华为eNSP配置防火墙的安全域和安全策略

本次实验主要讲述的是华为防火墙USG6000V的配置,区别与USG5500的配置,在安全策略上,配置命令不一样
目的实现不同域之间的通信

操作方法

  • 01

    一、搭建本次实验的拓扑 防火墙一台、路由器三台、交换机一台

  • 02

    二、配置设备的接口信息 <Huawei>system-view Enter system view, return user view with Ctrl+Z.[Huawei]sysname R1[R1]interface GigabitEthernet 0/0/1 [R1-GigabitEthernet0/0/1]ip address 10.0.10.1 24[R1-GigabitEthernet0/0/1]quit[R1]interface loopback 0[R1-LoopBack0]ip address 10.0.1.1 24<Huawei>system-view Enter system view, return user view with Ctrl+Z.[Huawei]sysname R2[R2]interface GigabitEthernet0/0/1[R2-GigabitEthernet0/0/1]ip address 10.0.20.1 24[R2-GigabitEthernet0/0/1]quit[R2]interface loopback 0[R2-LoopBack0]ip address 10.0.2.2 24<Huawei>system-viewEnter system view, return user view with Ctrl+Z.[Huawei]sysname R3[R3]interface GigabitEthernet 0/0/1[R3-GigabitEthernet0/0/1]ip address 10.0.30.1 24[R3-GigabitEthernet0/0/1]quit[R3]interface loopback 0 [R3-LoopBack0]ip address 10.0.3.3 24 防火墙信息 [FW]int GigabitEthernet 0/0/0[FW-GigabitEthernet0/0/0]undo ip address[FW-GigabitEthernet0/0/0]quit[FW]interface GigabitEthernet 1/0/0[FW-GigabitEthernet1/0/0]ip address 10.0.10.254 24[FW-GigabitEthernet1/0/0]quit[FW]interface GigabitEthernet 1/0/1[FW-GigabitEthernet1/0/1]ip address 10.0.20.254 24[FW-GigabitEthernet1/0/1]quit[FW]interface GigabitEthernet 1/0/2[FW-GigabitEthernet1/0/2]ip address 10.0.30.254 24[FW-GigabitEthernet1/0/2]quit

  • 03

    三、划分本次实验需要的VLAN [Quidway]sysname S1[S1]vlan batch 11 to 13[S1]interface GigabitEthernet 0/0/1[S1-GigabitEthernet0/0/1]port link-type access[S1-GigabitEthernet0/0/1]port default vlan 11[S1-GigabitEthernet0/0/1]quit[S1]interface GigabitEthernet 0/0/2[S1-GigabitEthernet0/0/2]port link-type access[S1-GigabitEthernet0/0/2]port default vlan 12[S1-GigabitEthernet0/0/2]quit[S1]interface GigabitEthernet 0/0/3[S1-GigabitEthernet0/0/3]port link-type access[S1-GigabitEthernet0/0/3]port default vlan 13[S1-GigabitEthernet0/0/3]quit[S1]interface GigabitEthernet 0/0/21[S1-GigabitEthernet0/0/21]port link-type access[S1-GigabitEthernet0/0/21]port default vlan 11[S1-GigabitEthernet0/0/21]quit[S1]interface GigabitEthernet 0/0/22[S1-GigabitEthernet0/0/22]port link-type access[S1-GigabitEthernet0/0/22]port default vlan 12[S1-GigabitEthernet0/0/22]quit[S1]interface GigabitEthernet 0/0/23[S1-GigabitEthernet0/0/23]port link-type access[S1-GigabitEthernet0/0/23]port default vlan 13

  • 04

    四、配置静态路由信息 [R1]ip route-static 0.0.0.0 0 10.0.10.254[R2]ip route-static 0.0.0.0 0 10.0.20.254[R3]ip route-static 0.0.0.0 0 10.0.30.254[FW]ip route-static 10.0.1.0 24 10.0.10.1[FW]ip route-static 10.0.2.0 24 10.0.20.1[FW]ip route-static 10.0.3.0 24 10.0.30.1

  • 05

    五、配置防火墙的区域 [FW]firewall zone dmz[FW-zone-dmz]add interface GigabitEthernet 1/0/2[FW-zone-dmz]quit[FW]firewall zone trust[FW-zone-trust]add interface GigabitEthernet 1/0/1[FW-zone-trust]undo add interface GigabitEthernet 0/0/0[FW-zone-trust]quit [FW]firewall zone untrust[FW-zone-untrust]add interface GigabitEthernet 1/0/0[FW-zone-untrust]quit

  • 06

    六、配置防火墙的安全策略 [FW]security-policy[FW-policy-security]rule name policy_sec_1[FW-policy-security-rule-policy_sec_1]source-zone trust[FW-policy-security-rule-policy_sec_1]destination-zone untrust[FW-policy-security-rule-policy_sec_1]action permit[FW-policy-security-rule-policy_sec_1]quit[FW-policy-security]rule name policy_sec_2[FW-policy-security-rule-policy_sec_2]source-zone trust[FW-policy-security-rule-policy_sec_2]destination-zone dmz[FW-policy-security-rule-policy_sec_2]action permit[FW-policy-security-rule-policy_sec_2]quit[FW-policy-security]quit

  • 07

    七、验证防火墙各个区域间通信 <R1>ping -a 10.0.1.1 10.0.2.2  PING 10.0.2.2: 56  data bytes, press CTRL_C to break    Reply from 10.0.2.2: bytes=56 Sequence=1 ttl=254 time=240 ms    Reply from 10.0.2.2: bytes=56 Sequence=2 ttl=254 time=80 ms    Reply from 10.0.2.2: bytes=56 Sequence=3 ttl=254 time=50 ms    Reply from 10.0.2.2: bytes=56 Sequence=4 ttl=254 time=70 ms    Reply from 10.0.2.2: bytes=56 Sequence=5 ttl=254 time=60 ms --- 10.0.2.2 ping statistics ---    5 packet(s) transmitted    5 packet(s) received    0.00% packet loss    round-trip min/avg/max = 50/100/240 ms <R1>ping -a 10.0.1.1 10.0.3.3  PING 10.0.3.3: 56  data bytes, press CTRL_C to break    Request time out    Reply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=150 ms    Reply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=70 ms    Reply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=70 ms    Reply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=60 ms --- 10.0.3.3 ping statistics ---    5 packet(s) transmitted    4 packet(s) received    20.00% packet loss    round-trip min/avg/max = 60/87/150 ms

(0)

相关推荐

  • 华为eNSP配置USG防火墙网络联通实验

    本次实验主要模拟总部与分布的防火墙通信实验,实验网络互通,以及防火墙上的配置,主要配置包过滤和路由,确保网络通畅 操作方法 01 一.搭建拓扑结构 防火墙三台 路由器两台 02 二.配置所有设备的接口 ...

  • 华为eNSP配置eth-trunk实验

    华为的链路聚合叫做eth-trunk,作用是链路聚合和链路备份,下面的实验就是验证聚合和备份的作用的 操作方法 01 一.搭建本次实验的环境和拓扑.以及ip地址 本次采用的华为交换机S5700系列的交 ...

  • 华为eNSP配置VRRP协议实验

    虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议,是一种选择.容错.备份的路由 ...

  • 华为路由器 eNSP 配置 rip OSPF 路由重发布

    华为路由器 eNSP 配置 rip OSPF 路由重发布

  • 怎么用SecureCRT连接华为eNSP设备

    SecureCRT是一款功能强大的终端仿真程序,有些用户想知道怎么用该程序连接华为eNSP设备,接下来小编就给大家介绍一下具体的操作步骤.具体如下:1. 首先第一步打开电脑中的[SecureCRT]软 ...

  • 华为清空配置命令

    华为ensp清空原有配置,重复试验用. 操作方法 01 <R3>reset saved-configuration 输入命令后会出现: This will delete the confi ...

  • 华为交换机配置命令详解

    关于华为交换机配置教程搜集整理了一下,从基础组网,对接防火墙.多种方式的设备登录开始,一直到安全认证.故障处理,内容比较全面细致.近期更新一下,更新完了之后做一个汇总.有需要的可以关注一下.这篇文章我 ...

  • 怎样给华为手机配置Exchange邮箱

    很多人会使用手机收发邮件,既方便又快捷,这时就需要为手机配置邮箱.以华为手机配置Exchange邮箱为例,为大家介绍一下具体方法.1. 首先在电脑中打开QQ,点击顶端的QQ邮箱符号:2. 在QQ邮箱顶 ...

  • 华为手机配置Exchange邮箱

    很多公司都用微软的Exchange邮件系统,Exchang相对POP和Imap有很多很方便的功能,例如公司邮件通讯录,下面演示一下华为手机配置Exchange的方法,此方法大部分安卓手机都可以通用. ...