- 1MQ2烟雾传感器_mq2烟雾传感器浓度算法
- 2数仓建模分层概述_dws 轻度汇总
- 3【股价预测】基于matlab遗传算法优化BP神经网络预测股价【含Matlab源码 1250期】_bp神经网络预测股票模型代码
- 4Python调用deepl api脚本
- 5Docker配置mysql以及宿主机容器目录挂载_docker绑定宿主机目录和容器目录 容器目录需要创建嘛
- 6Jupyter Notebook的安装及在网页端和VScode中使用教程(详细图文教程)_jupyter notebook网页版
- 7经典算法之——解决全排列问题以及详解_排列问题的过程
- 82020江苏计算机事业单位,2020江苏事业单位计算机类岗位考情
- 9HuggingFace开源的自然语言处理AI工具平台_huggingface平台
- 10xcode15 ios17安装问题 an Library ‘iconv.2.4‘ not found Unable to execute command: Segmentation fault: 11_library 'iconv.2.4.0' not found
华为防火墙介绍和原理,配置详细解析_ensp防火墙原理
赞
踩
华为ensp1.3防火墙usg6000v镜像vid包
链接:https://pan.baidu.com/s/1HH96p-sJSHrPgL1YPOsyqA
提取码:1314
华为防火墙的介绍:
华为防火墙是一种网络安全设备,其主要目的是保护私有网络免受来自外部网络的未授权访问、恶意攻击和数据泄露。它通过验证数据包的来源、目的地和内容,根据预先设定的安全策略,决定是否允许数据包通过或丢弃。防火墙可在网络边界、服务器和终端设备上部署,提供多层次的安全保护。
防火墙默认的区域及安全级别说明
| 区域名称 | 安全级别 | 说明 |
| 非受信区域(Untrust) | 低安全级别区域,安全级别为5 | 通常用来定义Internet等不安全的网络 |
| 非军事化区域(Dmz) | 中等安全级别区域,安全级别为50 | DMZ区域用于放置外部网络访问的服务器,例如Web服务器、邮件服务器等 |
| 受信区域(Trust) | 较高安全级别区域,安全级别为85 | 通常用来定义内部用户所在的网络。 |
| 本地区域(Loacl) | 最高安全级别区域,安全级别为100 | 通常用于连接内部网络和防火墙设备本身。LOCAL区域不能被删除或修改,用户也不能向其中添加接口 |
华为防火墙的优点主要包括:
- 高性能:华为防火墙采用高性能的硬件和软件架构,可以处理大量的网络流量,提供快速的响应速度。
- 多样化:华为防火墙支持多种协议和协议栈,可以满足不同业务需求,提供全面的安全保护。
- 可扩展性:华为防火墙支持多种扩展方式,可以根据业务需求进行扩展,提供灵活的配置和管理方式。
- 安全性高:华为防火墙采用多种安全技术,包括防火墙、入侵检测、漏洞扫描等,可以有效保护网络免受恶意攻击和数据泄露的威胁。
- 技术为主,质量有保障:华为作为一家全球知名的通信设备厂商,在技术研发和产品质量上有较强的保障。
华为防火墙存在一些缺点:
- 不能防御已经授权的访问以及存在于网络内部系统间的攻击。
- 不能防御合法用户恶意的攻击以及社交攻击等非预期的威胁。
- 不能修复脆弱的管理措施和存在问题的安全策略。
- 不能防御不经过防火墙的攻击和威胁。
华为防火墙的工作原理如下:
-
数据包检查:防火墙会对进入或离开网络的数据包进行检查,根据预定义的规则进行过滤和阻止。它扫描数据包头部和内容,检查是否符合安全策略。
-
网络地址转换(NAT):防火墙可实现网络地址转换,将内部私有IP地址转换成公共IP地址,以隐藏网络拓扑结构,增加网络安全性。
-
虚拟专用网络(VPN):防火墙可以建立VPN隧道,允许远程用户通过加密通道安全地访问企业内部网络资源。
-
入侵检测和预防系统(IDS/IPS):防火墙内置IDS/IPS功能,监测并阻止入侵和恶意攻击。它使用特定的规则和算法来识别和防御各种攻击类型。
-
应用层安全代理(ALG):防火墙还支持ALG功能,允许对特定应用程序进行深入检查和分析,以确保这些应用程序的安全性。
华为防火墙的配置包括以下步骤:
-
确定安全需求:根据企业的安全需求和策略,确定防火墙的配置目标和规则。
-
设定网络拓扑:定义企业内部网络和外部网络的拓扑结构,并确定防火墙的位置。
-
配置基本参数:包括防火墙的管理IP地址、子网掩码、默认网关等基本网络参数。
-
创建安全策略:定义网络访问控制列表(ACL)规则,规定哪些数据包可以通过防火墙,哪些应被阻止。
-
启用NAT:根据需要配置网络地址转换(NAT),将内部私有IP地址转换成公共IP地址。配置策略NAT以允许特定的网络服务通过防火墙。
-
配置VPN:如需建立VPN隧道,配置远程用户认证和加密参数,建立安全的连接通道。
-
配置IDS/IPS:根据需要启用入侵检测和预防系统(IDS/IPS)功能,并配置相应的规则。
-
配置ALG:如果需要对特定应用程序进行深入检查和分析,配置应用层安全代理(ALG)功能。
-
定期更新和维护:定期更新防火墙的操作系统和安全规则,及时修补漏洞和阻止新的威胁。
实验案例环境:
实验目的:
了解防火墙的安全区域的配置方法
了解防火墙安全区域参数配置
了解防火墙nat安全策略
需求:防火墙的trust信任域可以与dmz和untrust进行通信。dmz非军事化区域可以与untrust互相通信。在内网中,我们使用OSPF动态协议来实现路由的动态学习和更新。同时,PC终端设备会通过DHCP自动获取IP地址。在出向外网的流量中,我们使用默认路由来指定默认的出口,并且使用nat地址转换,而在外网中,我们使用ISIS协议来进行路由的学习和更新,让外网可以访问到dmz非军事化区域的server1服务器。
首先在LSW1上,划分vlan配置接口信息,osfp动态协议和DHCP自动获取IP地址给pc终端。
创建vlan
vlan batch 10 20 30 40
创建vlan10,vlan20,DHCP地址池
- dhcp enable //先开启dhcp服务
-
- ip pool vlan10 //创建名为vlan10的地址池
- gateway-list 192.168.10.254 //网关
- network 192.168.10.0 mask 255.255.255.0 //ip范围
- dns-list 172.16.0.2 192.168.100.2 //dns
-
- ip pool vlan20 //创建名为vlan20的地址池
- gateway-list 192.168.20.254
- network 192.168.20.0 mask 255.255.255.0
- dns-list 172.16.0.2 192.168.100.2 //dns指向dmz的server1服务器的ip地址,也untrust的server2的服务器ip地址
为vlan接口配置ip地址,并在vlan10 20启用dhcp
- interface Vlanif10
- ip address 192.168.10.254 255.255.255.0
- dhcp select global
- #
- interface Vlanif20
- ip address 192.168.20.254 255.255.255.0
- dhcp select global
- #
- interface Vlanif30
- ip address 192.168.30.254 255.255.255.0
- #
- interface Vlanif40
- ip address 192.168.40.254 255.255.255.0
给各个接口配置接口类型
- interface GigabitEthernet0/0/1
- port link-type access
- port default vlan 30
- #
- interface GigabitEthernet0/0/2
- port link-type trunk
- port trunk allow-pass vlan 2 to 4094
-
- interface GigabitEthernet0/0/24
- port link-type trunk
- port trunk allow-pass vlan 2 to 4094
配置ospf动态路由协议
- ospf 1
- area 0.0.0.0
- network 192.168.30.0 0.0.0.255
- network 192.168.20.0 0.0.0.255
- network 192.168.10.0 0.0.0.255
- network 192.168.40.0 0.0.0.255
LSW2配置接口类型
- vlan batch 10 20 30 40
-
- interface Ethernet0/0/1
- port link-type access
- port default vlan 10
- #
- interface Ethernet0/0/2
- port link-type access
- port default vlan 20
-
- interface GigabitEthernet0/0/1
- port link-type trunk
- port trunk allow-pass vlan 2 to 4094
LSW4配置接口类型
- vlan batch 10 20 30 40
-
- interface Ethernet0/0/1
- port link-type access
- port default vlan 40
-
- interface GigabitEthernet0/0/1
- port link-type trunk
- port trunk allow-pass vlan 2 to 4094
通过配置完LSW1、LSW2和LSW4,PC可以成功通过DHCP自动获取IP地址,从而实现内网之间的互相通信。
接下来,需要对FW1防火墙进行配置
为FW1各个接口配置IP地址,允许防火墙上的设备进行Ping操作,默认是关的,如何不开将ping不通过防火墙,注意这一点非常重要
- interface GigabitEthernet1/0/0
- undo shutdown
- ip address 192.168.30.1 255.255.255.0
- service-manage ping permit //允许防火墙上的设备进行Ping操作,默认是关的
-
- interface GigabitEthernet1/0/1
- undo shutdown
- ip address 203.1.1.1 255.255.255.0
- service-manage ping permit
-
- interface GigabitEthernet1/0/3
- undo shutdown
- ip address 172.16.0.254 255.255.255.0
- service-manage ping permit
对接口进行信任(trust)和非信任(untrust),dmz区域的每个接口进行专门的配置
- firewall zone trust //进入到trust信任域中
- set priority 85 //默认优先级
- add interface GigabitEthernet1/0/0 //将该接口配置在trust信任域中
-
- firewall zone untrust
- set priority 5
- add interface GigabitEthernet1/0/1
-
- firewall zone dmz
- set priority 50
- add interface GigabitEthernet1/0/3
配置OSPF动态路由协议。同时,为了使内部网络能够连接到外部网络,我们需要配置一个默认路由以向外网发送流量
- ospf 1
- default-route-advertise always //将自己拥有的默认路由信息传递给其他设备
- import-route static //重分布,将静态路由导入到设备的路由表中
- area 0.0.0.0
- network 172.16.0.0 0.0.0.255
- network 192.168.30.0 0.0.0.255
-
- ip route-static 0.0.0.0 0.0.0.0 203.1.1.254
配置防火墙安全策略
- //让trust信任域到达untrust非信任域。
- security-policy //进入到安全策略
- rule name trust-untrust //创建安全策略名为 trust-untrust
- source-zone trust //源地址,这里也可以配置成trust信任域的ip地址
- destination-zone untrust //目的地地址
- action permit //允许放行
-
-
- rule name dmz-untrust
- source-zone dmz
- destination-zone untrust
- action permit
-
- rule name trust-dmz
- source-zone trust
- destination-zone dmz
- action permit
-
- rule name untrust-dmz
- source-zone untrust
- destination-zone dmz
- action permit
为防火墙配置nat地址转换,并为防火墙配置nat安全策略
- nat address-group trust-untrust 0 //创建一个NAT地址组,命名为trust-untrust,并设置编号为0
- mode no-pat global //创建一个NAT地址组,命名为trust-untrust,并设置编号为0
- section 1 203.1.1.2 203.1.1.20 //地址组trust-untrust的可使用范围
-
- nat-policy //进入到nat安全策略
- rule name trust-untrust //创建nat策略名trust-untrust
- source-zone trust //源地址
- destination-zone untrust //目的地地址
- action source-nat address-group trust-untrust //使用trust-untrustNAT地址组
-
- rule name dmz-untrust
- source-zone dmz
- destination-zone untrust
- action source-nat address-group trust-untrust
完成防火墙的所有配置后,内网用户可以与外网进行通信,并进行了NAT地址转换,并且还可以访问DMZ区域。DMZ区域是不可以访问trust区域的
经过这些配置,内部网络可以通过防火墙与外部网络进行通信。
接下来为AR1进行isis协议并为各个接口配置信息
- isis 1
- network-entity 12.0000.0000.0002.00 //区域为12,名字0000.0000.0002,后面两个00代表正在使用ip协议
- import-route static
-
- interface GigabitEthernet0/0/0
- ip address 205.0.0.254 255.255.255.0
- isis enable 1 //启动isis并把isis的进程号 1配置给这个接口
-
- interface GigabitEthernet0/0/1
- ip address 203.1.1.254 255.255.255.0
- isis enable 1
-
- ip route-static 0.0.0.0 0.0.0.0 203.1.1.1 //给默认路由让AR1可以回到dmz区域
-
LSW6配置isis协议,创建vlan
- //创建vlan
- vlan batch 100 200
-
- //配置isis协议
- isis 1
- network-entity 12.0000.0000.0001.00
-
- //配置vlan100的IP地址,并把isis 1配置给这个接口
- interface Vlanif100
- ip address 192.168.100.254 255.255.255.0
- isis enable 1
-
- interface Vlanif200
- ip address 205.0.0.1 255.255.255.0
- isis enable 1
-
- //配置接口类型为干道模式
- interface GigabitEthernet0/0/1
- port link-type trunk
- port trunk allow-pass vlan 2 to 4094
-
- interface GigabitEthernet0/0/2
- port link-type access
- port default vlan 200
-
- //给一跳默认路由回到防火墙接口
- ip route-static 0.0.0.0 0.0.0.0 203.1.1.1
LSW7配置接口类型信息
- vlan batch 100
-
- interface Ethernet0/0/1
- port link-type access
- port default vlan 100
-
- interface Ethernet0/0/2
- port link-type access
- port default vlan 100
-
- interface GigabitEthernet0/0/1
- port link-type trunk
- port trunk allow-pass vlan 2 to 4094
这样dmz非军事化区域可以与untrust非信任区域互相通信,而untrust非信任区域和dmz非军事化区域是可以与trust信任区域通信的。
总结:通过实验学习,了解防火墙的基本配置技巧。配置安全策略,确保了网络的安全性。配置了默认路由,使内部网络可以访问外部网络。并进行NAT转换,实现了内部IP地址和外部IP地址之间的映射,以便内部网络可以与外部网络进行通信。为了进一步加强安全性,我还设置了NAT安全策略,确保只有经过授权的流量被允许通过。通过这些配置,提高了网络的安全性和通信的效率。
注意:本博客内容仅供参考,具体操作需根据实际情况进行调整。
