热门标签
热门文章
- 1策略者模式(代码实践C++/Java/Python)————设计模式学习笔记
- 2UnicodeDecodeError: 'utf8' codec can't decode byte 0xa5 in position 0: invalid start byte_unicodedecodeerror: 'utf-8' codec can't decode byt
- 3解决Reinitialized existing Git repository
- 4如何通过DCGAN实现动漫人物图像的自动生成?_动漫头像生成算法
- 5AXP档案的直接载入搞定_axppacker
- 6距离“全自动”漏洞挖掘又近了一步!腾讯安全大数据实验室论文入选ACM CCS 2023
- 7用 AI 让数据分析更智能|Amazon Q 在 Amazon Quicksight 中的应用
- 8数据分析 -- pandas
- 9git刚安装clone项目提示SSH验证失败问题_gitee clone项目 ssh密钥验证失败
- 10AI芯片竞争白热化!Meta官宣最新AI推理芯片!性能提升300%,支撑Llama高负载计算
当前位置: article > 正文
华为USG6000防火墙安全策略配置实例(CLI方式)_华为防火墙策略路由配置实例
作者:小丑西瓜9 | 2024-04-18 21:23:48
赞
踩
华为防火墙策略路由配置实例
今天给大家介绍华为防火墙的安全策略配置实例。本文采用华为eNSP模拟器,设计了一个USG6000系列防火墙的配置实例,并安全要求完成了相应配置。
一、实验拓扑及要求
实验拓扑如上所示,现在要求配置如图所示的实验拓扑图,并配置防火墙安全策略实现:
1、Trust区域可以访问Untrust区域。
2、Trust区域可以访问DMZ区域的lo0,但不能访问其他IP地址。
二、实验配置命令
(一)华为防火墙默认安全策略
在华为系列防火墙中,默认的安全策略根据出入区域的不同而不同,具体如下所示:
1、域内流量。 域内流量是指从一个区域流向同一个区域的流量,防火墙默认策略是允许。
**2、域间流量。**域间流量是指从一个区域流向另一个区域的流量,防火墙默认策略是拒绝。
**3、自身流量。**自身流量是指防火墙自身发出的流量或者是目的是防火墙的流量,默认是拒绝。自身流量除了可以在安全策略上配置外,还可以在接口上直接配置,并且在接口上配置的优先级要高于在安全策略中配置的优先级。
(二)安全区域划分相关配置命令
安全区域划分只需要把固定的接口放置到指定的区域中,相关命令如下所示:
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/2
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/1
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
(三)安全策略配置命令
安全策略配置时要按照要求配置相应策略,在这里要特别注意策略的配置顺序,相关配置命令如下所示:
security-policy
rule name p1
source-zone trust
destination-zone trust
destination-zone untrust
service icmp
action permit
rule name p2
source-zone trust
destination-zone dmz
destination-address 2.2.2.2 mask 255.255.255.255
action permit
rule name p3
source-zone trust
destination-zone dmz
action deny
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
三、实验现象
(一)Trust区域可以访问Untrust区域正常
(二)Untrust区域访问Trust区域被禁止
(三)Trust区域可以访问2.2.2.2正常
(四)Trust区域访问其他DMZ区域被禁止
四、附录——防火墙相关配置命令
防火墙相关配置命令如下所示:
#
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 192.168.0.1 255.255.255.0
alias GE0/METH
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 150.1.1.10 255.255.255.0
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 192.168.1.10 255.255.255.0
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 192.168.2.10 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/2
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/1
#
ip route-static 2.2.2.2 255.255.255.255 192.168.1.2
#
security-policy
rule name p1
source-zone trust
destination-zone trust
destination-zone untrust
service icmp
action permit
rule name p2
source-zone trust
destination-zone dmz
destination-address 2.2.2.2 mask 255.255.255.255
action permit
rule name p3
source-zone trust
destination-zone dmz
action deny
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/119120072
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小丑西瓜9/article/detail/448269
推荐阅读
相关标签
