修改初始密码

华为ensp默认账号:admin 密码:Admin@123

2)修改防火墙GigabitEthernet 0/0/0口的接口ip,g0/0/0口为管理口,默认ip为192.168.0.1,修改为和云加载网卡同网段的ip,我这里云上加载的网卡地址为192.168.132.1。

[FW]int GigabitEthernet 0/0/0
[FW-GigabitEthernet0/0/0]ip address 192.168.132.10 24

        4.通过浏览器进入防火墙的web操作界面(有的浏览器不支持,可以尝试多个浏览器)

1) 在浏览器上方输入g0/0/0口的接口ip

2)输入账号密码

防火墙的安全域

 1.防火墙的5个安全域

untrust(不信任域):
低级安全区域,安全优先级为5
通常用来定义Internet等不安全的网络,用于网络入口线的接入。

dmz(隔离区):
中级安全区域,安全优先级为50
通常用来定义内部服务器所在网络
作用是把WEB,E-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。

trust(信任域):
高级级安全区域,安全优先级为85
通常用来定义内部用户所在的网络,也可以理解为应该是防护最严密的地区。

local(本地):
顶级安全区域,安全优先级为100
local就是防火墙本身的区域,比如ping指令等网际控制协议的回复,需要local域的权限
凡是由防火墙主动发出的报文均可认为是从Local区域中发出
凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local区域接收

management(管理):
顶级安全区域,安全优先级为100
除了console控制接口对设备进行配置,如果防火墙设备可以通过web界面配置的话,需要一根双绞线连接到管理接口,键入用户名和密码进行配置。

2.如何自定义安全域

以上操作可定义一个名称为new,优先级为60的安全域 

3.接口加入安全域

方法一:

 方法二:

4.配置接口ip 

配置防火墙策略

本实验要做三个安全策略,一、内网到公网;二、内网到服务器;三,公网到服务器;

一个服务器映射,一个NAT策略

为什么要做安全策略:因为防火墙各区域默认策略为禁止访问

1.内网到公网

 未填写的部分默认都为any

 源地址池创建过程:

 

 

2.内网到服务器

3.公网到服务器


4.内网到公网NAT转换 

5.服务器映射

测试

1.内网到公网

2.内网到服务器

3.公网到服务器

只能请求http服务 

4.内网到公网nat测试

在防火墙g0/0/2口抓包,源ip转换为100.1.1.1


5.服务器映射

 访问100.1.1.5也可访问到服务器

game over 

来源地址:https://blog.csdn.net/weixin_62107875/article/details/126756838

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     807人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     351人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     314人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     433人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     221人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-服务器
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯