华为eNSP配置防火墙的安全域和安全策略
本次实验主要讲述的是华为防火墙USG6000V的配置,区别与USG5500的配置,在安全策略上,配置命令不一样
目的实现不同域之间的通信
一、搭建本次实验的拓扑 防火墙一台、路由器三台、交换机一台
二、配置设备的接口信息 Huaweisystem-view Enter system view, return user view with Ctrl+Z.[Huawei]sysname R1[R1]interface GigabitEthernet 0/0/1 [R1-GigabitEthernet0/0/1]ip address 10.0.10.1 24[R1-GigabitEthernet0/0/1]quit[R1]interface loopback 0[R1-LoopBack0]ip address 10.0.1.1 24Huaweisystem-view Enter system view, return user view with Ctrl+Z.[Huawei]sysname R2[R2]interface GigabitEthernet0/0/1[R2-GigabitEthernet0/0/1]ip address 10.0.20.1 24[R2-GigabitEthernet0/0/1]quit[R2]interface loopback 0[R2-LoopBack0]ip address 10.0.2.2 24Huaweisystem-viewEnter system view, return user view with Ctrl+Z.[Huawei]sysname R3[R3]interface GigabitEthernet 0/0/1[R3-GigabitEthernet0/0/1]ip address 10.0.30.1 24[R3-GigabitEthernet0/0/1]quit[R3]interface loopback 0 [R3-LoopBack0]ip address 10.0.3.3 24 防火墙信息 [FW]int GigabitEthernet 0/0/0[FW-GigabitEthernet0/0/0]undo ip address[FW-GigabitEthernet0/0/0]quit[FW]interface GigabitEthernet 1/0/0[FW-GigabitEthernet1/0/0]ip address 10.0.10.254 24[FW-GigabitEthernet1/0/0]quit[FW]interface GigabitEthernet 1/0/1[FW-GigabitEthernet1/0/1]ip address 10.0.20.254 24[FW-GigabitEthernet1/0/1]quit[FW]interface GigabitEthernet 1/0/2[FW-GigabitEthernet1/0/2]ip address 10.0.30.254 24[FW-GigabitEthernet1/0/2]quit
三、划分本次实验需要的VLAN [Quidway]sysname S1[S1]vlan batch 11 to 13[S1]interface GigabitEthernet 0/0/1[S1-GigabitEthernet0/0/1]port link-type access[S1-GigabitEthernet0/0/1]port default vlan 11[S1-GigabitEthernet0/0/1]quit[S1]interface GigabitEthernet 0/0/2[S1-GigabitEthernet0/0/2]port link-type access[S1-GigabitEthernet0/0/2]port default vlan 12[S1-GigabitEthernet0/0/2]quit[S1]interface GigabitEthernet 0/0/3[S1-GigabitEthernet0/0/3]port link-type access[S1-GigabitEthernet0/0/3]port default vlan 13[S1-GigabitEthernet0/0/3]quit[S1]interface GigabitEthernet 0/0/21[S1-GigabitEthernet0/0/21]port link-type access[S1-GigabitEthernet0/0/21]port default vlan 11[S1-GigabitEthernet0/0/21]quit[S1]interface GigabitEthernet 0/0/22[S1-GigabitEthernet0/0/22]port link-type access[S1-GigabitEthernet0/0/22]port default vlan 12[S1-GigabitEthernet0/0/22]quit[S1]interface GigabitEthernet 0/0/23[S1-GigabitEthernet0/0/23]port link-type access[S1-GigabitEthernet0/0/23]port default vlan 13
四、配置静态路由信息 [R1]ip route-static 0.0.0.0 0 10.0.10.254[R2]ip route-static 0.0.0.0 0 10.0.20.254[R3]ip route-static 0.0.0.0 0 10.0.30.254[FW]ip route-static 10.0.1.0 24 10.0.10.1[FW]ip route-static 10.0.2.0 24 10.0.20.1[FW]ip route-static 10.0.3.0 24 10.0.30.1
五、配置防火墙的区域 [FW]firewall zone dmz[FW-zone-dmz]add interface GigabitEthernet 1/0/2[FW-zone-dmz]quit[FW]firewall zone trust[FW-zone-trust]add interface GigabitEthernet 1/0/1[FW-zone-trust]undo add interface GigabitEthernet 0/0/0[FW-zone-trust]quit [FW]firewall zone untrust[FW-zone-untrust]add interface GigabitEthernet 1/0/0[FW-zone-untrust]quit
六、配置防火墙的安全策略 [FW]security-policy[FW-policy-security]rule name policy_sec_1[FW-policy-security-rule-policy_sec_1]source-zone trust[FW-policy-security-rule-policy_sec_1]destination-zone untrust[FW-policy-security-rule-policy_sec_1]action permit[FW-policy-security-rule-policy_sec_1]quit[FW-policy-security]rule name policy_sec_2[FW-policy-security-rule-policy_sec_2]source-zone trust[FW-policy-security-rule-policy_sec_2]destination-zone dmz[FW-policy-security-rule-policy_sec_2]action permit[FW-policy-security-rule-policy_sec_2]quit[FW-policy-security]quit
七、验证防火墙各个区域间通信 R1ping -a 10.0.1.1 10.0.2.2 PING 10.0.2.2: 56 data bytes, press CTRL_C to break Reply from 10.0.2.2: bytes=56 Sequence=1 ttl=254 time=240 ms Reply from 10.0.2.2: bytes=56 Sequence=2 ttl=254 time=80 ms Reply from 10.0.2.2: bytes=56 Sequence=3 ttl=254 time=50 ms Reply from 10.0.2.2: bytes=56 Sequence=4 ttl=254 time=70 ms Reply from 10.0.2.2: bytes=56 Sequence=5 ttl=254 time=60 ms --- 10.0.2.2 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 50/100/240 ms R1ping -a 10.0.1.1 10.0.3.3 PING 10.0.3.3: 56 data bytes, press CTRL_C to break Request time out Reply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=150 ms Reply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=70 ms Reply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=70 ms Reply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=60 ms --- 10.0.3.3 ping statistics --- 5 packet(s) transmitted 4 packet(s) received 20.00% packet loss round-trip min/avg/max = 60/87/150 ms
...一烟花厂起火造成伤亡,烟花厂应该做好哪些防火措施?
烟火爆竹生产过程中的防火防爆措施:领药时应遵循“少领、多领、勤取”的原则,装药时应在独立工房内操作。装筑无高感时,每层工房定员2人,或每层1人。钻切有药半成品时,应在专用工房内,每个工房配备2人,人均面积不少于3.5m2,严禁使用不合格或长时间使用同一工具;贴上封条后,作...
办托育班需要具备些什么
第十二条 托育机构的场地应当选择自然条件良好、交通便利、符合卫生和环保要求的建设用地,远离对婴幼儿成长有危害的建筑、设施及污染源,满足抗震、防火、疏散等要求。第十三条 托育机构的建筑应当符合有关工程建设国家标准、行业标准,设置符合标准要求的生活用房,根据需要设置服务...
油烟净化器10大品牌是哪10个?
朗夏、保利洁、双尼、科蓝、速八等等,后面就不说了,前面都覆盖你想要的答案。
农村好青年简要事迹范文篇
2016年9月以来,他带领社工和志愿者们先后走村入户对3000余名55岁以上自理、半自理和不能自理的老人,进行需求调查摸底,并聘请相关专家,到社区为老年人讲授安全用电、防火、老年常见慢性病防治等知识与技能80余期,组织社工和义工志愿者进社区开展活动2000余人次、文艺演出20余场次,丰富提升了老年人的生活质量水平。2017...
小学第二学期德育工作计划
大力加强对学生的交通安全、饮食卫生安全、网络安全、防盗抢、防拐骗、防勒索及“五防”(防火、防电、防雷击、防溺水、防中毒)安全教育,定期组织全校紧急疏散演练强化学生的安全意识和自我防范能力,积极做好事前的防范工作,邀请法律副校长到校进行安全知识讲座,帮助师生树立安全意识。 6、发挥少先队德育主阵地作用 严格...
办托育班需要具备些什么
第十二条 托育机构的场地应当选择自然条件良好、交通便利、符合卫生和环保要求的建设用地,远离对婴幼儿成长有危害的建筑、设施及污染源,满足抗震、防火、疏散等要求。第十三条 托育机构的建筑应当符合有关工程建设国家标准、行业标准,设置符合标准要求的生活用房,根据需要设置服务...
斋庆瑞美: 从另一个用户帐户、另一个浏览器和另一台计算机测试网页 如果问题只在您查看一个或两个网页时发生,则从另一个用户帐户、另一个浏览器或另一台计算机查看这些网页,以确定问题是否依然存在....
娄星区15768144771: ensp中的AR路由器为什么一直在启动当中,无法进入配置界面 - ?
斋庆瑞美: 近期,发现eNSP 2.0需要关闭windows防火墙,才可以启动eNSP中的AR路由器,但是有的用户的工作环境决定了必须要开启windows防火墙,那是否就不能使用我们eNSP了呢?其实直接关闭windows防火墙是一种懒惰的方式,完全可以对...
娄星区15768144771: 华为防火墙配置 - ?
斋庆瑞美: 这是默认的设置.意思是nat地址转换alg应用控制协议enable开启ftp协议 也就是开启这4个FTP/DNS/ICMP/NETBIOS的应用控制协议地址转换.
娄星区15768144771: 如何设置防火墙 - 如何设置防火墙公司 ?
斋庆瑞美: 如何设置防火墙公司1、打开控制面板,点击“系统和安全”.2、这里就能看到“Windows Defender防火墙”了,点击打开它.3、点击打开左侧的“启用或关闭Windows...
娄星区15768144771: 华为的防火墙和路由器怎么配置啊?有拓扑图 - ?
斋庆瑞美: 防火墙把内外网的IP配置好就OK了.路由就是正常的静态两个路由配置,查下配置命令.
娄星区15768144771: 华为路由防火墙的配置命令是? - ?
斋庆瑞美: 访问控制列表 ACL 首先创建一个ACL,然后编辑列表内容,例如你要拒绝某个机器访问某个网络等!!最后把你创建的ACL应用到相应的接口上就可以了!
娄星区15768144771: 华为ensp路由器ospf怎么配置 - ?
斋庆瑞美: 如图:所有的S5700都运行OSPF,并将整个自治系统划分为3个区域,其中S5700-A和S5700-B作为ABR来转发区域之间的路由.配置完成后,每台S5700都能学到自治系统内的到所有网段的路由. 配置思路: 采用如下的思路配置OSPF基本功能: 1.配置各接口所属VLAN ID. 2.配置各VLANIF接口的IP地址. 3.在各S5700设备上使能OSPF,指定不同区域内的网段. 4.查看路由表及数据库信息. 及各接口所属的区域.配置完成后,每台Switch都应学到自治系统内的到所有网段的路由.
