实验拓扑

实验要求:

  1. 实现在内部的clound1上可以telnet、ssh以及web方式访问防火墙
  1. 实现内部的pc1可以访问外部的pc2,而pc3不可以访问
  1. 实现外部的pc2可以访问dmz中的服务器(ftp,http以及icmp)

一、配置防火墙允许telnet

1)配置接口ip

[USG6000V1]int g0/0/0

[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.0.1 24

[USG6000V1]int g1/0/0

[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.1 24

[USG6000V1]int g1/0/1

[USG6000V1-GigabitEthernet1/0/1]ip add 192.168.2.1 24

[USG6000V1-GigabitEthernet1/0/0]quit

[USG6000V1]int g1/0/2

[USG6000V1-GigabitEthernet1/0/2]ip add 192.168.3.1 24

2)将防火墙g口加入安全区域

[USG6000V1]firewall zone trust

[USG6000V1-zone-trust]add int g1/0/0

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add int g1/0/1

0/0/0加入安全区域

[USG6000V1-GigabitEthernet0/0/0]quit

[USG6000V1]firewall zone trust

[USG6000V1-zone-trust]add int g0/0/0

3)将接

4)将接口加入安全区域

[USG6000V1-GigabitEthernet1/0/2]quit

[USG6000V1]firewall zone dmz

[USG6000V1-zone-dmz]add int g1/0/2

[USG6000V1-zone-dmz]quit

6)将防火墙配置域间包过滤,以保证网络基本通信正常,因为telnet流量属于防火墙自身收发,所以需要配置trust区域到local区域的安全策略

[USG6000V1-zone-trust]quit

[USG6000V1]security-policy

[USG6000V1-policy-security]rule name allow_telnet

[USG6000V1-policy-security-rule-allow_telnet]source-zone trust

[USG6000V1-policy-security-rule-allow_telnet]destination-zone local

[USG6000V1-policy-security-rule-allow_telnet]action permit

[USG6000V1-policy-security-rule-allow_telnet]quit

[USG6000V1-policy-security]

7)配置允许telnet配置认证模式及本地用户信息

  • 打开防火墙的telnet功能

[USG6000V1]telnet server enable

[USG6000V1]int g0/0/0

[USG6000V1-GigabitEthernet0/0/0]service-manage enable

[USG6000V1-GigabitEthernet0/0/0]service-manage telnet permit

[USG6000V1-GigabitEthernet0/0/0]

  • 配置认证模式

[USG6000V1-policy-security]quit

[USG6000V1]user-interface vty 0 4

[USG6000V1-ui-vty0-4]authentication-mode aaa  //配置认证模式

[USG6000V1-ui-vty0-4]protocol inbound telnet  //允许telnet连接虚拟终端

[USG6000V1-ui-vty0-4]quit

  • 配置本地用户信息

[USG6000V1]aaa

[USG6000V1-aaa]manager-user demo //配置本地用户为demo

[USG6000V1-aaa-manager-user-demo]password cipher demo@1234 //配置密码

Info: You are advised to config on man-machine mode.

[USG6000V1-aaa-manager-user-demo]service-type telnet //配置服务类型

[USG6000V1-aaa-manager-user-demo]level 3

[USG6000V1-aaa-manager-user-demo]quit

测试:

从cloud1客户端上使用登录防火墙,首次登录需要修改密码,然后再重新用新密码连接

二、配置安全策略

1.让内部的pc1可以ping通外部的主机

[USG6000V1]security-policy

[USG6000V1-policy-security]rule name pc1toout

[USG6000V1-policy-security-rule-pc1toout]source 192.168.1.2 32

#32网络位

[USG6000V1-policy-security-rule-pc1toout]service icmp

[USG6000V1-policy-security-rule-pc1toout]destination-zone untrust

[USG6000V1-policy-security-rule-pc1toout]action permit

测试:从pc1和pc2分别  ping  untrust区域主机

1)ping测试

2)查看会话

2.让外部的主机可以访问dmz中的ftp,http以及ping

[USG6000V1]security-policy

[USG6000V1-policy-security]rule name outtodmz

[USG6000V1-policy-security-rule-outtodmz]source-zone untrust

[USG6000V1-policy-security-rule-outtodmz]destination-address 192.168.3.2 32

[USG6000V1-policy-security-rule-outtodmz]service icmp

[USG6000V1-policy-security-rule-outtodmz]service http

[USG6000V1-policy-security-rule-outtodmz]service ftp

[USG6000V1-policy-security-rule-outtodmz]action permit

测试:从pc2 ping  dmz中的主机192.168.3.2

华为USG6000V防火墙telnet+安全策略!!!相关推荐

  1. 华为USG防火墙-建立安全策略禁止上班时间访问其他网站

    新建域名组 点击对象-域名组-创建,输入名称:上班禁止访问的网址,输入域名,点击确定.不同的域名之间用回车. 新建安全策略 点击策略-安全策略-新建安全策略 目的地址/地区-选择上班禁止访问的网址 时 ...

  2. 大面积无线WIFI覆盖 H3C WX3010E(AC+PoE三层交换机)+ H3C WA2620E、WA4320无线AP +华为USG6310S防火墙

    一.适用场景: 1.跨复杂区域覆盖WIFI.支持多房间.多栋.多层复式楼.别墅.自建房的无线WIFI覆盖. 2.强大的漫游功能.楼上楼下移动使用WIFI时,需要支持WIFI的信号漫游,更换地理位置不掉 ...

  3. ensp模拟器使用USG6000V防火墙模拟搭建点到点的IPSec 隧道(web网页版)

    ensp模拟器使用USG6000V防火墙模拟搭建点到点的IPSec 隧道(web网页版) 关于IPSec技术的基本原理及使用场景请参考: IPSec技术的基本原理详解及应用场景 本文主要是使用ensp ...

  4. 华为防火墙查看日志命令_华为路由器防火墙配置命令总结(上)

    华为路由器防火墙配置命令总结(上) 作者:IT168 2006-06-12 11:35 评论 分享 一.access-list 用于创建访问规则. (1)创建标准访问列表 access-list [ ...

  5. 华为关闭telnet命令_华为3928配置telnet登录的命令

    华为3928配置telnet登录的命令 发布时间:2012-05-14 01:40:54   作者:佚名   我要评论 华为3928配置telnet登录的命令,需要的朋友可以参考下 sys local ...

  6. USG6000V防火墙WEB登录界面超详细配置过程

    防火墙在企业中的应用非常广泛,几乎现在每个公司的网络中都会用到防火墙,或多或少做一些安全策略.公司中也一定存在着负责日常维护这些网络设备的工作人员.如果稍微专业一点,可能他们会通过直接敲命令的方式来管 ...

  7. 华为ensp防火墙ipsec

    华为ensp防火墙ips_vpn 1)调试设备IP地址,防火墙有些策略限制会导致即使配置了正确的路由,也不能使得公网通,这就需要我们进行调试设备;一个是关于接口的ping服务是否打开,二是关于安全策略 ...

  8. 华为USG防火墙及NGFW高可用性的规划与实施详解

    华为USG防火墙及NGFW高可用性的规划与实施详解 课程目标: 该课程程为卷B,它紧接卷A所描述的基础内容,开始进入防火墙的高可性的规划与实施,本课程卷B的核心目标是:一.从真正意义上去理解防火墙的双 ...

  9. 华为关闭telnet命令_华为s5720配置telnet命令详解

    华为s5720配置telnet命令详解 以本地PC登录远程的Telnet_Server为例,Telent登录配置如下: 1. 使能服务器功能 system-view [HUAWEI] sysname ...

  10. 华为eNSP防火墙USG5500基本配置

    华为eNSP防火墙USG5500基本配置 实验设备 防火墙采用eNSP自带USG5500,不需要导入操作系统:eNSP同时提供防火墙USG6000,它不能打开,提示需要导入防火墙系统.交换机采用的是5 ...

最新文章

  1. 极速理解设计模式系列【目录索引】
  2. JZOJ__Day 1:【NOIP普及模拟】JABUKE
  3. mysql 开启守护进程_[求助]Linux上MySQL Server 5.6 安装后无法启动守护进程
  4. SAP CDS view里将Date和time连接成timestamp的函数
  5. Django05: 请求生命周期流程图/路由层
  6. 通过SQL Server 2008 访问Oracle 10g
  7. 676. 实现一个魔法字典
  8. Windows用WinDbg分析蓝屏dump文件查找原因(转)
  9. 物联网打工人必备:LiteOS Studio图形化调测能力
  10. java locale中文_locale错误导致Java中文乱码错误的总结
  11. 算法:深拷贝链表,其中链表有个随机指向的指针Copy List with Random Pointer
  12. Java编程练习题2
  13. 基于仿真软件multisim14的多路抢答器电路设计
  14. python webdriver脚本例子_python-webdriver 开始第一个脚本
  15. 计算机语言output,output是什么意思
  16. cf为什么一直连接服务器失败,为什么cf连接服务器失败的解决方法
  17. 《Qt5:键盘事件》
  18. 操作系统安全配置操作
  19. Pytorch+PyG实现GraphConv
  20. C#与虚拟器 测试测量行业重磅推荐 SeeSharp Tools 介绍 - 1

热门文章

  1. OpenCASCADE VS2010 SP1编译
  2. Tessellation细分曲面技术(DX11)
  3. cocos2dx基础篇(10)——编辑框之一CCTextFieldTTF
  4. Xcode调试技巧总结
  5. Android11 下载APK并安装
  6. Exchange2010删除指定账户指定主题邮件
  7. mp4如何转换成wmv格式
  8. C#开发WebService实例和发布
  9. c# chart 各个属性_C#之Chart控件系列教程
  10. python 电路仿真spice_电路仿真SPICE入门