华为ENSP、华为eNSP配置防火墙命令的放行实验

标签：ENSP untrust dmz rule 华为 policy eNSP security FW1

华为ENSP、华为eNSP配置防火墙命令行放行

- @[TOC](华为ENSP、华为eNSP配置防火墙命令行放行)
一、防火墙命令行放行原理
- 1.三种区域:
- 2.学会本次实验需要掌握的知识和即将学到的知识
二、实验
总结

一、防火墙命令行放行原理

1.三种区域:

DMZ区域是非军事化区域，外网流量要先访问DMZ区域，DMZ从而进行更好的阻拦
trust区域是内部区域，俗称内网
untrust区域是外部区域，俗称外网

内网需要做安全策略才能访问外网，外网是不能访问内网的

2.学会本次实验需要掌握的知识和即将学到的知识

PC的基本配置
server的基本配置
交换机的接口类型、vlan的划分
路由器的环回口、静态路由的配置
防火墙的划分区域、安全策略的配置以及修改接口

注意：防火墙的用户名：admin 初始密码：Admin@123

重要信息已经用红色字体写出来了

二、实验

1.实验要求

dmz和trust区域可以主动互访、untrust区域只能主动互访dmz和trust可以主动访问dmz和untrust。

trust --> dmz or untrust
untrust --> dmz
dmz --> trust

2.实验拓扑

在这里插入图片描述

3.实验命令

咱们的实验很简单，按照实验要求来就行，我LSW1和LSW2两个交换机有点不一样，LSW1配置过（如果有些’小呆呆’想配置，比较懒，也可以像LSW2一样不做配置），LSW2没有做配置，R1做了一个环回口和静态路由，FW1(这里使用的是6000V)写了三个策略
策略 1 > trust --> dmz or untrust
策略 2 > untrust --> dmz
策略 3 > dmz --> trust

LSW1

<Huawei>sy
Enter system view, return user view with Ctrl+Z.
[Huawei]sy LSW1
[LSW1]un in en
Info: Information center is disabled.
[LSW1]vlan 10
[LSW1-Vlanif10]po	
[LSW1-Vlanif10]portal 	
[LSW1]port-group group-member e0/0/2 e0/0/1        ---------------------------------聚合链路
[LSW1-port-group]port link-type access 
[LSW1-Ethernet0/0/2]port link-type access 
[LSW1-Ethernet0/0/1]port link-type access 
[LSW1-port-group]port default vlan 10
[LSW1-Ethernet0/0/2]port default vlan 10
[LSW1-Ethernet0/0/1]port default vlan 10

<Huawei>sy
Enter system view, return user view with Ctrl+Z.
[Huawei]sy R1
[R1]un in en
Info: Information center is disabled.
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 10.25.11.1 24
[R1-GigabitEthernet0/0/0]q
[R1]int l0
[R1-LoopBack0]ip add 1.1.1.1 24
[R1-LoopBack0]q	
[R1]ip route-static 0.0.0.0 0 10.25.11.2

FW1

<USG6000V1>sy
Enter system view, return user view with Ctrl+Z.
[USG6000V1]un in en
Info: Saving log files...
Info: Information center is disabled.
[USG6000V1]sy FW1
[FW1]vlan 10
Info: This operation may take a few seconds. Please wait for a moment...done.
[FW1-vlan10]q
[FW1]int vlan 10
[FW1-Vlanif10]ip add 10.25.1.254 24
[FW1-Vlanif10]q
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]portswitch         ---------------------------------------转换成二层接口
[FW1-GigabitEthernet1/0/2]port link-type access 
[FW1-GigabitEthernet1/0/2]port default vlan 10
[FW1-GigabitEthernet1/0/2]q
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 10.25.11.2 24
[FW1-GigabitEthernet1/0/0]q
[FW1]int g1/0/01
[FW1-GigabitEthernet1/0/1]ip add 10.25.2.254 24
[FW1-GigabitEthernet1/0/1]q
[FW1]firewall zone trust 
[FW1-zone-trust]add int vlan 10
[FW1-zone-trust]q
[FW1]firewall zone untrust 
[FW1-zone-untrust]add int g1/0/0
[FW1-zone-untrust]q
[FW1]firewall zone dmz
[FW1-zone-dmz]add int g1/0/1
[FW1-zone-dmz]q
[FW1]security-policy
[FW1-policy-security]rule name 1        --------------------------------------------安全策略名字
[FW1-policy-security-rule-1]source-zone trust        -------------------------------trust为 源区域
[FW1-policy-security-rule-1]destination-zone dmz untrust         -------------------dmz和untrust为 目标区域
[FW1-policy-security-rule-1]service icmp
[FW1-policy-security-rule-1]action permit 
[FW1-policy-security-rule-1]q
[FW1-policy-security]rule name 2        --------------------------------------------以下同理
[FW1-policy-security-rule-2]source-zone untrust 
[FW1-policy-security-rule-2]destination-zone dmz
[FW1-policy-security-rule-2]service icmp
[FW1-policy-security-rule-2]action permit 
[FW1-policy-security-rule-2]q
[FW1-policy-security]rule name 3
[FW1-policy-security-rule-3]source-zone dmz
[FW1-policy-security-rule-3]destination-zone trust 
[FW1-policy-security-rule-3]service icmp
[FW1-policy-security-rule-3]action permit 
[FW1-policy-security-rule-3]q
[FW1-policy-security]q
[FW1]ip route-static 1.1.1.1 24 10.25.11.1        -----------------------------------配置静态路由
Info: The destination address and mask of the configured static route mismatched
, and the static route 1.1.1.0/24 was generated.
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]service-manage ping permit         ------------------------在接口上允许ping
[FW1-GigabitEthernet1/0/0]q

总结

本次实验按照拓扑的要求完成了dmz和trust区域可以主动互访、untrust区域只能主动互访dmz和trust可以主动访问dmz和untrust。
这篇文章只是按照作者自己的思维来配置，若其他小伙伴有其他的想法欢迎与作者交流！！！

以上就是今天实验的内容，本文仅仅简单介绍了ensp中的防火墙的使用。

标签：ENSP,untrust,dmz,rule,华为,policy,eNSP,security,FW1
From： https://blog.csdn.net/weixin_46447409/article/details/142371326