实验拓扑

实验要求:

  1. 实现在内部的clound1上可以telnet、ssh以及web方式访问防火墙
  2. 实现内部的pc1可以访问外部的pc2,而pc3不可以访问
  3. 实现外部的pc2可以访问dmz中的服务器(ftp,http以及icmp)

一、配置防火墙允许telnet

1)配置接口ip

[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.0.1 24[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.1 24[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 192.168.2.1 24[USG6000V1-GigabitEthernet1/0/0]quit[USG6000V1]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip add 192.168.3.1 24

2)将防火墙g口加入安全区域

[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int g1/0/0
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add int g1/0/1

3)将接0/0/0加入安全区域

[USG6000V1-GigabitEthernet0/0/0]quit
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int g0/0/0

4)将接口加入安全区域

[USG6000V1-GigabitEthernet1/0/2]quit
[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add int g1/0/2
[USG6000V1-zone-dmz]quit

6)将防火墙配置域间包过滤,以保证网络基本通信正常,因为telnet流量属于防火墙自身收发,所以需要配置trust区域到local区域的安全策略

[USG6000V1-zone-trust]quit
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name allow_telnet
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local
[USG6000V1-policy-security-rule-allow_telnet]action permit
[USG6000V1-policy-security-rule-allow_telnet]quit
[USG6000V1-policy-security]

7)配置允许telnet配置认证模式及本地用户信息

  • 打开防火墙的telnet功能
[USG6000V1]telnet server enable
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage enable
[USG6000V1-GigabitEthernet0/0/0]service-manage telnet permit
[USG6000V1-GigabitEthernet0/0/0]
  • 配置认证模式
[USG6000V1-policy-security]quit
[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa  //配置认证模式
[USG6000V1-ui-vty0-4]protocol inbound telnet  //允许telnet连接虚拟终端
[USG6000V1-ui-vty0-4]quit
  • 配置本地用户信息
[USG6000V1]aaa
[USG6000V1-aaa]manager-user demo //配置本地用户为demo
[USG6000V1-aaa-manager-user-demo]password cipher demo@1234 //配置密码
Info: You are advised to config on man-machine mode.[USG6000V1-aaa-manager-user-demo]service-type telnet //配置服务类型
[USG6000V1-aaa-manager-user-demo]level 3
[USG6000V1-aaa-manager-user-demo]quit

测试:

从cloud1客户端上使用登录防火墙,首次登录需要修改密码,然后再重新用新密码连接

二、配置安全策略

1.让内部的pc1可以ping通外部的主机

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name pc1toout
[USG6000V1-policy-security-rule-pc1toout]source 192.168.1.2 32     #32网络位
[USG6000V1-policy-security-rule-pc1toout]service icmp
[USG6000V1-policy-security-rule-pc1toout]destination-zone untrust
[USG6000V1-policy-security-rule-pc1toout]action permit

测试:从pc1  ping  untrust区域主机 (pc2)

1)ping测试

2)查看会话

2.让外部的主机可以访问dmz中的ftp,http以及ping

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name outtodmz
[USG6000V1-policy-security-rule-outtodmz]source-zone untrust
[USG6000V1-policy-security-rule-outtodmz]destination-address 192.168.3.2 32
[USG6000V1-policy-security-rule-outtodmz]service icmp
[USG6000V1-policy-security-rule-outtodmz]service http
[USG6000V1-policy-security-rule-outtodmz]service ftp
[USG6000V1-policy-security-rule-outtodmz]action permit

测试:从pc2 ping  dmz中的主机192.168.3.2

华为USG6000V防火墙telnet+安全策略相关推荐

  1. 华为USG防火墙-建立安全策略禁止上班时间访问其他网站

    新建域名组 点击对象-域名组-创建,输入名称:上班禁止访问的网址,输入域名,点击确定.不同的域名之间用回车. 新建安全策略 点击策略-安全策略-新建安全策略 目的地址/地区-选择上班禁止访问的网址 时 ...

  2. 大面积无线WIFI覆盖 H3C WX3010E(AC+PoE三层交换机)+ H3C WA2620E、WA4320无线AP +华为USG6310S防火墙

    一.适用场景: 1.跨复杂区域覆盖WIFI.支持多房间.多栋.多层复式楼.别墅.自建房的无线WIFI覆盖. 2.强大的漫游功能.楼上楼下移动使用WIFI时,需要支持WIFI的信号漫游,更换地理位置不掉 ...

  3. ensp模拟器使用USG6000V防火墙模拟搭建点到点的IPSec 隧道(web网页版)

    ensp模拟器使用USG6000V防火墙模拟搭建点到点的IPSec 隧道(web网页版) 关于IPSec技术的基本原理及使用场景请参考: IPSec技术的基本原理详解及应用场景 本文主要是使用ensp ...

  4. 华为防火墙查看日志命令_华为路由器防火墙配置命令总结(上)

    华为路由器防火墙配置命令总结(上) 作者:IT168 2006-06-12 11:35 评论 分享 一.access-list 用于创建访问规则. (1)创建标准访问列表 access-list [ ...

  5. 华为关闭telnet命令_华为3928配置telnet登录的命令

    华为3928配置telnet登录的命令 发布时间:2012-05-14 01:40:54   作者:佚名   我要评论 华为3928配置telnet登录的命令,需要的朋友可以参考下 sys local ...

  6. USG6000V防火墙WEB登录界面超详细配置过程

    防火墙在企业中的应用非常广泛,几乎现在每个公司的网络中都会用到防火墙,或多或少做一些安全策略.公司中也一定存在着负责日常维护这些网络设备的工作人员.如果稍微专业一点,可能他们会通过直接敲命令的方式来管 ...

  7. 华为ensp防火墙ipsec

    华为ensp防火墙ips_vpn 1)调试设备IP地址,防火墙有些策略限制会导致即使配置了正确的路由,也不能使得公网通,这就需要我们进行调试设备;一个是关于接口的ping服务是否打开,二是关于安全策略 ...

  8. 华为USG防火墙及NGFW高可用性的规划与实施详解

    华为USG防火墙及NGFW高可用性的规划与实施详解 课程目标: 该课程程为卷B,它紧接卷A所描述的基础内容,开始进入防火墙的高可性的规划与实施,本课程卷B的核心目标是:一.从真正意义上去理解防火墙的双 ...

  9. 华为关闭telnet命令_华为s5720配置telnet命令详解

    华为s5720配置telnet命令详解 以本地PC登录远程的Telnet_Server为例,Telent登录配置如下: 1. 使能服务器功能 system-view [HUAWEI] sysname ...

  10. 华为eNSP防火墙USG5500基本配置

    华为eNSP防火墙USG5500基本配置 实验设备 防火墙采用eNSP自带USG5500,不需要导入操作系统:eNSP同时提供防火墙USG6000,它不能打开,提示需要导入防火墙系统.交换机采用的是5 ...

最新文章

  1. 途虎养车APP--参数分析
  2. 字符串的模式匹配(Java实现)
  3. 使用Unity从零点五开始,做半个不能玩的小游戏(完)
  4. JMeter web 测试
  5. python实现qq登录界面_使用Python编写一个QQ办公版的图形登录界面!
  6. Java案例:Swing版记事本
  7. 工频干扰频谱测量_EMC预认证测量的哀与愁
  8. SqlServer中decimal(numeric )、float 和 real 数据类型的区别[转]
  9. java Process在windows的使用汇总(转)
  10. 8g内存一般占用多少_手机6G和8G运存有什么不同,8G运存真比6G流畅?这也要考虑处理器...
  11. cad字体修改方案分享-缺少SHX字体、替换字体
  12. linux安装fdfs
  13. 关于计算机网络ppt背景图片,windows10设置幻灯片播放式背景桌面图文教程
  14. 嵌入式linux开发,flex库移植
  15. ES6 语法之 Set 与 Map 数据结构
  16. java htmlunit
  17. 【附源码】计算机毕业设计SSM面向老年群体的健康养生系统
  18. Android项目 生成签名证书指纹
  19. 点双连通分量边双联通分量详解
  20. 磁盘恢复工具OO DiskRecovery的使用

热门文章

  1. unas 下 Transmission 下载使用体会
  2. win7 修复计算机 黑屏,Win7系统崩溃不用重做!Win7无法进入桌面黑屏
  3. md5加解密工具 java_MD5解密加密工具类
  4. 让AngularJS兼容IE8及其以下浏览器版本的方法
  5. JAVA毕设项目-网上订餐系统(附:源码 论文 Sql文件)
  6. 进销存源码|ERP多仓库管理系统全开源php源码
  7. win10系统下载文件被windows defender smartscreen 阻止怎么办,但是系统没有筛选器
  8. instagram下载_Instagram Raider可让您轻松下载Instagram图像和视频
  9. 对称函数、半正定矩阵(核函数涉及)
  10. web服务器ngix基础