首页 > 其他分享 >防火墙区域划分与NAT

防火墙区域划分与NAT

时间:2023-12-06 11:44:05浏览次数:32  
标签:防火墙 rule dmz 划分 NAT policy security trust FW1

防火墙区域划分与NAT

任务目的

理解防火墙区域划分方式与流量过滤规则,掌握防火墙安全策略与NAT配置过程

任务设备、设施

Win10、ENSP、VMware、win7、typora

环境拓扑图

配置过程

基本配置

R1

<Huawei>
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]sys R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 202.116.64.2 24
[R1-GigabitEthernet0/0/0]q
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 116.64.64.1 24
[R1-GigabitEthernet0/0/1]q
[R1]

FW1

Username:admin   //用户名admin
Password:        //密码Admin@123
The password needs to be changed. Change now? [Y/N]: y    //需要修改密码
Please enter old password:    //输入初始密码
Please enter new password:    //输入新密码 可设置为P@ssw0rd 
Please confirm new password:  //确认新密码

 Info: Your password has been changed. Save the change to survive a reboot. 
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************


<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]sys FW1
[FW1]int g0/0/0
[FW1-GigabitEthernet0/0/0]ip add 192.168.0.1 24
[FW1-GigabitEthernet0/0/0]q
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 192.168.10.1 24
[FW1-GigabitEthernet1/0/0]q
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 192.168.20.1 24
[FW1-GigabitEthernet1/0/1]q
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 202.116.64.1 24
[FW1-GigabitEthernet1/0/2]q	
[FW1]undo info-center enable 
Info: Saving log files...
Info: Information center is disabled.
[FW1]ip route-static 0.0.0.0 0.0.0.0 202.116.64.2
[FW1]

创建区域

[FW1]firewall zone trust	
[FW1-zone-trust]add interface g1/0/0
[FW1-zone-trust]q
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface g1/0/1
[FW1-zone-dmz]q
[FW1]firewall zone untrust
[FW1-zone-untrust]add in	
[FW1-zone-untrust]add interface g1/0/2
[FW1-zone-untrust]q
[FW1]

配置安全策略,定义区域间互访规则

公司员工访问公网Web服务

[FW1]security-policy 
[FW1-policy-security]rule name trust_untrust_web
[FW1-policy-security-rule-trust_untrust_web]source-zone trust
[FW1-policy-security-rule-trust_untrust_web]destination-zone untrust
[FW1-policy-security-rule-trust_untrust_web]source-address 192.168.10.0 24	
[FW1-policy-security-rule-trust_untrust_web]service protocol tcp destination-por
t 80
[FW1-policy-security-rule-trust_untrust_web]action permit 
[FW1-policy-security-rule-trust_untrust_web]q
[FW1-policy-security]q
[FW1]

公司员工访问dmz Web服务

[FW1]security-policy 
[FW1-policy-security]rule name trust_dmz_web
[FW1-policy-security-rule-trust_dmz_web]source-zone trust
[FW1-policy-security-rule-trust_dmz_web]destination-zone dmz
[FW1-policy-security-rule-trust_dmz_web]source-address 192.168.10.0 24
[FW1-policy-security-rule-trust_dmz_web]service protocol tcp destination-port 80
[FW1-policy-security-rule-trust_dmz_web]action permit 
[FW1-policy-security-rule-trust_dmz_web]q
[FW1-policy-security]

外网用户访问fmz Ftp服务

[FW1]security-policy 
[FW1-policy-security]rule name trust_dmz_ftp
[FW1-policy-security-rule-trust_dmz_ftp]source-zone trust
[FW1-policy-security-rule-trust_dmz_ftp]destination-zone dmz
[FW1-policy-security-rule-trust_dmz_ftp]source-address 192.168.10.0 24
[FW1-policy-security-rule-trust_dmz_ftp]service protocol tcp destination-port 21
[FW1-policy-security-rule-trust_dmz_ftp]action permit
[FW1-policy-security-rule-trust_dmz_ftp]q

外网用户访问dmz Web服务

[FW1]security-policy 
[FW1-policy-security]rule name untrust_dmz_web
[FW1-policy-security-rule-untrust_dmz_web]source-zone untrust
[FW1-policy-security-rule-untrust_dmz_web]destination-zone dmz	
[FW1-policy-security-rule-untrust_dmz_web]destination-address 192.168.20.10 32
[FW1-policy-security-rule-untrust_dmz_web]service protocol tcp destination-port 
 80	
[FW1-policy-security-rule-untrust_dmz_web]action permit 
[FW1-policy-security-rule-untrust_dmz_web]q
[FW1-policy-security]q
[FW1]

外网用户访问dmz Ftp服务

[FW1]security-policy 
[FW1-policy-security]rule name untrust_dmz_ftp
[FW1-policy-security-rule-untrust_dmz_ftp]source-zone untrust
[FW1-policy-security-rule-untrust_dmz_ftp]destination-zone dmz	
[FW1-policy-security-rule-untrust_dmz_ftp]destination-address 192.168.20.20 32	
[FW1-policy-security-rule-untrust_dmz_ftp]service protocol tcp destination-port 
21
[FW1-policy-security-rule-untrust_dmz_ftp]action permit 
[FW1-policy-security-rule-untrust_dmz_ftp]q
[FW1-policy-security]q
[FW1]

配置Easy-IP

公司员工可以访问公网
[FW1]nat-policy 
[FW1-policy-nat]rule name trust_internet
[FW1-policy-nat-rule-trust_internet]source-zone trust
[FW1-policy-nat-rule-trust_internet]destination-zone untrust	
[FW1-policy-nat-rule-trust_internet]source-address 192.168.10.0 24	
[FW1-policy-nat-rule-trust_internet]action source-nat easy-ip 
[FW1-policy-nat-rule-trust_internet]q
[FW1-policy-nat]
公司员工可以访问dmz区域服务器群
[FW1-policy-nat]rule name trust_dmz
[FW1-policy-nat-rule-trust_dmz]source-zone trust
[FW1-policy-nat-rule-trust_dmz]destination-zone dmz
[FW1-policy-nat-rule-trust_dmz]source-address 192.168.10.0 24
[FW1-policy-nat-rule-trust_dmz]action source-nat easy-ip 
[FW1-policy-nat-rule-trust_dmz]q
[FW1-policy-nat]

配置NAT server 发布DMZ区域web站点和ftp站点

[FW1]nat server company_web_server protocol tcp global 202.116.64.1 www inside 1
92.168.20.10 www
[FW1]nat server company_ftp_server protocol tcp global 202.116.64.1 ftp inside 1
92.168.20.20 ftp
[FW1]

任务验证

在server1发布web站点,ftp站点

主机1可以访问公司web server和ftp server

主机1可以访问baidu web服务器

主机3可以访问公司web server和ftpserver

入侵实战(任务扩展)

企业员工要ping通服务器群

[FW1]security-policy 
[FW1-policy-security]rule name trust_dmz_icmp
[FW1-policy-security-rule-trust_dmz_icmp]source-zone trust	
[FW1-policy-security-rule-trust_dmz_icmp]destination-zone dmz
[FW1-policy-security-rule-trust_dmz_icmp]source-address 192.168.10.0 24	
[FW1-policy-security-rule-trust_dmz_icmp]service icmp
[FW1-policy-security-rule-trust_dmz_icmp]action permit 
[FW1-policy-security-rule-trust_dmz_icmp]q
[FW1-policy-security]

企业员工要ping通Internet

[FW1]security-policy 
[FW1-policy-security]rule name trust_untrust_icmp
[FW1-policy-security-rule-trust_untrust_icmp]source-zone trust	
[FW1-policy-security-rule-trust_untrust_icmp]destination-zone untrust
[FW1-policy-security-rule-trust_untrust_icmp]source-address 192.168.10.0 24
[FW1-policy-security-rule-trust_untrust_icmp]service icmp
[FW1-policy-security-rule-trust_untrust_icmp]action permit 
[FW1-policy-security-rule-trust_untrust_icmp]q
[FW1-policy-security]

企业员工要ping通防火墙

[FW1]int  g1/0/0
[FW1-GigabitEthernet1/0/0]serv	
[FW1-GigabitEthernet1/0/0]service-mana	
[FW1-GigabitEthernet1/0/0]service-manage ping permit
[FW1-GigabitEthernet1/0/0]q
[FW1]

任务总结

对于防火墙来说原则上默认禁止所有区域访问。假如配置安全策略,如允许Trust区域访问UnTrust区域,UnTrust区域默认不允许访问Trust区域,则:

  • Trust区域主机可以主动向UnTrust区域主机发起连接,UnTrust返回的应答报文也能正常
  • UnTrust区域主机不能主动向Trust区域主机发起连接,但是可以被动响应Trust区域主机发起的连接

补充

如何删除NAT Server

[FW1]undo nat server name [nat server名字]
[FW1]undo nat server ID 0
第一个基于名字的删除
第二个是基于ID号删除
在系统视图 使用dis this 然后翻到最后,可以看到name及ID号

标签:防火墙,rule,dmz,划分,NAT,policy,security,trust,FW1
From: https://www.cnblogs.com/ZhaoYork/p/17879162.html

相关文章

  • C. Removal of Unattractive Pairs
    原题链接不知道这个思想叫什么,应该叫结果思想导论如果存在一个最长的字符串,我又没有可能把他消掉?答案是,只要其他字符的长度大于等于最长字符串的长度,就一定能把他消掉。所以我们不考虑字符串是怎么消除的,直接看结果。原因解释如下1.该最长字符串一定和其他字符相连,则消除操......
  • 用户自定义消息及层次划分
    有些人对术语WM_USER表示消息范围基的名称有不同的意见,因为WM_USER是由窗口类的实现者来定义的。他们抱怨的是,用户不能使用它们,因为它们属于窗口类定义的一部分。但是,问题是,”这里的用户是谁?”换句话说,当我们说”用户自定义”这个词的时候,做自定义操作的这个用户到底是指谁?在......
  • VMware虚拟机nat模式路由器ping不通虚拟机为什么?
    在VMware虚拟机中,使用NAT(NetworkAddressTranslation)模式时,虚拟机会与虚拟的路由器连接,并通过该路由器与宿主机进行通信。因此,如果NAT模式下无法ping通虚拟机,可能有以下几个原因:路由器配置问题:检查虚拟路由器的网络配置,确保其能够正确地连接到宿主机和虚拟机,并且有正确的IP地址和......
  • Native API在HarmonyOS应用工程中的使用指导
    HarmonyOS的应用必须用js来桥接native。需要使用ace_napi仓中提供的napi接口来处理js交互。napi提供的接口名与三方Node.js一致,目前支持部分接口,符号表见ace_napi仓中的libnapi.ndk.json文件。开发流程在DevEco Studio的模板工程中包含使用Native API的默认工程,使用File->New->Cr......
  • Native API在HarmonyOS应用工程中的使用指导
     HarmonyOS的应用必须用js来桥接native。需要使用ace_napi仓中提供的napi接口来处理js交互。napi提供的接口名与三方Node.js一致,目前支持部分接口,符号表见ace_napi仓中的libnapi.ndk.json文件。开发流程在DevEco Studio的模板工程中包含使用Native API的默认工程,使用File-......
  • 应用报错:java.lang.OutOfMemoryError: unable to create new native thread
    上个月生产环境忽然出现部分交易处理缓慢甚至超时,查看对应应用日志发现一直在刷报错日志,报错信息如下java.lang.OutOfMemoryError:unabletocreatenewnativethread从报错上来看是说不能创建本地线程了,应用都是容器部署的,开始我怀疑是容器内存不够了导致内存泄露,但经过查看容器......
  • k8删Terminating 状态的namespace
     开启 proxy [root@master01tmp]#kubectlproxy--port=6880Startingtoserveon127.0.0.1:6880[root@master01~]#kubectlgetnskubesphere-system-ojson>m12.json[root@master01~]#vim12.json修改将spec的 finalize置空,如下所示  curl-k-H"Conte......
  • Centos7 防火墙开放端口,查看状态,查看开放端口
    CentOS7端口的开放关闭查看都是用防火墙来控制的,具体命令如下:查看防火墙状态:(active(running)即是开启状态)systemctlstatusfirewalld[root@WSSbin]#systemctlstatusfirewalld●firewalld.service-firewalld-dynamicfirewalldaemonLoaded:loaded......
  • hibernate使用原生sql查询Hibernate原生SQL多表查询字段名重复问题以及解决方法
    解决方案通过将别名.*换成{别名.*}hibernate会自动为我们生成别名,具体修改如下图: ......
  • centos7.5 hadoop NAT 静态IP网络环境搭建
    1设置VMware网络环境1.选择VMNet8并将子网IP修改为192.168.10.0,保证集群ip都在这个网段下2.选择NAT设置,配置NAT的网关为192.168.10.22设置windows11网络环境1.打开控制面板\网络和Internet\网络连接,选择VMnet8,右键选择属性2.双击Internet协议版......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99