华为网络工程师 | ensp中的华为防火墙设备如何能实现web登录做配置
转载来源 :华为网络工程师 | ensp中的华为防火墙设备如何能实现web登录做配置 :https://mp.weixin.qq.com/s/vpnO8bCbLjLXbiCFsBrJjQ
防火墙技术
防火墙技术,最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙有网络防火墙和计算机防火墙的提法。网络防火墙是指在外部网络和内部网络之间设置网络防火墙。这种防火墙又称筛选路由器。网络防火墙检测进入信息的协议、目的地址、端口(网络层)及被传输的信息形式(应用层)等,滤除不符合规定的外来信息。
华为防火墙设备
USG2000、USG5000、USG6000和USG9500构成了华为防火墙的四大部分,分别适合于不同环境的网络需求,其中,USG2000和USG5000系列定位于UTM(统一威胁管理)产品,USG6000系列属于下一代防火墙产品,USG9500系列属于高端防火墙产品。
1、USG2110
USG2110为华为针对中小企业及连锁机构,SOHO企业等发布的防火墙设备,其功能涵盖防火墙,UTM、Virtual Private Network(请自行看首字母,我写简写的话就被和谐了)、路由、无线等。USG2110其具有性能高、可靠性高、配置方便等特性,且价格相对较低,支持多种Virtual Private Network组网方式,为用户提供安全、灵活、便捷的一体化组网解决方案。
2、USG6600
USG6600是华为面向下一代网络环境防火墙产品,适用于大中型企业及数据中心等网络环境,具有访问控制精准、防护范围全面、安全管理简单、防护性能高等特点,可进行企业内网边界防护、互联网出口防护、云数据中心边界防护、Virtual Private Network远程互联等组网应用。
3、USG9500
USG9500系列包含USG9520、USG9560、USG9580三种系列,适用于云服务提供商、大型数据中心、大型企业园区网络等。它拥有最精准的访问控制、最实用的NGFW特性、最领先的“NP+多核+分布式”架构及最丰富的虚拟化,被称为最稳定可靠的安全网关产品,可用于大型 数据中心边界防护、广电和二级运营商网络出口安全防护、教育网出口安全防护等网络场景。
4、NGFW
NGFW,全称Next Generation Firewall,即下一代防火墙,最早由Gartner提出。NGFW更适用于新的网络环境。NGFW在功能方面不仅要具备标准的防火墙功能,如网络地址转换、状态检测、Virtual Private Network和大企业需要的功能,而且要实现IPS和防火墙真正的一体化,而不是简单地基于模块。另外,NGFW还需要具备强大的应用程序感知和应用可视化能力,基于应用策略、日志统计、安全能力与应用识别深度融合,使用更多的外部信息协助改进安全策略,如用户身份识别等。
以上就是简单的对于防火墙的一个介绍,后期会出一个技术连载来深入介绍防火墙技术,那么下面就来分享一下怎么通过web进行登录防火墙设备(ENSP模拟器)。
组网需求
如下图所示,企业购买了FW作为企业出口网关。管理员在登录FW后,首先需要对FW进行网络基础配置,包括时钟、接口IP地址、安全区域、缺省路由及缺省包过滤的配置。
配置完成后,FW能够成功接入Internet。
配置思路
- 配置FW的时钟。
- 配置FW各业务接口的IP地址。IP地址需要在配置前进行统一规划。
- 将各个业务接口加入安全区域。一般情况下,连接外网的接口加入安全级别低的安全区域(例如untrust区域),连接内网的接口加入安全级别高的安全区域(例如trust区域),服务器可以加入DMZ区域。
- 配置缺省路由,下一跳为ISP提供的接入点。
- 打开缺省包过滤,保证FW能够接入Internet。缺省情况下,缺省包过滤关闭。
说明: 一般情况下建议保持缺省包过滤关闭,然后配置具体允许哪些数据流通过的安全策略。
操作步骤
1.配置时钟,包括当前时间和时区。
- 选择“系统 > 配置 > 时钟配置”。
- 在“配置方式”中选择“手动配置时间”。
- 配置“时区”。
- 配置“日期”。
- 配置“系统时间”。
- 单击“应用”。
配置设备名称
<USG6000V1>system-view
[USG6000V1]sysname FW_A
[FW_A]quit
配置时钟,包括当前时间和时区。
<FW_A>clock datetime 20:48:00 2018-09-12
<FW_A>clock timezone BJ add 08:00:00
2、配置接口0的IP地址和安全区域。
- 选择“网络 > 接口”。
- 单击“GE1/0/0”。
- 配置接口GE1/0/0,ip为192.198.1.1/24,安全区域为trust。
- 单击“确定”。
依次配置ge/0/1的接口地址为10.1.1.1/24,trust区域,g1/0/2的接口地址为1.1.1.1/24,untrust区域
<FW_A> system-view
[FW_A] interface GigabitEthernet 1/0/0
[FW_A-GigabitEthernet1/0/0] ip address 192.168.1.1 24
[FW_A-GigabitEthernet1/0/0] quit
[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] ip address 10.1.1.1 24
[FW_A-GigabitEthernet1/0/1] quit
[FW_A] interface GigabitEthernet 1/0/2
[FW_A-GigabitEthernet1/0/2] ip address 1.1.1.1 24
[FW_A-GigabitEthernet1/0/2] quit
将各个业务接口加入安全区域。
[FW_A] firewall zone trust
[FW_A-zone-trust] add interface GigabitEthernet 1/0/0
[FW_A-zone-trust] quit
[FW_A] firewall zone dmz
[FW_A-zone-dmz] add interface GigabitEthernet 1/0/1
[FW_A-zone-dmz] quit
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface GigabitEthernet 1/0/2
[FW_A-zone-untrust] quit
3.配置缺省路由
[FW_A] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
4.打开缺省包过滤,保证FW能够接入Internet。
说明: 一般情况下建议保持缺省包过滤关闭,然后配置具体允许哪些数据流通
过的安全策略。
- 选择“策略 > 安全策略”。
- 修改default安全策略的动作为允许。
- 单击“确定”。
[FW_A] security-policy
[FW_A-policy-security] default action permit
注意事项:使用火狐浏览器打开https://192.168.0.1:8443,输入用户名admin密码Admin@123登录,登录之后,修改密码。
华为网络工程师 | ensp中的华为防火墙设备如何能实现web登录做配置相关推荐
- 小白入门:一听就懂的HCNA华为网络工程师课程-李云鹏-专题视频课程
小白入门:一听就懂的HCNA华为网络工程师课程-382人已学习 课程介绍 本课程为网络入门课程,专业双IE讲师授课,学习方向主要是路由.交换技术,主要使用华为产品,通过ENSP模拟器学 ...
- 转:华为网络工程师离职总结:资质平庸的人该怎么办?震惊了无数人!
华为网络工程师离职总结:资质平庸的人该怎么办?震惊了无数人! 天赋秉异的人永远是少数,剩下的都是资质平庸的芸芸众生.相信即使只是普通人,也有一颗不甘于平庸的心.那么资质平庸的人该如何在职场上做出一番成 ...
- 华为网络工程师HCIP认证考试之223
** 华为网络工程师HCIP认证考试之223 ** 满分:4分1.[单选题] 当网络中需要有大量的IP电话机和WLAN的AP接入时,我们一般会考虑选用具有哪种功能的交换机? A.具有STP边缘端口功能 ...
- 视频教程-华为网络工程师HCIA数通工程师-华为认证
华为网络工程师HCIA数通工程师 拼客学院全栈安全主讲老师,原担任国内某集成商网络项目工程师,有6年IT项目经验,3年思科和华为课程授课经验. 熟悉思科.华为.中兴等设备的理论和部署. 授课风格严禁细 ...
- 最新华为网络工程师优招面试经历
华为网络工程师面试主要分为群面-业务面试-综合面试-英语测试 群面 一般两组每组6-8人不等,现在群面华为较之前的群面有所改变!!先进去面试官介绍面试的流程,然后按座位(座位是随机安排的,不是自己想和 ...
- 华为S5700S-52P-LI-AC千兆网管交换机web登录界面配置
研究一下午,包装附的说明书根本就是错误的,通过技术售后和官方的文档结合,总算可以登录交换机的web管理界面. 首先需要使用通讯控制线缆(包装中附)连接电脑和交换机,一头接交换机的Console口,一头 ...
- 网络工程师入门必修课【华为HCIA认证】
微思网络 www.xmws.cn 华为HCIA课程介绍 HCIA认证概述 HCIA认证定位于中小型网络的基本配置和维护,包括但不限于:IP网络基础,局域网技术,广域网技术,路由技术,网络安全,产品知识 ...
- 华为网络工程师的考试费用和考试资格是什么?
有很多朋友没有接触过华为认证网络工程师想成为一名华为认可的网络工程师,最快的捷径就是去参加华为认证的网络工程师hcip. 这个hcip在华为认证体系中是一个中级网络工程师的考试,考到这个证书就相当于拥 ...
- 思科华为网络工程师行业认证介绍
这里是na的分栏,但两个厂商的技术,差异性都会讲到. 因为你要知道在任何的一个现网中都不会单纯的使用一个厂商的设备,当前在国内见到比较多的,有思科的,华为的.企业网华三比较多,校园网锐捷比较多,有些地 ...
最新文章
- luogu P1280 尼克的任务 序列DP
- 嵌入式ARM多核处理器并行化方法
- VTK:重新采样附加的 PolyData用法实战
- CentOS挂载NTFS移动硬盘
- 【Ids4实战】深究配置——用户信息操作篇
- 用计算机算出你喜欢吃你喜欢的人,Go for it七年级下学期1-12单元(期末复习)句子翻译专练...
- CSS之创建等高列布局之二
- 巧妙解决element-ui下拉框选项过多的问题
- php怎么学小程序,PHP学习之路之Hello World小程序
- 【2】PRD文档介绍
- mysql5.7.22并行回放_技术分享 | 从库 MTS 多线程并行回放(二)
- Linformer 拍了拍 被吊打 Transformers 的后浪们
- 软中断和tasklet
- 一次简单的宾馆路由器后台破解
- android禁用传感器,Android 系统 强制 禁用 距离传感器 方法
- 我的世界Mods/制作(1)
- 相机快门之:电子快门
- 卡片式轮播图 效果 实现
- springboot2.0优雅关闭
- 7、PN结的电容效应