华为eNSP防火墙USG5500基本配置
华为eNSP防火墙USG5500基本配置
- 实验设备
防火墙采用eNSP自带USG5500,不需要导入操作系统;eNSP同时提供防火墙USG6000,它不能打开,提示需要导入防火墙系统。交换机采用的是5700,交换机上创建了3个VLan,Vlan5用来连接防火墙,Vlan10是PC13所在的网络,Vlan20是PC14所在的网络。
- 实验拓扑
图 1 实验拓扑
三、实验步骤
- 交换机上的配置
sys
vlan batch 10 20 5
int g 0/0/2
port link-type access
port default vlan 10
int g 0/0/3
p l access
p default vlan 20
int g 0/0/4
p l access
p default vlan 5
int vlan 10
ip add 192.168.1.1 24
undo shut
int vlan 20
ip add 192.168.2.1 24
undo shut
int vlan 5
ip add 192.168.5.1 24
quit
2. 配置各个PC的地址和网关,采用静态地址。
3. 配置防火墙端口地址,并定义Trust、DMZ、Untrust区域,把接口分配到三个不同的区域,需注意Local区域没有定义,但是代表防火墙本身,192.168.0.1是防火墙自带的管理地址,192.168.5.1、192.168.6.1、192.168.7.1都是防火墙Local内的地址。
*** fhq ***
system-view
interface GigabitEthernet0/0/1
ip address 192.168.5.2 255.255.255.0
undo shut
interface GigabitEthernet0/0/3
ip address 192.168.6.1 255.255.255.0
undo shut
interface GigabitEthernet0/0/2
ip address 192.168.7.1 255.255.255.0
undo shut
firewall zone untrust
add int gi 0/0/3
quit
firewall zone trust
add int gi 0/0/1
add int gi 0/0/0
quit
firewall zone dmz
add int gi 0/0/2
quit
ip route-static 192.168.0.0 16 192.168.5.1 配置防火墙到内部trust区域的静态路由
4. 三层交换机上静态路由配置
ip route-static 0.0.0.0 0.0.0.0 192.168.5.2
5. 测试
1)从三层交换机出发,192.168.5.2连通,192.168.6.1连通,192.168.7.1连通,但是192.168.6.11不能连通,192.168.7.11不能连通。
2)从PC13出发,进行ping测试,结果跟三层交换机相同,192.168.5.2连通,192.168.6.1连通,192.168.7.1连通,但是192.168.6.11不能连通,192.168.7.11不能连通。
图 2 从三层交换机进行ping测试,防火墙通,PC15不通
图 3 从PC13进行ping测试,防火墙通,PC15不通
3)从防火墙出发,进行ping测试,三个本地的地址都能连通,192.168.5.1连通,192.168.6.1连通,192.168.7.1连通;防火墙也能到达三个PC,192.168.1.11能连通,192.168.7.11能连通,192.168.6.11也能连通。
4)从dmz内部主机出发,发现PC15无法连通自己网关,也就是防火墙的192.168.7.1地址不能连通。
5)从untrust内部主机出发,发现PC16无法连通自己网关,也就是防火墙的192.168.6.1地址不能连通。
图 4 从防火墙进行ping测试,PC13、PC15、PC16都能连通
图 5 PC16不能连通自己的网关
图 6 PC15不能连通自己的网关
6. 查询防火墙配置文件,使用命令dis cu,找到数据包过滤部分的配置,local到trust区域的数据包允许进也允许出,所以防火墙-PC13、防火墙-PC14之间彼此都能ping通。防火墙到dmz区域的报文,只允许出,防火墙-PC15的报文能发出,但是PC15-防火墙的报文,不允许进,防火墙收不到,所以PC15ping 192.168.7.1不能连通。同理PC16 ping 防火墙的报文,也不允许进,防火墙不能收到,所以也不能连通。
图 7 防火墙自带策略
7. 修改防火墙的策略,使得DMZ区域的主机能进行ping测试。防火墙上添加1个策略,允许local-dmz之间的报文进入。
图 8 填加新策略,允许dmz区域的报文进行到local区域
8.再次进行测试
1)PC15能连通防火墙了,PC15-PC13不能连通,也是说dmz不能连通trust区域;但是PC16在untrust区域,还是不能连通防火墙,因为没有添加untrust到local的策略。
图 9 填加新策略,允许dmz区域的报文进行到local区域
2)trust主机 到 dmz区域没有配置策略,PC13还是不能ping通PC15,PC13-PC15不能连通.
图 10 PC13不能连通PC15
9.防火墙继续添加策略,使得trust到dmz能互相进行ping测试,分两步进行。
1) policy interzone trust dmz inbound *允许dmz内的主机访问trust区域
policy 0
action permit
结果PC15-PC13能连通,但是PC13-PC15不能连通。
图 11 PC15-PC13能连通,但是PC13-PC15不能连通
2)policy interzone trust dmz outbound *允许trust区域访问dmz内的主机
policy 0
action permit
结果PC13-PC15能ping通了。
图 12 PC15-PC13能连通, PC13-PC15也能连通
华为eNSP防火墙USG5500基本配置相关推荐
- 华为ensp防火墙web登陆配置
步骤一 导入usg防火墙设备包:自行从官网下载相应的设备包,并在ensp第一次安装过后,拖动usg系列防火墙到画布上,双击后即会自动弹出导入设备包选项. 步骤二 启动usg防火墙,若是一直弹出#号,请 ...
- 华为ensp防火墙nat64案例配置
不得不说csdn中关于nat64的案例配置没有几个详细,要么照抄,要么搬运~ 今天也敲个做了一单nat64的小实验,实话实说这种需求的题平时遇见的也少,今天跟大家详细的分析以下. 场景很简单,黄色区域 ...
- 华为ensp 防火墙的基础配置
拓扑图: [FW3-zone-isp1]set priority 12 #配置防火墙优先级 步骤一 #首先进入防火墙需要输入默认账号和密码,必须修改密码. [USG6000V1] undo in en ...
- 华为ensp防火墙WEB界面配置。
#登录一下,默认账户是admin,密码是Admin@123,登录以后需要修改密码. #进入接口以后会有一个默认的管理IP,需要重新给它配置一个IP. #配置IP. #配置允许任意服务. #端口号为84 ...
- 华为ensp防火墙ipsec
华为ensp防火墙ips_vpn 1)调试设备IP地址,防火墙有些策略限制会导致即使配置了正确的路由,也不能使得公网通,这就需要我们进行调试设备;一个是关于接口的ping服务是否打开,二是关于安全策略 ...
- 华为ensp,DHCP中继配置
这里是引用 提示:大家可以去华为官网查看产品文档进行配置 华为ensp,DHCP中继配置 一.DHCP中继简单解释 二.access.trunk.vlanif接收发送规则 三.ensp实验拓扑 总结 ...
- 华为eNSP生成树基础实验配置
目录 一.原理概述 二.实验目的 三.实验拓扑 四.实验步骤 一.原理概述 STP(Spanning Tree Protocol)是生成树协议的英文缩写,可应用于计算机网络中树形拓扑结构建立,主要作用 ...
- 华为防火墙USG5500的配置方法
防火墙基本配置 什么是防火墙? 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1793年发明并引入国际互连网(US5606668(A)1793-12-15 ...
- 华为eNSP防火墙NAT配置
NAT技术的基本原理 NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过少量的公网IP地址来访问公网. NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过 ...
最新文章
- xman的思维导图快捷键_Xmind:ZEN思维导图有哪些使用技巧,最实用的快捷键是什么?...
- oracle12 官网文档,Oracle 21c 官方文档 发布了
- 手把手教你写一个Java的orm框架(4)
- 防雷检测仪器设备清单 万佳防雷检测机构 一类建筑物避雷验收
- 默认HotSpot最大直接内存大小
- weigm怎么下载_彩七官网下载地址|官网
- Python机器学习:SVM008SVM思想解决回归问题
- Oracle Data Guard (RAC+DG) 归档删除策略及脚本
- 在线画板_在线画画_在线画图工具-速写板
- Qt 根据PCM获取分贝 并自动调节电脑音量
- 精细化运营:RFM模型在手游付费用户分群中的优化与应用
- 制作U盘安装XP系统
- Android遥控器开发
- EDA软件_Cadence_Allegro 16.6焊盘制作
- Arthas——热替换
- 初识Postman工具
- recon-ng模块安装与基本使用(国内环境)
- 正则表达式转NFA,DFA,最小化DFA
- java打桩_使用JUnit4与JMockit进行打桩测试
- Python编程之求数列20项和