以下通过防火墙的不同区域间的策略来了解防火墙的工作原理,

路由器和防火墙之间最大的不同之处就是防火墙接口下是有区域的,而路由器接口之间是平价的,防火墙根据不同的区域分配不同的安全等级实现隔离控制。

实验拓扑图

由于防火墙下的PC为直连,所以这里不做路由。

需求:

1.内网(trust)可以访问外网(untrust)

2.内网(trust)可以访问服务器(dmz)

3.外网(untrust)可以访问服务器(dmz)

开机之后我们查看以下华为防火墙USG5500的缺省区域

分配地址

[SRG]interface GigabitEthernet 0/0/1
[SRG-GigabitEthernet0/0/1]ip address 144.144.144.254 24
[SRG-GigabitEthernet0/0/1]int gi0/0/0
[SRG-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[SRG-GigabitEthernet0/0/0]int gi0/0/2
[SRG-GigabitEthernet0/0/2]ip ad 8.8.8.254 24

然后PC之间指定网关

接口分配区域

[SRG]firewall zone trust
[SRG-zone-trust]add interface GigabitEthernet 0/0/0
[SRG-zone-trust]q
[SRG]firewall zone dmz
[SRG-zone-dmz]add interface GigabitEthernet 0/0/1
[SRG-zone-dmz]q
[SRG]firewall zone untrust
[SRG-zone-untrust]add  interface GigabitEthernet 0/0/2
[SRG-zone-untrust]q

把接口分配到不同的区域

区域间策略

根据区域间流量走向下发策略

区域间流量走向

等级高到低为出(outbound),低到高为入(Inbound)。

配置

要求1:内网(trust)可以访问外网(untrust)

分析:等级从高到低,为出方向(outbound)。

[SRG]policy interzone trust untrust outbound                    #出方向
[SRG-policy-interzone-trust-untrust-outbound]policy 1
[SRG-policy-interzone-trust-untrust-outbound-1]description 192.168.1.0 0.0.0.255  #反掩码
[SRG-policy-interzone-trust-untrust-outbound-1]action permit    #动作

验证

满足要求1。

要求2:内网(trust)可以访问服务器(dmz)

分析:等级从高到低,为出方向(outbound)。

[SRG]policy interzone trust dmz outbound
[SRG-policy-interzone-trust-dmz-outbound]policy 1
[SRG-policy-interzone-trust-dmz-outbound-1]description 192.168.1.0 0.0.0.255
[SRG-policy-interzone-trust-dmz-outbound-1]action permit

验证

满足要求2。

要求3:外网(untrust)可以访问服务器(dmz)

分析:等级从低到高,流量方向为入方向(Inbound)。

[SRG]policy interzone dmz untrust inbound
[SRG-policy-interzone-dmz-untrust-inbound]policy 1
[SRG-policy-interzone-dmz-untrust-inbound-1]description 8.8.8.0 0.0.0.255
[SRG-policy-interzone-dmz-untrust-inbound-1]action permit

验证

满足要求3。

扩展

我们知道防火墙不同区域之间默认是不通,思科防火墙同一区域默认不通的,我验证一下华为的防火墙是不是也是这样的。

首先我把PC1和PC3放进同一区域

 配置

[SRG]firewall zone trust
[SRG-zone-trust]undo add interface GigabitEthernet 0/0/0
[SRG-zone-trust]q
[SRG]firewall zone untrust
[SRG-zone-untrust]add interface GigabitEthernet 0/0/0
[SRG-zone-untrust]display this
13:31:02  2022/05/07
#
firewall zone untrustset priority 5add interface GigabitEthernet0/0/0      #可以看到两个接口已在同一区域add interface GigabitEthernet0/0/2
#
return

然后PC1 ping PC3

PC3 ping PC1

我们看到,华为防火墙同区域间是互通。

华为防火墙总结 

高等级区域-->低等级        默认放行

低等级区域-->高等级        默认禁止

同等级之间                       默认放行

华为防火墙(usg5500)区域间实验相关推荐

  1. 华为防火墙的OSPF配置实验

    华为防火墙的OSPF配置实验 文章目录 华为防火墙的OSPF配置实验 实验需求 步骤一:配置地址 步骤二:配置OSPF 步骤三:配置防火墙策略 步骤四:配置NAT 1)问题描述 2)问题分析 3)解决 ...

  2. 华为防火墙NAT策略原理+实验验证!

    文章目录 前言 一:华为防火墙的NAT分类 1.1:NAT NO-PAT 1.2:NAPT 1.3:出接口地址( Easy-IP) 1.4:NAT Server 1.5:Smart NAT 1.6:三 ...

  3. 华为防火墙安全区域及安全策略配置

    学习目的 掌握防火墙安全区域的配置方法 掌握安全策略配置方法 拓扑图 防火墙区域配置 场景 你是你们公司的网络管理员.公司总部的网络分成了三个区域,包括内部区域(Trust).外部区域(Untrust ...

  4. 华为防火墙安全区域及安全策略配置举例

    场景 你是公司的网络管理员.公司总部的网络分成了三个区域,包括内部区域(Trust).外部区域(Untrust)和服务器区域(DMZ).你设计通过防火墙来实现对数据的控制,确保公司内部网络安全,并通过 ...

  5. 华为防火墙安全区域介绍

    1. 安全区域介绍 防火墙通俗讲是用于控网络之间的隔离,专业讲是用于保护一个安全区域免受另外一个安全区域的网络攻击和入击行为.从防火墙的定义中可以看出防火墙是基于安全区域的,其它厂商(Cisco,Ju ...

  6. #华为 #usg 华为防火墙安全区域的概念

    简介 安全区域(Security Zone),或者简称为区域(Zone),是设备所引入的一个安全概念,大部分的安全策略都基于安全区域实施. 定义 一个安全区域是若干接口所连网络的集合,这些网络中的用户 ...

  7. 华为防火墙USG5500的配置方法

    防火墙基本配置 什么是防火墙? 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1793年发明并引入国际互连网(US5606668(A)1793-12-15 ...

  8. 华为eNSP防火墙USG5500基本配置

    华为eNSP防火墙USG5500基本配置 实验设备 防火墙采用eNSP自带USG5500,不需要导入操作系统:eNSP同时提供防火墙USG6000,它不能打开,提示需要导入防火墙系统.交换机采用的是5 ...

  9. 华为防火墙配置(防火墙NAT)

    目录 前言 一.防火墙NAT概述 1.防火墙NAT策略介绍 2.NAT策略分类 (1)NAT No-PAT (2)NAPT (3)Easy-IP (4)Smart NAT (5)三元组NAT 3.NA ...

最新文章

  1. 仅用2年过渡到自研ARM芯片,苹果的底气从何而来?
  2. java 简单 语言_将简单的表达式语言放入java中
  3. 粤港澳大湾区菜篮子-农业大健康·林裕豪:从玉谋定功能产业
  4. k8s资源控制(污点和容忍)
  5. Go语言集合(Map)
  6. azure mysql sql,UiPath连接Azure Sql Server数据库
  7. oracle mssql 实例,oracle,mysql,SqlServer三种数据库的分页查询的实例
  8. 『号外』 排名进入3000,特致感谢!
  9. SpringBoot项目集成Mybatis Plus(三)分页插件
  10. debian:必须有官方源,难道国内镜像都是僵尸源?
  11. Windows驱动一些概念WDK WDF WDM WDI
  12. 原生JS实现图片爆炸特效
  13. 库存明细帐处理示例(包含结存数).sql
  14. c语言兵器谱,程序员兵器谱——那些男人们梦寐以求的终极键盘
  15. Python零基础速成班-第3讲-Python基础(中),list数组、tuple元组、dict字典、set集合
  16. 电子游戏设计与制作 第一章 计算机游戏概述
  17. 孙宏斌:生意总是有赚有赔,认赌服输(含说明会问答全文)
  18. C++宏定义中的特殊符号
  19. 【Android】ListView、RecyclerView、ScrollView里嵌套ListView 相对优雅的解决方案:NestFullListView
  20. 离职之后的五险一金、档案相关手续办理

热门文章

  1. mysql如何查看事务日记_Mysql事务和Mysql 日志
  2. pyhton的tkinter制作简易口算训练器
  3. 在带有触控 ID 的妙控键盘上无法正常使用触控 ID的解决方法
  4. 图扑软件携数字孪生产品与解决方案亮相高交会
  5. Ford-Fulkerson 标号法求网络最大流
  6. Git的4 个阶段的撤销更改(通俗易懂)
  7. 嵌入式工资为什么比纯软工资低那么多?
  8. ubuntu 黑体_Ubuntu 7.10 黑体解决方案
  9. 发送到谷歌邮箱的邮件在哪找_如何让Google表格为您发送个性化电子邮件
  10. java font 字体加粗_java字体设置,包括大小,颜色,加粗,下划线,对齐,斜体的设置...