查看防火墙状态_干货 | 华为防火墙配置,这篇文章强烈推荐收藏学习
1、命令行界面密码:Admin@123
[ ]web-manager enable 开启web 界面管理
2、web界面:默认 admin Admin@123
3、区域
默认区域:trust untrust dmz local
firewall zone trustadd int gi 1/0/0 将接口加入trust 区域
允许接口被ping :
int gi 1/0/0service-manage ping permit
配置安全策略:
local_anysecurity-policy rule name local_any source-zone local destination-zone any action permit
4、向导配置
向导配置的参数:
① 区域规划
② 接口ip地址
③ 指向运营商的缺省路由
④ 基于源地址转换的NAT
⑤ 将默认的安全策略改为放行
③ 缺省路由器配置:
ip route-s 0.0.0.0 0 202.1.1.2
④ nat配置
nat-policy rule name trust_ISP source-zone trust egress-interface GigabitEthernet1/0/2 action nat easy-ip
⑤ 将默认的安全策略改为放行
security-policydefault action permit
5、防火墙转发原理
路由器:开启telnet
user-interface vty 0 4 authentication-mode password user privilege level 3 set authentication password simple 123
基于会话(状态)session 的转发。
首包 :建立会话的过程 去包
回包:基于会话回包
dis firewall session table 查看防火墙会话表
放行由trust到dmz的流量
security-policy rule name trust_dmz source-zone trust destination-zone dmz action permit
更加精细化控制:
security-policy rule name trust_dmz source-zone trust destination-zone dmz source-address 192.168.1.0 24 destination-address 172.16.1.2 32 service telnet service icmp action permit
6、常见安全策略
7、源NAT 转换
8、端口映射(nat server)
将内网地址 172.16.1.2 的23端口 映射成公网地址202.1.1.1 的23端口。
注意:如果想检测由防火墙到服务器的连通性,需放行local到dmz的流量。
命令行:
nat server aa 0 zone untrustprotocol tcp global 202.1.1.1 23 inside172.16.1.2 23 no-reverse
9、SSH 远程管理防火墙
[FW]rsa local-key-pair create 产生用于加密的密钥对
int gi 1/0/0 service-manage ssh permituser-interface vty 0 4 authentication-mode aaa protocol inbound sshaaa manager-user xiaoge password cipher Xiaoge123 service-type ssh level 15
防火墙需开启 ssh 服务并指定用户名和密码
stelnet server enablessh user xiaogessh user xiaoge authentication-typepasswordssh user xiaoge service-type stelnet
客户端路由器: stelnet 192.168.1.1
首次登录必须重新更改密码,且要符合复杂度要求例如CCNPa1234 ,且不能使用历史密码。更改密码后会被踢出 然后重新登录。
注意 1 : ssh 只能使用用户名和密码的方式登录。
注意 2 :配置用户名和密码时千万不要加空格再回车。
10、允许防火墙对tracert 路径探测回显
tracert x.x.x.x 用于探测去往某目标经过的三层设备的个数。
tracert 原理:发送探测报文 ttl=1 (第一跳)ttl=2(第二跳)。。。依次类推 ,当中间的三
层设备收到ttl值等于1的报文时认为发生环路,报文无法继续转发。并回馈一个icmp 的报文通知源端。
探测报文
路由器回显报文:
注意:防火墙为了安全起见(不暴露自己的ip地址),默认情况下不处理ttl=1的探测报文,收到该报文后直接丢弃,且不会回应。因此tracert 时,会有 * * * 出现是多数是防火墙。
配置防火墙允许tracert 回显: icmp ttl-exceeded send
11、将防火墙配置成透明交换机
FW:
int gi 1/0/0 portswitch 将防火墙接口配置为交换机接口 port link-type access
路由器 telnet 不认证登陆:
user-interface vty 0 4 authentication-mode none user privilege level 3
12、在防火墙上面配置vlan
vlan 10int gi 1/0/0 portswitch 将防火墙接口配置为交换机接口 port link-type access port default vlan 10
将接口划分到不同的安全区域以实现精细化的管控:
例如 :只允许trust1trust2 telnet 流量
13、将防火墙配置成三层核心交换机
然后可以基于svi1 和svi2 两个区域配置精细化的安全管控。
注意:如果想实现不同vlan的互访管控,可以将不同的三层svi接口加入到不同的安全区域,便于配置安全策略。
14、双机热备
基础配置:
配置完接口 ip
防火墙接口已规划区域
放行 local_to_any
防火墙接口都允许 ping
防火墙 vrrp 和路由器的不同:
防火墙 vrrp 需要解决的两个问题:
① 多个 vrrp 组同时切换 ( VGMP ,不需特殊配置自动加入 vgmp 组,多个 vrrp组 要切一起切)
② 安全策略配置和会话状态同步 (会话同步 HRP)
VRRP 配置:
FW1:
int gi1/0/0vrrp vrid 1 virtual-ip 192.168.1.1 activeint gi 1/0/1vrrp vrid 2 virtual-ip 202.1.1.1 active
FW2:
int gi 1/0/0vrrp vrid 1 virtual-ip 192.168.1.1 standbyint gi 1/0/1vrrp vrid 2 vritual-ip 202.1.1.1 standby
HRP 配置:
FW1:
hrp enablehrp interface gi1/0/6 remote 172.16.1.253
FW2:
hrp enablehrp standby-devicehrp int gi 1/0/6 remote 172.16.1.254
注意:处于 standby 状态的设备不允许配置安全策略(可以其他的),只允许在主设备配置安全策略,且安全策略会自动同步到备设备上面。主设备 配置由 trust_to_untrust 放行策略+B 表示配置已经同步到备设备上面。
FW1 :
security-policyrule name trust_to_untrustsource-zone trustdestination-zone untrustaction permit
测试 1 : R1 ping R2 通信!! 可以做冗余性测试!!
测试 2 :去掉 HRP 看看配置安全策略是否还同步 (HRP 切换需要 1 分钟时间 有 standby-->master )
测试 3 : R1 telnet R2 查看两个 FW 的会话状态是否都有
注意:处于 standby 状态的设备不允许配置安全策略(可以其他的),只允许在主设备配置安全策略,且安全策略会自动同步到备设备上面。主设备 配置由 trust_to_untrust 放行策略+B 表示配置已经同步到备设备上面。
FW1 :
security-policyrule name trust_to_untrustsource-zone trustdestination-zone untrustaction permit
测试 1 : R1 ping R2 通信!! 可以做冗余性测试!!
测试 2 :去掉 HRP 看看配置安全策略是否还同步 (HRP 切换需要 1 分钟时间 有 standby-->master )
测试 3 : R1 telnet R2 查看两个 FW 的会话状态是否都有
15、双机热备web配置
努力学习,勤奋工作,让青春更加光彩
再长的路,一步步也能走完,再短的路,不迈开双脚也无法到达
查看防火墙状态_干货 | 华为防火墙配置,这篇文章强烈推荐收藏学习相关推荐
- aix 查看防火墙状态_Linux 7.x 防火墙amp;端口
查看当前防火墙的状态: # firewall-cmd --state 也可以使用指令:systemctl status firewall.service 启动防火墙 # systemctl start ...
- CentOS 7+查看防火墙状态开启或关闭防火墙命令
CentOS 7+系统下查看防火墙状态的方法,CentOS 7系统下载开启和关闭防火墙的命令: CentOS 7+查看防火墙状态命令 命令:systemctl status firewalld 执行上 ...
- CentOS8查看防火墙状态,开启/关闭防火墙
1,查看防火墙状态 systemctl status firewalld.service 2,开启防火墙 systemctl start firewalld.service 3,关闭防火墙 syste ...
- mysql 查看slave状态_查看mysql主从配置的状态及修正 slave不启动问题
.查看master的状态 show master status; //Position不应该为0 show processlist; //state状态应该为Has sent all binlog ...
- linux 查redis状态_干货:用案例代码详解Redis中的事件驱动模型
Redis 是一个事件驱动的内存数据库,服务器需要处理两种类型的事件. 文件事件 时间事件 下面就会介绍这两种事件的实现原理. 推荐阅读:我凭借这份pdf拿下了蚂蚁金服.字节跳动.小米等大厂的offe ...
- ebs查看服务状态_监控您的卷状态 - Amazon Elastic Compute Cloud
监控您的卷状态 Amazon Web Services (AWS) 自动提供可用于监控 Amazon Elastic Block Store (Amazon EBS) 卷的数据. EBS 卷状态检查 ...
- kubectl查看node状态_【大强哥-k8s从入门到放弃03】查看K8S集群基本信息
先付上一个小福利[网络安全-技术提升]网络安全黄埔军校入学通知书_哔哩哔哩 (゜-゜)つロ 干杯~-bilibiliwww.bilibili.com 集群信息的各种查看基本上是在Master节点操作 ...
- 期刊投稿状态_干货| SCI论文投稿,你还是知道太少了
做实验难.写论文难.投稿更难,别以为做实验才是一门技术活,投稿也是,有经验的作者,一击即中.本文总结一些投稿过程中的细节处理,状态解析,希望能够帮助正在打算投稿的你,如果还想更简单粗暴,那就交给基因帮 ...
- 查看topic信息_如何规划的你博客文章主题(Topic)
产品有了, 写手有了. 该写哪些主题,就成问题了. 这篇文章,会结合真实案例,告诉大家,该如何规划自己的博客主题.(注意这里不是标题). 以我最近的一个项目, 游泳池产品为例. 关键词叫 swimmi ...
最新文章
- iphone电池怎么保养_怎么保持iPhone的电池健康?掌握这4个方面,3年不用换电池...
- 计算机网络实验(华为eNSP模拟器)——第六章 密码模式和AAA模式
- 【AS3 Coder】任务七:初涉PureMVC——天气预报功能实现
- Identity Server 4 原理和实战(完结)_----选看 OAuth 2.0 简介(上)
- iOS开发需要哪些图片?
- matlab和C/C++混合编程--Mex (转载)
- 基于深度学习的实时噪声抑制——深度学习落地移动端的范例
- 电力设备巡检管理系统
- 【全网最详细】 树莓派控制ws2812b灯带 点亮教程
- scratch编程小游戏——黄金矿工
- HoloLens2通过Wifi部署应用到HoloLens2设备上
- android 数据线有几种,不止是安卓和苹果线,手机数据线原来还有这几种!
- 正宇丨生活其实很简单,想通了每天都是晴天
- PID串口助手的第一部分:串口通信
- java Swing中JTextField自动补全功能例子
- Matplotlib、PIL Image如何将多张图片整合保存为一张图片
- 数据结构-栈(栈的C语言实现)
- Eclipse中python的配置方法
- 地震时我先跑了教师挑逗网民抽人欲望
- 2014年英语专升本英语阅读「Part II 阅读专区」【文章(图片)、答案、词汇记忆】
热门文章
- 分布式系统设计原理与方案
- linux send与recv函数详解
- SSD+HDD双硬盘+MSI主板win8.1+ubuntu17.04双系统安装总结
- win10安装scrapy
- Zedboard学习(五):MIO与EMIO操作
- 笔记3——C++类的一些特性
- 区分主机 cpu 计算机及计算机系统,小学计算机教案(二)
- element手机验证格式_Excel数据验证:给数据把个关,工作效率有保障。
- swoole安装全纪录
- 《Linux防火墙(第4版)》——1.3 传输层机制