华为防火墙 DMZ 设置

DMZ 是英文"Demilitarized Zone"的缩写,中文名称为"隔离区"

它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个位于内部网络与外部网络之间的缓冲区,在这个网络区域内可以放置一些公开的服务器资源。

例如FTP服务器、E-Mail服务器及网站服务器等允许外部用户访问这些服务器,但不可能接触到存放在内网中的信息,就算黑客入侵DMZ服务器,也不会影响到公司内部网络安全,不允许任何外部网络的直接访问,实现内外网分离,在企业的信息安全防护加了一道屏障。

环境:

虚拟机2台:Windows10,Windows Server 2012 R2

外网IP3个: 192.168.137.11,192.168.137.12,192.168.137.13

实现的功能:

1、内网客户端和DMZ服务器可以上网

2、内网可以访问DMZ服务器,但是DMZ服务器不能访问内网

3、外网可以远程桌面DMZ服务器

拓扑图如下:

一、外网 

1、配置外网IP

<Huawei>sys
[Huawei]sys R1
[FW1]un in en

# 开启 DHCP
[FW1]dhcp enable

# 配置三个外网
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip addr 192.168.137.10 24
[FW1-GigabitEthernet1/0/0]ip addr 192.168.137.11 24 sub
[FW1-GigabitEthernet1/0/0]ip addr 192.168.137.12 24 sub
[FW1-GigabitEthernet1/0/0]service-manage all permit
[FW1-GigabitEthernet1/0/0]quit

# 配置外网区域
[FW1]firewall zone untrust
[FW1-zone-untrust]add int g1/0/0
[FW1-zone-untrust]quit

2、安全策略

# 安全策略
[FW1]security-policy
[FW1-policy-security]rule name "untrust to local"
[FW1-policy-security-rule-untrust to local]source-zone untrust
[FW1-policy-security-rule-untrust to local]destination-zone local
[FW1-policy-security-rule-untrust to local]action permit

[FW1-policy-security-rule-untrust to local]rule name "local to untrust"
[FW1-policy-security-rule-local to untrust]source-zone local
[FW1-policy-security-rule-local to untrust]destination-zone untrust
[FW1-policy-security-rule-local to untrust]action permit

[FW1-policy-security-rule-local to untrust]rule name "trust to untrust"
[FW1-policy-security-rule-trust to untrust]source-zone trust
[FW1-policy-security-rule-trust to untrust]destination-zone untrust
[FW1-policy-security-rule-trust to untrust]source-address address-set 192.168.100.*
[FW1-policy-security-rule-trust to untrust]action permit
[FW1-policy-security-rule-trust to untrust]quit
二、内网 

1、配置内网IP

# 配置内网
[FW1-policy-security]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip addr 192.168.100.254 24
[FW1-GigabitEthernet1/0/1]dhcp select int
[FW1-GigabitEthernet1/0/1]dhcp server dns-list 114.114.114.114
[FW1-GigabitEthernet1/0/1]service-manage ping permit
[FW1-GigabitEthernet1/0/1]quit

# 配置内网区域
[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/1
[FW1-zone-trust]quit

# 配置地址列表
[FW1]ip address-set 192.168.100.* type object
[FW1-object-address-set-192.168.100.*]address 0 192.168.100.0 mask 24
[FW1-object-address-set-192.168.100.*]quit

# 配置Nat策略实现上网
[FW1]nat-policy
[FW1-policy-nat]rule name "snat 1"
[FW1-policy-nat-rule-snat 1]source-zone trust
[FW1-policy-nat-rule-snat 1]egress-interface GigabitEthernet1/0/0
[FW1-policy-nat-rule-snat 1]action source-nat easy-ip
[FW1-policy-nat-rule-snat 1]quit

2、配置路由和DNS

# 设置静态路由
[FW1-policy-nat]ip route-static 0.0.0.0 0.0.0.0 192.168.137.1

# 防火墙配置 DNS
[FW1]dns resolve
[FW1]dns server 114.114.114.114
三、DMZ 

1、配置DMZ区域IP

# 配置DMZ
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip addr 192.168.200.254 24
[FW1-GigabitEthernet1/0/2]dhcp select int
[FW1-GigabitEthernet1/0/2]dhcp server dns-list 114.114.114.114
[FW1-GigabitEthernet1/0/2]service-manage ping permit
[FW1-GigabitEthernet1/0/2]quit

# 配置DMZ区域
[FW1]firewall zone dmz
[FW1-zone-dmz]add int g1/0/2
[FW1-zone-dmz]quit

# 配置地址列表
[FW1]ip address-set 192.168.200.* type object
[FW1-object-address-set-192.168.200.*]address 0 192.168.200.0 mask 24
[FW1-object-address-set-192.168.200.*]quit

2、配置安全策略 

# 安全策略
[FW1]security-policy
[FW1-policy-security]rule name "dmz to untrust"
[FW1-policy-security-rule-dmz to untrust]source-zone dmz
[FW1-policy-security-rule-dmz to untrust]destination-zone untrust
[FW1-policy-security-rule-dmz to untrust]source-address address-set 192.168.200.*
[FW1-policy-security-rule-dmz to untrust]action permit

[FW1-policy-security-rule-dmz to untrust]rule name "untrust to dmz"
[FW1-policy-security-rule-untrust to dmz]source-zone untrust
[FW1-policy-security-rule-untrust to dmz]destination-zone dmz
[FW1-policy-security-rule-untrust to dmz]destination-address address-set 192.168.200.*
[FW1-policy-security-rule-untrust to dmz]action permit

[FW1-policy-security-rule-untrust to dmz]rule name "trust to dmz"
[FW1-policy-security-rule-trust to dmz]source-zone trust
[FW1-policy-security-rule-trust to dmz]destination-zone dmz
[FW1-policy-security-rule-trust to dmz]source-address address-set 192.168.100.*
[FW1-policy-security-rule-trust to dmz]destination-address address-set 192.168.200.*
[FW1-policy-security-rule-trust to dmz]action permit
[FW1-policy-security-rule-trust to dmz]quit

3、配置NAT策略

# nat策略 实现上网
[FW1-policy-security]nat-policy
[FW1-policy-nat]rule name "snat 2"
[FW1-policy-nat-rule-snat 2]source-zone dmz
[FW1-policy-nat-rule-snat 2]egress-interface GigabitEthernet1/0/0
[FW1-policy-nat-rule-snat 2]action source-nat easy-ip

# nat策略 实现目标端口转换
[FW1-policy-nat-rule-snat 2]rule name "dnat 1"
[FW1-policy-nat-rule-dnat 1]source-zone untrust
[FW1-policy-nat-rule-dnat 1]destination-address 192.168.137.11 mask 255.255.255.255
[FW1-policy-nat-rule-dnat 1]service protocol tcp source-port 0 to 65535 destination-port 33389
[FW1-policy-nat-rule-dnat 1]action destination-nat static port-to-port address 192.168.200.2 3389
[FW1-policy-nat-rule-dnat 1]quit
四、验证 

1、客户端上网

2、服务器上网 

3、内网可以访问DMZ

4、DMZ 不能访问 内网

4、验证目的端口转换

当我们访问 192.168.137.11 33389 端口时,已成功转到换 Win2012 这台服务器的 3389 端口上面

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/171421.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

半导体电学特性IV+CV测试系统—1200V半导体参数分析仪

半导体电学特性IV+CV测试系统—1200V半导体参数分析仪

概述&#xff1a; SPA-6100半导体参数分析仪是武汉普赛斯自主研发、精益打造的一款半导体电学特性测试系统&#xff0c;具有高精度、宽测量范围、快速灵活、兼容性强等优势。产品可以同时支持DC电流-电压(I-V)、电容-电压(C-V)以及高流高压下脉冲式I-V特性的测试&#xff0c;旨…
阅读更多...
asp.net勤工助学管理系统VS开发sqlserver数据库web结构c#编程计算机网页项目

asp.net勤工助学管理系统VS开发sqlserver数据库web结构c#编程计算机网页项目

一、源码特点 asp.net 勤工助学管理系统 是一套完善的web设计管理系统&#xff0c;系统具有完整的源代码和数据库&#xff0c;系统主要采用B/S模式开发。 系统运行视频 https://www.bilibili.com/video/BV1Sz4y1F7GP/ 二、功能介绍 本系统使用Microsoft Visual Studio…
阅读更多...
使用遗传算法优化的BP神经网络实现自变量降维

使用遗传算法优化的BP神经网络实现自变量降维

大家好&#xff0c;我是带我去滑雪&#xff01; 在现实生活中&#xff0c;实际问题很难用线性模型进行描述。神经网络的出现大大降低了模型建立的难度和工作量。只需要将神经网络当作一个黑箱子&#xff0c;根据输入和输出数据&#xff0c;神经网络依据相关的学习规则&#xff…
阅读更多...
MAX/MSP SDK学习03:Atoms and Messages的使用

MAX/MSP SDK学习03:Atoms and Messages的使用

今天终于把Message消息选择器看得有点头绪了&#xff0c;主要是这个官方英文文档理解起来有点抽象。 编写IsMatchABC自定义Object&#xff0c;要求&#xff1a; ①若左入口&#xff08;入口0&#xff09;收到 "int" 型消息&#xff0c;则从出口发送数值 "888&q…
阅读更多...
在ITSM中,实施变更管理的重要因素!

在ITSM中,实施变更管理的重要因素!

在ITSM管理中&#xff0c;变更管理是不可或缺的一步。在当今快速变革的商业环境中&#xff0c;组织需要不断地进行变更以适应市场的需求和竞争的压力。 然而&#xff0c;引入变更并成功地实施变更并不容易。变更管理是一种系统化和结构化的方法&#xff0c;旨在确保变更顺利进…
阅读更多...
用二维码进行人员管理,人员信息一目了然

用二维码进行人员管理,人员信息一目了然

对于人员实名管理、来访登记、安全教育等需求&#xff0c;可以在草料二维码上搭建人员信息管理系统。除了扫码查看个人信息、身份证件、资格证书、劳务合同等人员档案&#xff0c;还可以组合表单、状态等功能组件&#xff0c;在二维码上展示证件状态&#xff0c;更新人员的奖惩…
阅读更多...
Python量化--诺贝尔奖获得者布莱克-斯科尔斯期权定价公式在日间交易中的应用

Python量化--诺贝尔奖获得者布莱克-斯科尔斯期权定价公式在日间交易中的应用

“我们不能让你在不了解一点期权定价基础知识的情况下离开麻省理工学院,”Andrew Lo 教授在麻省理工学院的 15.401 金融理论课上对学生们说道。虽然我还不是麻省理工学院的学生,但这句话给了我一个直觉:期权定价一定极其重要。由于像麻省理工学院毕业生这样的精英金融人士都…
阅读更多...
计算机网络的OSI七层模型

计算机网络的OSI七层模型

目录 1、OSI七层模型是什么 1.1 物理层&#xff08;Physical Layer&#xff09; 1.2 数据链路层&#xff08;Data Link Layer&#xff09; 1.3 网络层&#xff08;Network Layer&#xff09; 1.4 传输层&#xff08;Transport Layer&#xff09; 1.5 会话层&#xff08;S…
阅读更多...
SecureCRT -- 使用说明

SecureCRT -- 使用说明

【概念解释】什么是SSH&#xff1f; SSH的英文全称是Secure Shell 传统的网络服务程序&#xff0c;如&#xff1a;ftp和telnet在本质上都是不安全的&#xff0c;因为它们在网络上用明文传送口令和数据&#xff0c;别有用心的人非常容易就可以截获这些口令和数据。而通过使用SS…
阅读更多...
人工智能基础_机器学习045_逻辑回归的梯度下降公式推导_更新公式---人工智能工作笔记0085

人工智能基础_机器学习045_逻辑回归的梯度下降公式推导_更新公式---人工智能工作笔记0085

然后我们上面有了逻辑回归的损失函数,以后,我们再来看 逻辑回归的梯度下降公式 可以看到上面是逻辑回归的梯度下降公式,这里的阿尔法是学习率,这里的 后面的部分是梯度也就是步长,这个阿尔法是,通过调节这个来控制梯度下降的快和慢对吧 然后我们再来看逻辑回归 可以看到这里…
阅读更多...
武汉凯迪正大—盐雾试验机

武汉凯迪正大—盐雾试验机

产品概述 武汉凯迪正大KDYD-YW盐雾试验箱乃针对各种材质表面处理&#xff0c;包含涂料、电镀、有机及无机皮膜&#xff0c;阳极处理&#xff0c;防锈油等防腐处理后测试其耐腐蚀性&#xff0c;从而确立产品的质量。 产品特点 1、结构紧凑&#xff0c;体积小、携带方便&#…
阅读更多...
零基础想系统地学习金融学、量化投资、数据分析、python,需要哪些课程、书籍?有哪些证书可以考?

零基础想系统地学习金融学、量化投资、数据分析、python,需要哪些课程、书籍?有哪些证书可以考?

曾经我也是零基础小白&#xff0c;题主想走的路&#xff0c;我已经走过啦&#xff5e;作为一名CFA持证人和管理因子投资的量化策略的投资组合经理&#xff0c;我把这些年积累的干货跟大家分享。 量化投资是金融学的一部分&#xff0c;量化投资&#xff08;跟量化交易的概念有部…
阅读更多...
SQL常见函数整理 —— LAG() 向上偏移

SQL常见函数整理 —— LAG() 向上偏移

1. 用法 窗口函数&#xff0c;用于访问窗口中当前行之前的行的数据。该函数可以根据需要计算当前行之前的值&#xff0c;使我们能够轻松地比较不同行之间的差异和变化。 2. 基本语法 LAG(column, offset, default_value) OVER (ORDER BY column)column&#xff1a;代表在返回…
阅读更多...
鸿蒙原生应用/元服务开发-AGC分发如何配置版本信息(上)

鸿蒙原生应用/元服务开发-AGC分发如何配置版本信息(上)

1.配置HarmonyOS应用的“发布国家或地区”。 2.设置是否为开放式测试版本。 注意&#xff1a;HarmonyOS应用开放式测试当前仅支持手机、平板、智能手表。如开发者想发布为开放式测试版本&#xff0c;选择“是”。正式发布的版本请选择“否”。 3.在“软件版本”下点击“软件包…
阅读更多...
获取1688店铺所有商品、店铺列表api

获取1688店铺所有商品、店铺列表api

返回数据格式&#xff1a; 请求链接 {"user": [],"items": {"item": [{"num_iid": "738354436678","title": "国产正品i13 promax全网通5G安卓智能手机源头厂家批发手机","pic_url": "…
阅读更多...
c语言:十进制转任意进制

c语言:十进制转任意进制

思路&#xff1a;如十进制转二进制 就是不断除二求余在除二求余&#xff0c;然后将余数从下到写出来&#xff0c;这样&#xff0c;10011100就是156的二进制 这里举例一个六进制的代码&#xff1a; #define _CRT_SECURE_NO_WARNINGS #include<stdio.h>int main() {int …
阅读更多...
uniapp+vue3使用pinia,安卓端报错白屏

uniapp+vue3使用pinia,安卓端报错白屏

报错内容&#xff1a; reportJSException >>>> exception function:createInstanceContext, exception:white screen cause create instanceContext failed,check js stack ->at useStore2 (app-service.js:1487:15)at (app-service.js:1714:17)at (app-serv…
阅读更多...
电压放大器实验可以研究哪些领域

电压放大器实验可以研究哪些领域

电压放大器是一种电子电路&#xff0c;能够对输入信号进行放大&#xff0c;使得输出信号具有更大的幅度。在实验中&#xff0c;电压放大器可以应用于许多领域&#xff0c;从电子学到通信领域&#xff0c;都能够进行研究与实践。 在电子学领域&#xff0c;电压放大器实验可以用于…
阅读更多...
【Redis使用】一年多来redis使用笔记md文档,第(2)篇:命令和数据库操作

【Redis使用】一年多来redis使用笔记md文档,第(2)篇:命令和数据库操作

Redis 是一个高性能的key-value数据库。本文会让你知道&#xff1a;什么是 nosql、Redis 的特点、如何修改常用Redis配置、写出Redis中string类型数据的增删改查操作命令、写出Redis中hash类型数据的增删改查相关命令、说出Redis中 list 保存的数据类型、使用StrictRedis对象对…
阅读更多...
Redis7--基础篇3(持久化)

Redis7--基础篇3(持久化)

持久化介绍 官网地址&#xff1a; https://redis.io/docs/manual/persistence RDB(Redis DataBase)AOF(Append Only File)RDB AOF RDB模式(Redis DataBase) RDB 持久性以指定的时间间隔执行数据集的时间点快照。 实现类似照片记录效果的方式&#xff0c;就是把某一时刻的数据…
阅读更多...
最新文章

Copyright @ 2022~2023