华为防火墙实验
华为防火墙实验
·
拓扑
需求
- 内网能访问外网,但是外网不能访问内网
- 内网能访问服务器,但是服务器不能主动访问内网(防止黑客通过服务器攻击内网)
配置
1.基础配置
防火墙、路由器和PC的IP地址配置略
防火墙静态路由配置:
ip route-static 0.0.0.0 0.0.0.0 10.1.12.1
2.配置安全域
信任域--内网
firewall zone trust
add interface GigabitEthernet1/0/2
非信任域--外网
firewall zone untrust
add interface GigabitEthernet1/0/1
中间域--服务器
firewall zone dmz
add interface GigabitEthernet1/0/0
3.配置安全策略(默认全部拒绝)
默认情况下,安全策略均为拒绝,即没有配置允许的安全策略下,所有区域之间均无法访问。想要互访,必须配置对应的安全策略,且动作为允许。
security-policy //进入安全策略视图
rule name to_waiwang //创建规则--名字是to_waiwan,该策略可以实现内网访问外网
source-zone trust //源区域是信任域--内网
destination-zone untrust //目的区域是非信任域--外网
action permit //动作是允许
rule name to_fuwuqi //创建规则--名字是to_fuwuqi,该策略可以实现内网访问服务器
source-zone trust //源区域是信任域--内网
destination-zone dmz //目的区域是中间域--服务器
action permit //动作是允许
4.配置NAT策略
内网地址无法直接上网,因为内网地址是私网地址,必须转换成公网地址,才能实现上网。
nat-policy //进入NAT策略视图
rule name to_waiwang //创建规则--名字是to_waiwan,该策略可以实现内网地址从私网有地址转换为公网地址
source-zone trust //源区域是信任域--内网
destination-zone untrust //目的区域是非信任域--外网
action source-nat easy-ip //使用easy-ip的转换模式(使用出口的接口地址作为NAT转换的公网地址)
5.部分官方配置命令
1.创建接口/进入接口视图
[Huawei] interface interface-type interface-number
和交换机、路由器相同,interface命令用来创建接口或进入指定的接口视图。
2.(接口视图)配置接口允许通过的协议
[Huawei-GigabitEthernet0/0/1] service-manage { http | https | ping | ssh | snmp | netconf | telnet | all } { permit | deny }
service-manage命令用来允许或拒绝管理员通过HTTP、HTTPS、Ping、SSH、SNMP、NETCONF以及Telnet访问设备。
缺省情况下,接口开启了访问控制管理功能。仅有管理接口下 HTTP、HTTPS、Ping权限放开。非管理口所有权限都关闭。此时,即使配置了接口所在安全域允许访问local区域的安全策略,也不能通过该接口访问本地防火墙。
1.创建安全区域
[Huawei] firewall zone name zone-name [ id id ]
firewall zone name命令用来创建安全区域,并进入安全区域视图。id表示安全区域ID,取值4~99,默认递增。
firewall zone命令用来并进入安全区域视图。防火墙默认的四个区域无需创建也不能删除。
2.(安全区域视图)设置安全区域优先级
[Huawei-zone-name] set priority security-priority
优先级取值范围为1~100,全局唯一,值越大优先级越高。系统默认的安全区域不能被删除,优先级也无法被重新配置或者删除。
3.(安全区域视图)添加接口到安全区域
[Huawei-zone-name] add interface interface-type { interface-number | interface-number.subinterface-number }
安全区域在使用时需要与防火墙的特定接口相关联,即需要将接口加入到安全区域。该接口既可以是物理接口,也可以是逻辑接口。
1.进入安全策略视图
[Huawei] security-policy
安全策略规则的创建、复制、移动和重命名都在此视图下完成。
2.(安全策略视图)创建规则
[Huawei-policy-security] rule name rule-name
rule name命令用来创建安全策略规则,并进入安全策略规则视图。
3.(安全策略规则视图)配置安全策略规则的源安全区域
[Huawei-policy-security-rule-name] source-zone { zone-name &<1-6> | any }
命令中zone-name必须为系统已经存在的安全区域名称。安全策略规则一次最多添加或删除6个安全区域。
4.(安全策略规则视图)配置安全策略规则的目的安全区域
[Huawei-policy-security-rule-name] destination-zone { zone-name &<1-6> | any }
5.(安全策略规则视图)配置安全策略规则的源IP地址
[Huawei-policy-security-rule-name] source-address ipv4-address { ipv4-mask-length | mask mask-address}
命令中mask-address使用反掩码。
6.(安全策略规则视图)配置安全策略规则的目的IP地址
[Huawei-policy-security-rule-name] destination-address ipv4-address { ipv4-mask-length | mask mask-address}
命令中mask-address使用反掩码。
7.(安全策略规则视图)配置服务
[Huawei] service { service-name &<1-6> | any }
service命令用来配置服务,例如service protocol命令用来在安全策略中直接引用TCP/UDP/SCTP端口或IP层协议。
8.(安全策略规则视图)配置安全策略规则的动作
[Huawei] action { permit | deny }
防火墙默认的动作为deny。
结语
以上就是华为防火墙的实验,如果有不理解的或者想要防火墙的设备包欢迎评论和私信!!!
更多推荐
已为社区贡献3条内容
所有评论(0)