华为eNSP防火墙USG5500基本配置

华为eNSP防火墙USG5500基本配置

实验设备

防火墙采用eNSP自带USG5500，不需要导入操作系统；eNSP同时提供防火墙USG6000，它不能打开，提示需要导入防火墙系统。交换机采用的是5700，交换机上创建了3个VLan，Vlan5用来连接防火墙，Vlan10是PC13所在的网络，Vlan20是PC14所在的网络。

实验拓扑

图 1 实验拓扑

三、实验步骤

交换机上的配置

sys

vlan batch 10 20 5

int g 0/0/2

port link-type access

port default vlan 10

int g 0/0/3

p l access

p default vlan 20

int g 0/0/4

p l access

p default vlan 5

int vlan 10

ip add 192.168.1.1 24

undo shut

int vlan 20

ip add 192.168.2.1 24

undo shut

int vlan 5

ip add 192.168.5.1 24

quit

2. 配置各个PC的地址和网关，采用静态地址。

3. 配置防火墙端口地址，并定义Trust、DMZ、Untrust区域，把接口分配到三个不同的区域，需注意Local区域没有定义，但是代表防火墙本身，192.168.0.1是防火墙自带的管理地址，192.168.5.1、192.168.6.1、192.168.7.1都是防火墙Local内的地址。

*** fhq ***

system-view

interface GigabitEthernet0/0/1

ip address 192.168.5.2 255.255.255.0

undo shut

interface GigabitEthernet0/0/3

ip address 192.168.6.1 255.255.255.0

undo shut

interface GigabitEthernet0/0/2

ip address 192.168.7.1 255.255.255.0

undo shut

firewall zone untrust

add int gi 0/0/3

quit

firewall zone trust

add int gi 0/0/1

add int gi 0/0/0

quit

firewall zone dmz

add int gi 0/0/2

quit

ip route-static 192.168.0.0 16 192.168.5.1 配置防火墙到内部trust区域的静态路由

4. 三层交换机上静态路由配置

ip route-static 0.0.0.0 0.0.0.0 192.168.5.2

5. 测试

1）从三层交换机出发，192.168.5.2连通，192.168.6.1连通，192.168.7.1连通，但是192.168.6.11不能连通，192.168.7.11不能连通。

2）从PC13出发，进行ping测试，结果跟三层交换机相同，192.168.5.2连通，192.168.6.1连通，192.168.7.1连通，但是192.168.6.11不能连通，192.168.7.11不能连通。

图 2 从三层交换机进行ping测试，防火墙通，PC15不通

图 3 从PC13进行ping测试，防火墙通，PC15不通

3）从防火墙出发，进行ping测试，三个本地的地址都能连通，192.168.5.1连通，192.168.6.1连通，192.168.7.1连通；防火墙也能到达三个PC，192.168.1.11能连通，192.168.7.11能连通，192.168.6.11也能连通。

4）从dmz内部主机出发，发现PC15无法连通自己网关，也就是防火墙的192.168.7.1地址不能连通。

5）从untrust内部主机出发，发现PC16无法连通自己网关，也就是防火墙的192.168.6.1地址不能连通。

图 4 从防火墙进行ping测试，PC13、PC15、PC16都能连通

图 5 PC16不能连通自己的网关

图 6 PC15不能连通自己的网关

6. 查询防火墙配置文件，使用命令dis cu，找到数据包过滤部分的配置，local到trust区域的数据包允许进也允许出，所以防火墙-PC13、防火墙-PC14之间彼此都能ping通。防火墙到dmz区域的报文，只允许出，防火墙-PC15的报文能发出，但是PC15-防火墙的报文，不允许进，防火墙收不到，所以PC15ping 192.168.7.1不能连通。同理PC16 ping 防火墙的报文，也不允许进，防火墙不能收到，所以也不能连通。

图 7 防火墙自带策略

7. 修改防火墙的策略，使得DMZ区域的主机能进行ping测试。防火墙上添加1个策略，允许local-dmz之间的报文进入。

图 8 填加新策略，允许dmz区域的报文进行到local区域

8．再次进行测试

1）PC15能连通防火墙了，PC15-PC13不能连通，也是说dmz不能连通trust区域；但是PC16在untrust区域，还是不能连通防火墙，因为没有添加untrust到local的策略。

图 9 填加新策略，允许dmz区域的报文进行到local区域

2）trust主机到 dmz区域没有配置策略，PC13还是不能ping通PC15，PC13-PC15不能连通.

图 10 PC13不能连通PC15

9．防火墙继续添加策略，使得trust到dmz能互相进行ping测试，分两步进行。

1） policy interzone trust dmz inbound *允许dmz内的主机访问trust区域

policy 0

action permit

结果PC15-PC13能连通，但是PC13-PC15不能连通。

图 11 PC15-PC13能连通，但是PC13-PC15不能连通

2）policy interzone trust dmz outbound *允许trust区域访问dmz内的主机

policy 0

action permit

结果PC13-PC15能ping通了。

图 12 PC15-PC13能连通， PC13-PC15也能连通

华为eNSP防火墙USG5500基本配置相关推荐

华为ensp防火墙web登陆配置
步骤一导入usg防火墙设备包:自行从官网下载相应的设备包,并在ensp第一次安装过后,拖动usg系列防火墙到画布上,双击后即会自动弹出导入设备包选项. 步骤二启动usg防火墙,若是一直弹出#号,请 ...
华为ensp防火墙nat64案例配置
不得不说csdn中关于nat64的案例配置没有几个详细,要么照抄,要么搬运~ 今天也敲个做了一单nat64的小实验,实话实说这种需求的题平时遇见的也少,今天跟大家详细的分析以下. 场景很简单,黄色区域 ...
华为ensp 防火墙的基础配置
拓扑图: [FW3-zone-isp1]set priority 12 #配置防火墙优先级步骤一 #首先进入防火墙需要输入默认账号和密码,必须修改密码. [USG6000V1] undo in en ...
华为ensp防火墙WEB界面配置。
#登录一下,默认账户是admin,密码是Admin@123,登录以后需要修改密码. #进入接口以后会有一个默认的管理IP,需要重新给它配置一个IP. #配置IP. #配置允许任意服务. #端口号为84 ...
华为ensp防火墙ipsec
华为ensp防火墙ips_vpn 1)调试设备IP地址,防火墙有些策略限制会导致即使配置了正确的路由,也不能使得公网通,这就需要我们进行调试设备;一个是关于接口的ping服务是否打开,二是关于安全策略 ...
华为ensp，DHCP中继配置
这里是引用提示:大家可以去华为官网查看产品文档进行配置华为ensp,DHCP中继配置一.DHCP中继简单解释二.access.trunk.vlanif接收发送规则三.ensp实验拓扑总结 ...
华为eNSP生成树基础实验配置
目录一.原理概述二.实验目的三.实验拓扑四.实验步骤一.原理概述 STP(Spanning Tree Protocol)是生成树协议的英文缩写,可应用于计算机网络中树形拓扑结构建立,主要作用 ...
华为防火墙USG5500的配置方法
防火墙基本配置什么是防火墙? 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1793年发明并引入国际互连网(US5606668(A)1793-12-15 ...
华为eNSP防火墙NAT配置
NAT技术的基本原理 NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过少量的公网IP地址来访问公网. NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过 ...

华为eNSP防火墙USG5500基本配置

华为eNSP防火墙USG5500基本配置相关推荐

最新文章

热门文章