华为防火墙技术

防火墙技术综合介绍1

时代的认知:这是一个快鱼吃慢鱼的时代,是技术能够成就梦想是时代。
防火墙的认知:网络安全产品;位于网络的边界(企事业单位的出口位置与ISP运营商进行连接并接入外网(公网的)设备。防火墙第一个要配置的东西是:安全域(local(100)—trust(85)—dmz(50)—untrust(5).
实验拓扑:
fang'h
实验要求:内网能够访问外网(外网不能ping通内网)
实验步骤:
1.基本配置(终端配置IP信息,设备接口配置IP)
在这里插入图片描述
内网PC
在这里插入图片描述

DMZ服务器区
在这里插入图片描述
外网的客户端(远程客户端)
路由器的接口(ISP)
sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys ISP
[ISP]undo in e
Info: Information center is disabled.
[ISP]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip add 64.1.1.2 24
[ISP-GigabitEthernet0/0/1]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 5.5.5.1 24
[ISP-GigabitEthernet0/0/0]
2.配置防火墙
2.1,配置防火墙的接口IP
用户名:admin 密码:Admin@123 新密码:huawei@123
sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo in e
Info: Saving log files…
Info: Information center is disabled.
[USG6000V1]in e
Info: Information center is enabled.
[USG6000V1]undo in e
Info: Saving log files…
Info: Information center is disabled.
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24
[USG6000V1-GigabitEthernet1/0/0]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 172.16.1.254 24
[USG6000V1-GigabitEthernet1/0/1]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip add 64.1.1.1 24
[USG6000V1-GigabitEthernet1/0/2]
2.2 配置安全域
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int g1/0/0
[USG6000V1-zone-trust]q
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add int g1/0/2
[USG6000V1-zone-untrust]q
[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add int g1/0/1
[USG6000V1-zone-dmz]
2.3 配置路由让网络先通
[USG6000V1]ip route-static 5.5.5.0 24 64.1.1.2
2.4 运营商IPS路由上配置一条路由
[ISP]ip route-static 0.0.0.0 0 64.1.1.1
2.5 配置防火墙的安全策略
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name nei-to-loc
[USG6000V1-policy-security]rule name zhl
[USG6000V1-policy-security-rule-zhl]source-zone trust
[USG6000V1-policy-security-rule-zhl]destination-zone untrust
[USG6000V1-policy-security-rule-zhl]action permit
测试一下用PC访问防火墙ping 192.168.1.254是否能通?
在这里插入图片描述
不通的原因是没有解除防火墙上的服务管理规则中禁PING。要求防火墙允许ping。
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit
[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit
再次测试网络连通性

在这里插入图片描述服务器可以ping到防火墙
在这里插入图片描述
内网PC可以访问到防火墙了。
2.5 内网访问远程客户端(不能访问,原因只剩下一个就是私有IP不能够直接上公网)需要配置NAT地址转换,使用easy-IP,就是内网的地址全部转换为防火墙公网的出口地址。
[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name zhang
[USG6000V1-policy-nat-rule-zhang]source-zone trust
[USG6000V1-policy-nat-rule-zhang]destination-zone untrust
[USG6000V1-policy-nat-rule-zhang]action source-nat easy-ip
[USG6000V1-policy-nat-rule-zhang]

服务器能否ping通防火墙?(答案是可以)
在这里插入图片描述
PC1能否PING通服务器?
在这里插入图片描述

既然PC无法访问服务器,看看是否可以访问防火墙的服务器接口

在这里插入图片描述

小结:PC可以访问防火墙与服务器的接口,服务器可以和防火墙的服务器接口通信,但是就是没法和PC通信。(如果服务器被骑劫,通过服务器攻击内网,你该如何处理)

如何让PC可以访问到服务器:
sys
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name yzf
[USG6000V1-policy-security-rule-yzf]source-zone trust
[USG6000V1-policy-security-rule-yzf]destination-zone dmz
[USG6000V1-policy-security-rule-yzf]action permit
[USG6000V1-policy-security-rule-yzf]
测试预期是,PC可以访问服务器,但是服务器不能访问PC
在这里插入图片描述在这里插入图片描述

总结:服务器的三个安全域,设置不同的安全策略就能实现管理的价值。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/704763.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

MySQL(5)

聚合函数 GROUP BY 的使用 需求:查询各个部门的平均工资,最高工资SELECT department_id,AVG(salary),SUM(salary)FROM employeesGROUP BY department_id;需求:查询各个job_id的平均工资SELECT job_id,AVG(salary)FROM employeesGROUP BY jo…

rocketmq-5.1.2的dleger高可用集群部署

1、背景 原先为5.0.0版本,因检查出有漏洞,升级到5.1.2版本。 【Rocketmq是阿里巴巴在2012年开发的分布式消息中间件,专为万亿级超大规模的消息处理而设计,具有高吞吐量、低延迟、海量堆积、顺序收发等特点。在一定条件下&#xf…

牧原发布年度低碳报告,看行业“一哥”如何数字化减碳!

此前,牧原信息化负责人何秋梅在接受绿研院的专题访谈时提到:“在销售、采购等业务上,都涉及到大量的合同和文件,传统的纸质合同保存和管理繁琐,需要档案柜存储,且成本高昂。使用电子签不仅节省了打印、盖章…

优雅迷人的小程序 UI 风格

优雅迷人的小程序 UI 风格

什么是DMZ?路由器上如何使用DMZ?

文章目录 📖 介绍 📖🏡 演示环境 🏡📒 DMZ 📒🚀 DMZ的应用场景💡 路由器设置DMZ🎈 注意事项 🎈⚓️ 相关链接 ⚓️📖 介绍 📖 在网络管理中,DMZ(Demilitarized Zone,隔离区)是一个特殊的网络区域,常用于将公共访问和内部网络隔离开来。DMZ功能允许…

【Android面试八股文】1. 你说一说Handler机制吧 2. 你知道Handler的同步屏障吗? 3. Looper一直在循环,会造成阻塞吗?为什么?

文章目录 一. 你说一说Handler机制吧二、你知道Handler的同步屏障吗?2.1 Handler消息的分类2.2 什么是同步屏障2.3 为什么要设计同步屏障2.4 同步屏障的用法 三、Looper一直在循环,会造成阻塞吗?为什么?扩展阅读 一. 你说一说Hand…

大数据在商业中的应用——Kompas.ai如何助力企业决策

引言 在现代商业中,大数据逐渐成为企业决策的重要工具。通过对海量数据的分析和处理,企业可以获得重要的市场信息和决策支持。本文将探讨大数据在商业中的应用,并介绍Kompas.ai如何通过AI技术助力企业决策。 大数据的发展及其重要性 大数据…

项目文章 | Cell ReportsChIP-seq和RNA-seq联合鉴定伯克霍尔德氏菌毒性的重要调节因子

发表单位:中山大学深圳校区制药科学学院 发表日期:2024年5月14日 研究期刊:Cell Reports(IF: 8.8) 研究材料:伯克霍尔德氏菌 主要技术:ChIP-seq,EMSA,微尺度热泳分析…

1970-2021年各区县碳排放总量,可选择所需年份获取,shp/excel多种格式数据

基本信息. 数据名称: 1970-2021年各区县碳排放总量 数据格式: Shpexcel 数据几何类型: 面 数据坐标系: WGS84 数据来源:网络公开数据

Java面经总结

一、java基础 1.重载和重写的区别 重载: 发生在同一类中,函数名必须一样,参数类型、参数个数、参数顺序、返回值、修饰符可以不一样。重写: 发生在父子类中,函数名、参数、返回值必须一样,访问修饰符必须…

清晖项目管理资深企业咨询顾问闫清受邀为第十三届中国PMO大会演讲嘉宾

全国PMO专业人士年度盛会 清晖项目管理资深企业咨询顾问闫清女士受邀为PMO评论主办的2024第十三届中国PMO大会演讲嘉宾,演讲议题为“PMO的多重人工智能价值”。大会将于6月29-30日在北京举办,敬请关注! 议题简要: 在近几年的AI概…

据阿谱尔统计显示,2023年全球凹版印刷机市场销售额约为9.1亿美元

根据阿谱尔 (APO Research)的统计及预测,2023年全球凹版印刷机市场销售额约为9.1亿美元,预计在2024-2030年预测期内将以超过2.54%的CAGR(年复合增长率)增长。 由于对软包装和印刷包装的需求不断增长,全球凹…

前端问题整理

Vue vue mvvm(Model-View-ViewModel)架构模式原理 Model 是数据层,即 vue 实例中的数据View 是视图层, 即 domViewModel,即连接Model和Vue的中间层,Vue实例就是ViewModelViewModel 负责将 Model 的变化反映…

SpringCloud学习笔记 - 1、Boot和Cloud版本选型

文章目录 前言需要(学习/用到)的技术SpringBoot版本的选择我们为什么要使用 Java 17,以及SpringBoot 3.2 呢? SpringCloud 版本的选择SpringCloud 命名规则Springcloud Alibaba 版本的选择如何确定Boot,Cloud&#xff…

SQL中distinct去重关键字的使用和count统计组合的使用

文章目录 SQL中distinct的使用1、distinct作用于单列2、distinct作用于多列3、 count()、distinct组合使用conut扩展知识 SQL中distinct的使用 1、distinct作用于单列 语法: select distinct 列名 from 表; distinct必须在列的前面,否则直…

大语言模型LLM-三种模型架构

Transformer transfomer可以并行地计算? transformer中encoder模块是完全并行的,而decoder不是完全并行的。 模型结构 使用原文表达如下:the encoder maps an input sequence of symbol representations \((x_1, x_2, \cdots, x_n)\) to …

ICRA 2024:基于视觉触觉传感器的物体表⾯分类的Sim2Real双层适应⽅法

⼈们通常通过视觉来感知物体表⾯的性质,但有时需要通过触觉信息来补充或替代视觉信息。在机器⼈感知物体属性⽅⾯,基于视觉的触觉传感器是⽬前的最新技术,因为它们可以产⽣与表⾯接触的⾼分辨率 RGB 触觉图像。然⽽,这些图像需要⼤…

tmega128单片机控制的智能小车设计

第1章 绪论1.1 选题背景和意义 自第一台工业机器人诞生以来,机器人的民展已经遍及机械、电子、冶金、交通、宇航、国防等领域。近年来机器人的智能水平不断提高,并且迅速地改变着人们的生活方式。人们在不断探讨、改造、认识自然的过程中,制造能替代人工作的机器一…

六西格玛培训,让企业焕然一新,迎接新挑战!

在当今快速变革的商业环境中,企业要保持竞争力,就必须不断进化、优化和创新。而六西格玛培训,正是这一进化过程中的核心驱动力。 六西格玛培训不仅仅是一系列的技术和工具,更是一种深入骨髓的质量文化和持续改进的哲学。通过专业…

微服务架构 | nacos - [自动刷新配置方式 失效排查]

INDEX 1 配置方式1.1 springboot 配置1.2 springcloud 配置 2 失效排查2.1 常见失效场景2.1.1 配置不配套2.1.2 自动刷新未开启2.1.3 依赖冲突2.1.4 改错了配置文件 2.2 未知情况关键排查点 1 配置方式 nacos 的配置中心主要有两套配置方式,配置方式不互相共通&…