当前位置:   article > 正文

结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)_华为usg6000v防火墙简单配置案例

华为usg6000v防火墙简单配置案例

学习心得 :

这两天跟着老师学习了网络安全防御之防火墙的配置,过程中不乏遇到了许多问题,例如
访问https://ip:8443地址却没有提示继续进入的接口,或者是无法ping通防火墙测试端口 等问题,希望接下来的分享能够帮助到大家!

为了节省大家的时间,我把实验和具体问题分开罗列,大家根据个人需求查看即可!(这里建议初学的伙伴们还是跟着实验走一遍比较好!)

目录

学习心得:

实验

实验拓扑图:

实验要求:

实验步骤

一、配置cloud

二、配置防火墙GE0/0/0口ip地址,并开启相关https、ping服务,进行端口ping测试。

三、配置trust区域相关接口ip地址、untrust区域相关接口ip地址,dmz区域相关接口ip地址

四、登录防火墙UI界面,配置防火墙接口ip地址、安全策略、接口聚合静态路由,实现实验要求。

配置完成,进行测试

实验中遇到的问题

一、访问https://ip:8443端口提示建立安全连接失败

二、在本机cmd窗口无法ping通防火墙测试端口

具体问题如下:

解决方法:


实验

实验拓扑图:

本次实验用到的防火墙为USG600,我把需要用到的.vdi文件下载链接放到下面,大家需要自取即可。

链接:https://pan.baidu.com/s/16nq6skHAiLx9hp-o4SCKXg
提取码:pkth

实验要求:

一、划分trust、untrust、dmz区域

二、实现两两区域之间的互相访问

实验步骤

一、配置cloud

//注意不要绑到公网网卡上,可以自己做个虚拟环回或者绑到vm1\vm8上都可以

二、配置防火墙GE0/0/0口ip地址,并开启相关https、ping服务,进行端口ping测试。

配置命令:

int g0/0/0 //进入g0/0/0接口

ip add 192.168.1.11 //这里大家根据自己在上述步骤绑定虚拟网卡的网段合理配置即可

service-manage enable

service-manage all permit //允许访问所有服务

三、配置trust区域相关接口ip地址、untrust区域相关接口ip地址,dmz区域相关接口ip地址

因为在ensp中三层交换机undo
portswitch后依然无法配置ip地址,所以需要配置vlanif来实现虚拟网关功能。至于PC上可以直接输入就不用多说了,主要跟大家说下在交换机和防火墙上配置的过程:

配置过程遵循以上拓扑图,有不会同学可以照着上述拓扑图跟着做。

LSW6:

vlan batch 2 3 //创建vlan2、vlan3

[Huawei-GigabitEthernet0/0/2]port link-type access

[Huawei-GigabitEthernet0/0/2]port default vlan 2 //将G0/0/2口划入vlan2

[Huawei]interface Vlanif 2 //配置vlanif 2 为虚拟网关

[Huawei-Vlanif2]ip address 10.1.1.1 24

//至于pc配置就不多说了。配置完成后,我们ping一下vlanif 2ip地址,测试一下。

下来就是将G0/0/1口配置上vlanif3,跟vlanif2配置类似,大家照做即可(注意vlanif3管理的是另外一个网段,大家不要配错了!)

AR2:

因为是路由器,大家直接进入接口配置ip地址即可,没有难度,就不多做解释了,这里为了后续方便测试,大家可以给路由器后面挂个server或者写个环回,方便后续测试。

LSW4:

[Huawei]vlan batch 100 200

[Huawei-GigabitEthernet0/0/2]port link-type access

[Huawei-GigabitEthernet0/0/2]port default vlan 100

[Huawei-GigabitEthernet0/0/4]port link-type access

[Huawei-GigabitEthernet0/0/4]port default vlan 200

[Huawei]interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1]port link-type trunk

[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 100

[Huawei]interface GigabitEthernet 0/0/3

[Huawei-GigabitEthernet0/0/3]port link-type trunk

[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan 200

[Huawei]interface Eth-Trunk 1
//这里实验要求是要做聚合,大家不想做也可以,不影响后续实验,做了的话待会到防火墙上也需要做接口聚合。

[Huawei-Eth-Trunk1]trunkport GigabitEthernet 0/0/1

[Huawei-Eth-Trunk1]trunkport GigabitEthernet 0/0/3

//后面要给server配置ip地址,这里就不多赘述了,大家可以根据拓扑图所示配置到相应网段内即可

注:因为我们要把网关配置到防火墙上,所以这里就没有做vlanif虚拟网关,大家注意下

四、登录防火墙UI界面,配置防火墙接口ip地址、安全策略、接口聚合静态路由,实现实验要求。

上述配置完成后,本次实验真正要考核的地方来了,那就是防火墙配置,话不多说,我们直接来看配置过程!

  • 登录了https://ip:8443端口后,先配置防火墙各个端口ip

//往右边拉,有个编辑框,大家拉开,根据拓扑图配置区域、ip地址即可

  • 配置策略、实现各个区域之间的互相访问。

//配置过程大家就根据trust区域网段、dmz区域网段、untrust区域网段配置即可,后面的服务如果要进行ping测试记得允许icmp,记录命中次数(这里大家可以看到命中次数都为0,待会我们去进行ping测试的时候,命中次数就会增加,也说明我们防火墙配置的策略生效了)

  • 策略配置完成了,但是我们还需要在交换机、路由器、防火墙上配置路由( 这一步大家可不敢忘记呀! )
  • 这里主要给大家看下防火墙怎么配静态路由,交换机、路由器的话就不多做说明了,相信学到这里的小伙伴配置这些应该都不是问题。

  • 接下来点击新增,添加我们需要的路由即可 //这里大家就把它想象成路由器,路由器怎么配ip这里一样

//这里为了演示,我就写了两条路由,实现trust->untrust区域的访问

  • 当我们完成了trust区域路由配置、untrust区域路由配置、防火墙路由配置后,可以简单测试一下,如下图所示:

pc为 trust 区域终端,100.1.1.1为 untrust 区域环回ip。

我们去查看防火墙是否命中,如下图所示:

  • 因为我们前面在SW4上做了接口聚合,所以防火墙上也要做

1、配置接口聚合

步骤:新建->接口类型选择聚合,然后将需要聚合的接口添加到绑定接口即可

2、配置vlanif100、vlanif200虚拟网关。

  • 这里大家最好在进入到防火墙每个接口敲一遍: service-manage all permit ,确保服务权限开启

配置完成,进行测试

  • trust->untrust

  • dmz->trust

  • untrust->dmz

实验中遇到的问题

一、访问https://ip:8443端口提示 建立安全连接失败

  • 具体报错信息如下图所示:

  • 这里关键的地方是也没有继续访问的链接,而在观看老师操作的时候却有接受安全提示,继续访问的接口,所以我更换了Google、微软浏览器挨个试了一遍都不行,网上也有很多说法, 关闭防火墙,VirtualBox版本不匹配、或者是没有开启https访问权限 等等原因,而我也照猫画虎做了一遍,都还是不行。于是我打算抓包看看,到底是哪出了问题。
  • 抓包如下图所示:

  • 这时候我们访问 myssl.com 查看当前浏览器支持的tls版本:

点击工具型,点击国际客户端检测,即可查看当前浏览器支持的tls版本,而我使用的火狐浏览器如下图所示:

解决办法:
到这里相信小伙伴们就知道了,是因为火狐浏览器不支持tls1.1版本,导致我们无法成功建立tls连接,所以我更换了ie浏览器(只要支持tls1.1版本的浏览器都可以),这时候我再去访问https://ip:8443这个地址,成功出现了
防火墙后台界面,如下图所示:

接下来大家就使用默认用户名:admin 密码:Admin@123登录即可。

二、在本机cmd窗口无法ping通防火墙测试端口

具体问题如下:

当我们完成了cloud配置,成功配置防火墙测试端口ip地址,但是始终无法ping通,如下图所示

这时候我们应该提前进行ping测试,因为我们要通过该ip地址登录后台控制页面的前提是可以ping通它,同时免得后面再返工。可是却始终无法ping通,如下图所示:

解决方法:

进入防火墙G0/0/0端口,开启ping测试权限

使用命令:

service-manage enable

service-manage all permit //允许访问该接口的所有服务

这时候我们再去测试,可以看到成功ping’通并登录后台界面。

tips:
作者在这里遇到了cloud配置好了,ip地址、https、ping服务,防火墙把所有关于ensp的流量都允许了,结果还是ping不通(如果是可以ping通,但是无法登录,大家可以看看上述第一个问题的解决办法!)。这里本人更换了cloud网卡配置,然后将端口类型都改为了GE(如果本来就是GE的可以更换为Ethernet),再次测试却可以通了,很懵逼;还有一种情况就是我
将G0/0/0口连到别的地方却没有连接cloud
,导致本地流量始终无法送到该接口,无法ping通,将G0/0/0口再重新连接至cloud就可以ping通了。由于个人能力有限,暂时无法给大家详细讲解原因,如果遇到和作者类似情况的小伙伴可以试一试,说不定就解决大家问题了。

以上就是要跟小伙伴们分享的内容,不知道有没有帮助到大家,如果有写的不准确的地方,欢迎大家交流指正!

Writer: Darkfive

题外话

初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:

2023届全国高校毕业生预计达到1158万人,就业形势严峻;

国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。

6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。

具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!

img

2、人才缺口大,就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
img

行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

img

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/你好赵伟/article/detail/487658
推荐阅读
相关标签