华为防火墙的安全策略配置实例
今天给大家介绍华为防火墙的安全策略配置实例。本文采用华为ensp模拟器,设计了一个usg6000系列防火墙的配置实例,并安全要求完成了相应配置。
一、实验拓扑及要求
实验拓扑如上所示,现在要求配置如图所示的实验拓扑图,并配置防火墙安全策略实现:
1、trust区域可以访问untrust区域。
2、trust区域可以访问dmz区域的lo0,但不能访问其他ip地址。
二、实验配置命令
(一)华为防火墙默认安全策略
在华为系列防火墙中,默认的安全策略根据出入区域的不同而不同,具体如下所示:
1、域内流量。 域内流量是指从一个区域流向同一个区域的流量,防火墙默认策略是允许。
2、域间流量。域间流量是指从一个区域流向另一个区域的流量,防火墙默认策略是拒绝。
3、自身流量。自身流量是指防火墙自身发出的流量或者是目的是防火墙的流量,默认是拒绝。自身流量除了可以在安全策略上配置外,还可以在接口上直接配置,并且在接口上配置的优先级要高于在安全策略中配置的优先级。
(二)安全区域划分相关配置命令
安全区域划分只需要把固定的接口放置到指定的区域中,相关命令如下所示:
firewall zone trust set priority 85 add interface gigabitethernet0/0/0 add interface gigabitethernet1/0/2#firewall zone untrust set priority 5 add interface gigabitethernet1/0/0#firewall zone dmz set priority 50 add interface gigabitethernet1/0/1
(三)安全策略配置命令
安全策略配置时要按照要求配置相应策略,在这里要特别注意策略的配置顺序,相关配置命令如下所示:
security-policy rule name p1 source-zone trust destination-zone trust destination-zone untrust service icmp action permit rule name p2 source-zone trust destination-zone dmz destination-address 2.2.2.2 mask 255.255.255.255 action permit rule name p3 source-zone trust destination-zone dmz action deny
三、实验现象
(一)trust区域可以访问untrust区域正常
(二)untrust区域访问trust区域被禁止
(三)trust区域可以访问2.2.2.2正常
(四)trust区域访问其他dmz区域被禁止
四、附录——防火墙相关配置命令
防火墙相关配置命令如下所示:
#interface gigabitethernet0/0/0 undo shutdown ip binding vpn-instance default ip address 192.168.0.1 255.255.255.0 alias ge0/meth#interface gigabitethernet1/0/0 undo shutdown ip address 150.1.1.10 255.255.255.0#interface gigabitethernet1/0/1 undo shutdown ip address 192.168.1.10 255.255.255.0#interface gigabitethernet1/0/2 undo shutdown ip address 192.168.2.10 255.255.255.0#firewall zone trust set priority 85 add interface gigabitethernet0/0/0 add interface gigabitethernet1/0/2#firewall zone untrust set priority 5 add interface gigabitethernet1/0/0#firewall zone dmz set priority 50 add interface gigabitethernet1/0/1#ip route-static 2.2.2.2 255.255.255.255 192.168.1.2#security-policy rule name p1 source-zone trust destination-zone trust destination-zone untrust service icmp action permit rule name p2 source-zone trust destination-zone dmz destination-address 2.2.2.2 mask 255.255.255.255 action permit rule name p3 source-zone trust destination-zone dmz action deny
OPPOR11什么时候上市最新消息:骁龙660+6G+前置双摄,OPPOR11打头阵OPPOR11Plus后发!售价有惊喜?
工件电镀前需要清洗,哪种方法清洗效率最高?
基于FPGA图像处理的高斯模糊实现
降本空间何寻?瑞能串联化成分容系统可实现年降本400万
智能时代企业中台落地“四步走”
华为防火墙的安全策略配置实例
大基金再次出手投资瑞芯微电子 认缴金额达2592万元将持股7%
大型商场中应急照明与疏散指示系统的应用分析
农饮水远程在线监测项目案例
漏电起痕试验仪、漏电起痕试验机的用途以及注意事项
宁夏财政厅打造科技金融生态圈
什么是分布式网络效应
DASP 2022B版本发布 四大模块功能上新
反无人机雷达探测技术主要技术挑战与对策
触摸屏无线视频传输技术简介
4·29首都网络安全日 长亭科技创新升级“安全兵法”
基于CAN总线信号的波形解码和报文解码不一致的情况分析
浅析计算机系统的各种层次结构
利用荧光氧气传感器LOX-02-S检测高原氧浓度
【技术】扬尘监测设备的光学原理及激光原理
一、实验拓扑及要求
实验拓扑如上所示,现在要求配置如图所示的实验拓扑图,并配置防火墙安全策略实现:
1、trust区域可以访问untrust区域。
2、trust区域可以访问dmz区域的lo0,但不能访问其他ip地址。
二、实验配置命令
(一)华为防火墙默认安全策略
在华为系列防火墙中,默认的安全策略根据出入区域的不同而不同,具体如下所示:
1、域内流量。 域内流量是指从一个区域流向同一个区域的流量,防火墙默认策略是允许。
2、域间流量。域间流量是指从一个区域流向另一个区域的流量,防火墙默认策略是拒绝。
3、自身流量。自身流量是指防火墙自身发出的流量或者是目的是防火墙的流量,默认是拒绝。自身流量除了可以在安全策略上配置外,还可以在接口上直接配置,并且在接口上配置的优先级要高于在安全策略中配置的优先级。
(二)安全区域划分相关配置命令
安全区域划分只需要把固定的接口放置到指定的区域中,相关命令如下所示:
firewall zone trust set priority 85 add interface gigabitethernet0/0/0 add interface gigabitethernet1/0/2#firewall zone untrust set priority 5 add interface gigabitethernet1/0/0#firewall zone dmz set priority 50 add interface gigabitethernet1/0/1
(三)安全策略配置命令
安全策略配置时要按照要求配置相应策略,在这里要特别注意策略的配置顺序,相关配置命令如下所示:
security-policy rule name p1 source-zone trust destination-zone trust destination-zone untrust service icmp action permit rule name p2 source-zone trust destination-zone dmz destination-address 2.2.2.2 mask 255.255.255.255 action permit rule name p3 source-zone trust destination-zone dmz action deny
三、实验现象
(一)trust区域可以访问untrust区域正常
(二)untrust区域访问trust区域被禁止
(三)trust区域可以访问2.2.2.2正常
(四)trust区域访问其他dmz区域被禁止
四、附录——防火墙相关配置命令
防火墙相关配置命令如下所示:
#interface gigabitethernet0/0/0 undo shutdown ip binding vpn-instance default ip address 192.168.0.1 255.255.255.0 alias ge0/meth#interface gigabitethernet1/0/0 undo shutdown ip address 150.1.1.10 255.255.255.0#interface gigabitethernet1/0/1 undo shutdown ip address 192.168.1.10 255.255.255.0#interface gigabitethernet1/0/2 undo shutdown ip address 192.168.2.10 255.255.255.0#firewall zone trust set priority 85 add interface gigabitethernet0/0/0 add interface gigabitethernet1/0/2#firewall zone untrust set priority 5 add interface gigabitethernet1/0/0#firewall zone dmz set priority 50 add interface gigabitethernet1/0/1#ip route-static 2.2.2.2 255.255.255.255 192.168.1.2#security-policy rule name p1 source-zone trust destination-zone trust destination-zone untrust service icmp action permit rule name p2 source-zone trust destination-zone dmz destination-address 2.2.2.2 mask 255.255.255.255 action permit rule name p3 source-zone trust destination-zone dmz action deny
OPPOR11什么时候上市最新消息:骁龙660+6G+前置双摄,OPPOR11打头阵OPPOR11Plus后发!售价有惊喜?
工件电镀前需要清洗,哪种方法清洗效率最高?
基于FPGA图像处理的高斯模糊实现
降本空间何寻?瑞能串联化成分容系统可实现年降本400万
智能时代企业中台落地“四步走”
华为防火墙的安全策略配置实例
大基金再次出手投资瑞芯微电子 认缴金额达2592万元将持股7%
大型商场中应急照明与疏散指示系统的应用分析
农饮水远程在线监测项目案例
漏电起痕试验仪、漏电起痕试验机的用途以及注意事项
宁夏财政厅打造科技金融生态圈
什么是分布式网络效应
DASP 2022B版本发布 四大模块功能上新
反无人机雷达探测技术主要技术挑战与对策
触摸屏无线视频传输技术简介
4·29首都网络安全日 长亭科技创新升级“安全兵法”
基于CAN总线信号的波形解码和报文解码不一致的情况分析
浅析计算机系统的各种层次结构
利用荧光氧气传感器LOX-02-S检测高原氧浓度
【技术】扬尘监测设备的光学原理及激光原理