华为USG6000V防火墙telnet+安全策略!!!
实验拓扑
实验要求:
- 实现在内部的clound1上可以telnet、ssh以及web方式访问防火墙
- 实现内部的pc1可以访问外部的pc2,而pc3不可以访问
- 实现外部的pc2可以访问dmz中的服务器(ftp,http以及icmp)
一、配置防火墙允许telnet
1)配置接口ip
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.0.1 24
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.1 24
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 192.168.2.1 24
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip add 192.168.3.1 24
2)将防火墙g口加入安全区域
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int g1/0/0
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add int g1/0/1
0/0/0加入安全区域
[USG6000V1-GigabitEthernet0/0/0]quit
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int g0/0/0
3)将接
4)将接口加入安全区域
[USG6000V1-GigabitEthernet1/0/2]quit
[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add int g1/0/2
[USG6000V1-zone-dmz]quit
6)将防火墙配置域间包过滤,以保证网络基本通信正常,因为telnet流量属于防火墙自身收发,所以需要配置trust区域到local区域的安全策略
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name allow_telnet
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local
[USG6000V1-policy-security-rule-allow_telnet]action permit
[USG6000V1-policy-security-rule-allow_telnet]quit
[USG6000V1-policy-security]
7)配置允许telnet配置认证模式及本地用户信息
- 打开防火墙的telnet功能
[USG6000V1]telnet server enable
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage enable
[USG6000V1-GigabitEthernet0/0/0]service-manage telnet permit
[USG6000V1-GigabitEthernet0/0/0]
- 配置认证模式
[USG6000V1-policy-security]quit
[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa //配置认证模式
[USG6000V1-ui-vty0-4]protocol inbound telnet //允许telnet连接虚拟终端
[USG6000V1-ui-vty0-4]quit
- 配置本地用户信息
[USG6000V1]aaa
[USG6000V1-aaa]manager-user demo //配置本地用户为demo
[USG6000V1-aaa-manager-user-demo]password cipher demo@1234 //配置密码
Info: You are advised to config on man-machine mode.
[USG6000V1-aaa-manager-user-demo]service-type telnet //配置服务类型
[USG6000V1-aaa-manager-user-demo]level 3
[USG6000V1-aaa-manager-user-demo]quit
测试:
从cloud1客户端上使用登录防火墙,首次登录需要修改密码,然后再重新用新密码连接
二、配置安全策略
1.让内部的pc1可以ping通外部的主机
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name pc1toout
[USG6000V1-policy-security-rule-pc1toout]source 192.168.1.2 32
#32网络位
[USG6000V1-policy-security-rule-pc1toout]service icmp
[USG6000V1-policy-security-rule-pc1toout]destination-zone untrust
[USG6000V1-policy-security-rule-pc1toout]action permit
测试:从pc1和pc2分别 ping untrust区域主机
1)ping测试
2)查看会话
2.让外部的主机可以访问dmz中的ftp,http以及ping
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name outtodmz
[USG6000V1-policy-security-rule-outtodmz]source-zone untrust
[USG6000V1-policy-security-rule-outtodmz]destination-address 192.168.3.2 32
[USG6000V1-policy-security-rule-outtodmz]service icmp
[USG6000V1-policy-security-rule-outtodmz]service http
[USG6000V1-policy-security-rule-outtodmz]service ftp
[USG6000V1-policy-security-rule-outtodmz]action permit
测试:从pc2 ping dmz中的主机192.168.3.2
华为USG6000V防火墙telnet+安全策略!!!相关推荐
- 华为USG防火墙-建立安全策略禁止上班时间访问其他网站
新建域名组 点击对象-域名组-创建,输入名称:上班禁止访问的网址,输入域名,点击确定.不同的域名之间用回车. 新建安全策略 点击策略-安全策略-新建安全策略 目的地址/地区-选择上班禁止访问的网址 时 ...
- 大面积无线WIFI覆盖 H3C WX3010E(AC+PoE三层交换机)+ H3C WA2620E、WA4320无线AP +华为USG6310S防火墙
一.适用场景: 1.跨复杂区域覆盖WIFI.支持多房间.多栋.多层复式楼.别墅.自建房的无线WIFI覆盖. 2.强大的漫游功能.楼上楼下移动使用WIFI时,需要支持WIFI的信号漫游,更换地理位置不掉 ...
- ensp模拟器使用USG6000V防火墙模拟搭建点到点的IPSec 隧道(web网页版)
ensp模拟器使用USG6000V防火墙模拟搭建点到点的IPSec 隧道(web网页版) 关于IPSec技术的基本原理及使用场景请参考: IPSec技术的基本原理详解及应用场景 本文主要是使用ensp ...
- 华为防火墙查看日志命令_华为路由器防火墙配置命令总结(上)
华为路由器防火墙配置命令总结(上) 作者:IT168 2006-06-12 11:35 评论 分享 一.access-list 用于创建访问规则. (1)创建标准访问列表 access-list [ ...
- 华为关闭telnet命令_华为3928配置telnet登录的命令
华为3928配置telnet登录的命令 发布时间:2012-05-14 01:40:54 作者:佚名 我要评论 华为3928配置telnet登录的命令,需要的朋友可以参考下 sys local ...
- USG6000V防火墙WEB登录界面超详细配置过程
防火墙在企业中的应用非常广泛,几乎现在每个公司的网络中都会用到防火墙,或多或少做一些安全策略.公司中也一定存在着负责日常维护这些网络设备的工作人员.如果稍微专业一点,可能他们会通过直接敲命令的方式来管 ...
- 华为ensp防火墙ipsec
华为ensp防火墙ips_vpn 1)调试设备IP地址,防火墙有些策略限制会导致即使配置了正确的路由,也不能使得公网通,这就需要我们进行调试设备;一个是关于接口的ping服务是否打开,二是关于安全策略 ...
- 华为USG防火墙及NGFW高可用性的规划与实施详解
华为USG防火墙及NGFW高可用性的规划与实施详解 课程目标: 该课程程为卷B,它紧接卷A所描述的基础内容,开始进入防火墙的高可性的规划与实施,本课程卷B的核心目标是:一.从真正意义上去理解防火墙的双 ...
- 华为关闭telnet命令_华为s5720配置telnet命令详解
华为s5720配置telnet命令详解 以本地PC登录远程的Telnet_Server为例,Telent登录配置如下: 1. 使能服务器功能 system-view [HUAWEI] sysname ...
- 华为eNSP防火墙USG5500基本配置
华为eNSP防火墙USG5500基本配置 实验设备 防火墙采用eNSP自带USG5500,不需要导入操作系统:eNSP同时提供防火墙USG6000,它不能打开,提示需要导入防火墙系统.交换机采用的是5 ...
最新文章
- 极速理解设计模式系列【目录索引】
- JZOJ__Day 1:【NOIP普及模拟】JABUKE
- mysql 开启守护进程_[求助]Linux上MySQL Server 5.6 安装后无法启动守护进程
- SAP CDS view里将Date和time连接成timestamp的函数
- Django05: 请求生命周期流程图/路由层
- 通过SQL Server 2008 访问Oracle 10g
- 676. 实现一个魔法字典
- Windows用WinDbg分析蓝屏dump文件查找原因(转)
- 物联网打工人必备:LiteOS Studio图形化调测能力
- java locale中文_locale错误导致Java中文乱码错误的总结
- 算法:深拷贝链表,其中链表有个随机指向的指针Copy List with Random Pointer
- Java编程练习题2
- 基于仿真软件multisim14的多路抢答器电路设计
- python webdriver脚本例子_python-webdriver 开始第一个脚本
- 计算机语言output,output是什么意思
- cf为什么一直连接服务器失败,为什么cf连接服务器失败的解决方法
- 《Qt5:键盘事件》
- 操作系统安全配置操作
- Pytorch+PyG实现GraphConv
- C#与虚拟器 测试测量行业重磅推荐 SeeSharp Tools 介绍 - 1