华为防火墙综合实验

华为防火墙综合实验

设计需求:

1:局域网需求
(1)vlan的设计
vlan10,教务部,网络地址为172.16.10.0/24
vlan20,后勤部,网络地址为172.16.20.0/24
vlan15,财务部,网络地址为172.16.15.0/24

(2)资源访问
要求教务部和后勤部可以上网,并且可以访问DMZ区域的FTP和WEB服务
财务部不能和其他vlan通信,也不能上网,但是能够访问DMZ区域的FTP和WEB服务

2:防火墙安全区域的设计
防火墙接口G1/0/0加入到trust区域
防火墙接口G1/0/4和G1/0/5加入DMZ区域
G1/0/1加入untrust区域

3:互联网用户访问内网服务器的设计
要求在互联网上能够访问DMZ区域中的WEB服务,但不能访问它的FTP服务

配置步骤:

1:内网二层交换机配置
<Huawei>undo terminal monitor
<Huawei>sys
[Huawei]sysname S2
[S2]
[S2]vlan batch 10 15 20

[S2]
[S2]int e0/0/10
[S2-Ethernet0/0/10]port link-type hybrid
[S2-Ethernet0/0/10]port hybrid pvid vlan 10
[S2-Ethernet0/0/10]port hybrid untagged vlan 10 20
[S2-Ethernet0/0/10]quit
[S2]
[S2]int g0/0/20
[S2-Ethernet0/0/20]port link-type hybrid
[S2-Ethernet0/0/20]port hybrid pvid vlan 20
[S2-Ethernet0/0/20]port hybrid untagged vlan 10 20
[S2-Ethernet0/0/20]quit
[S2]

[S2]int g0/0/15
[S2-Ethernet0/0/15]port link-type hybrid
[S2-Ethernet0/0/15]port hybrid pvid vlan 15
[S2-Ethernet0/0/15]port hybrid untagged vlan 1 15
[S2-Ethernet0/0/15]quit
[S2]

[S2]int g0/0/1
[S2-Ethernet0/0/1]port link-type hybrid
[S2-Ethernet0/0/1]port hybrid pvid vlan 1
[S2-Ethernet0/0/1]port hybrid untagged vlan 1 10 15 20
[S2-Ethernet0/0/1]quit
[S2]

2:运营商路由器的IP地址的设置

<Huawei>undo terminal monitor
<Huawei>sys
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 201.1.1.2 30
[R1-GigabitEthernet0/0/0]quit
[R1]

[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 101.1.1.254 24
[R1-GigabitEthernet0/0/1]quit
[R1]

[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 100.0.0.254 24
[R1-GigabitEthernet0/0/2]quit
[R1]

2:防火墙设置
(1)Ip地址的设置
<USG6000V1>undo terminal monitor
<USG6000V1>sys
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 172.16.1.1 16

[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 201.1.1.1 30
[USG6000V1-GigabitEthernet1/0/1]quit
[USG6000V1]
[USG6000V1]int g1/0/4
[USG6000V1-GigabitEthernet1/0/4]ip add 10.1.1.1 24
[USG6000V1-GigabitEthernet1/0/4]quit
[USG6000V1]

(2)安全区域的设置
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int g1/0/0
[USG6000V1-zone-trust]quit
[USG6000V1]

[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add int g1/0/4
[USG6000V1-zone-dmz]quit
[USG6000V1]

[USG6000V1]firewall zone name untrust
[USG6000V1-zone-jiaoyu]add int g1/0/1
[USG6000V1-zone-jiaoyu]quit
[USG6000V1]

(3)设置安全策略,使内网用户可以访问dmz区域的FTP服务和WEB服务
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name sec_1
[USG6000V1-policy-security-rule-sec_1]source-zone trust
[USG6000V1-policy-security-rule-sec_1]destination-zone dmz
[USG6000V1-policy-security-rule-sec_1]service ftp
[USG6000V1-policy-security-rule-sec_1]service http
[USG6000V1-policy-security-rule-sec_1]action permit
[USG6000V1-policy-security-rule-sec_1]quit
[USG6000V1-policy-security]quit
[USG6000V1]

(4)设置安全策略,使内网用户可以访问互联网,并且阻止财务部上网

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name sec_2
[USG6000V1-policy-security-rule-sec_3]source-zone trust
[USG6000V1-policy-security-rule-sec_2]source-address 172.16.20.0 24
[USG6000V1-policy-security-rule-sec_2]source-address 172.16.10.0 24
[USG6000V1-policy-security-rule-sec_3]destination-zone untrust
[USG6000V1-policy-security-rule-sec_3]action permit
[USG6000V1-policy-security-rule-sec_3]quit
[USG6000V1-policy-security]quit
[USG6000V1]

(5)设置安全策略,使互联网用户能够访问DMZ区域的WEB服务
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name sec_3
[USG6000V1-policy-security-rule-sec_3]source-zone untrust
[USG6000V1-policy-security-rule-sec_3]destination-zone dmz
[USG6000V1-policy-security-rule-sec_3]destination-address 10.1.1.0 24
[USG6000V1-policy-security-rule-sec_3]service http
[USG6000V1-policy-security-rule-sec_3]action permit
[USG6000V1-policy-security-rule-sec_3]quit
[USG6000V1-policy-security]quit
[USG6000V1]

(6)配置防火墙默认路由
[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 201.1.1.2

(7)配置nat
[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name nat_policy
[USG6000V1-policy-nat-rule-nat_policy]source-address 172.16.0.0 16
[USG6000V1-policy-nat-rule-nat_policy]source-zone trust
[USG6000V1-policy-nat-rule-nat_policy]destination-zone untrust
[USG6000V1-policy-nat-rule-nat_policy]action nat easy-ip
[USG6000V1-policy-nat-rule-nat_policy]quit
[USG6000V1-policy-nat]quit
[USG6000V1]

[USG6000V1]nat server natserver_web protocol tcp global 200.0.0.1 80 inside 10.1.1.10 80 no-reverse
[USG6000V1]ip route-static 200.0.0.1 32 NULL 0

在运营商的路由器上配置前往200.0.0.1的;路由
ip route-static 200.0.0.0 24 201.1.1.1

3:验证访问

原文地址:https://blog.51cto.com/72756/2371892

时间: 2024-10-09 14:04:15

华为防火墙综合实验的相关文章

华为交换机MSTP综合实验详解

在网络部分理论知识的学习过程中,MSTP(即多实例生成树)属于比较难掌握的知识点,本实验为大家介绍MSTP综合实验讲解,实验要求和拓扑如下. 实验要求:1.Client1属于vlan10,Client2属于vlan20,Server1属于vlan30:2.vlan10.vlan20.vlan30的网关在SW3上:3.实现Client1和Client2访问Server1时,流量负载均衡且路径最优. 实验拓扑如下图: 第一步:在SW1.SW2.SW3上面配置基本网络. SW1配置sysname SW

如何利用PC机搭建综合实验环境之Vmware workstation篇

无论学习windows还是linux,还是学习这些系统上的应用,我们都需要一台甚至多台服务器.但一台服务器动辄上万元,做为正在学习的学生或个人根本无力购买.况且一些实验不止需要一台,还需要多台服务器.再加上供电等因素,个人买服务器来做实验真的是不可能的事情.但不通过实验的话又很难将知识串联起来,实践是检验真理的唯一标准.因此,今天我们来讲如何通过一台PC模拟多台服务器.PC,并且模拟交换机.路由器.防火墙.AAA服务器,最后将交换机,路由器.防火墙.服务器连接起来,搭建成一个综合的实验环境,完成

centos7+docker综合实验

dockerfile,registry,使用nginx反向代理搭建私有仓库 防伪码:你好阳光 一.实验拓扑: 二.实验要求: 实验机器(两台centos7.2) 1.registry_server和docker宿主机均需安装docker软件包并启动docker服务. 2.搭建私有仓库服务器,为docker主机提供镜像仓库,实现镜像下载与上传功能 3.在docker宿主机上将下载下来的基础镜像生成提供http和ssh服务的新镜像,可以使用docker commit或docker build命令生成

PPTP VPN在Cisco Router上的应用三:PPTP综合实验

本博文关于PPTP的实验包括以下内容: 实验1:基本的PPTP Server配置和Client配置(WinXP和Win7) 实验2:使用不加密的PPTP配置 实验3:使用PAP或CHAP认证的PPTP配置 实验4:PPTP问题1:TCP1723被阻止导致无法拨通 实验5:GRE防火墙检测和PAT转换问题 实验6:综合实验1:PPTP在实际工程的应用(结合radius实现多用户部署) 在实际项目工程中,如果做VPN的话,很少使用PPTP技术.思科的IPSEC和SSL VPN技术已经十分成熟和先进了

【实验】综合实验(VLAN间通信,ACL技术,DNS/WEB服务器架设,RIP路由)

实验名称:综合实验 实验目的: 1实现全网互通2Client1可以访问www.ntd1711.com并保存网页文件3PC1与PC2之间的任何类型的流量都无法互通涉及技术:VLAN间通信/RIP/DNS/WEB/3层交换机/ACL 拓扑图: 相关设备: 二层交换机:SW1/SW2/SW3三层交换机:MSW1/MSW2(MSW1为VLAN10/20的网关)(MSW2为VLAN30/40的网关)服务器:DNS服务器/WEB服务器终端设备:主机1-5/客户端1配置思路:一-全网互通(VLAN间畅通)#2

华为防火墙过滤策略

华为的防火墙过滤策略分为域内过滤以及域间过滤(拓扑都是一个) 所谓域内过滤,即同一个域内的过滤策略,比如trust区域内部的过滤策略即为域内过滤 我们先来说一说域内过滤(trust区域同区域内是可以互相ping通的) 那么我们的目的就是让PC1和PC2互相ping不通 实验步骤: 1.创建针对trust区域的策略 2.创建策略1(然后在其中书写我们所需要的策略) 3.书写源地址以及反掩码(注意,这里写的是反掩码) 4.书写所针对的目标地址及其反掩码 5.通过一个动作控制它 现在我们来测试一下:

华为防火墙6000web界面配置

实验名称华为防火墙6000web界面配置 实验拓扑图 3.实验目的:  1.使内网 192.168..2.0网段通过pat转化可以上外网 2.使内网 client 1可以访问外网web服务器 3.发布内网WEB服务器,可以使外网client2可以访问 4.地址 规划 :  trust : client1 : 192.168.2.1 255.255.255.0 gateway  192.168.2.254 dmz :  192.168.3.1 255.255.255.0 gateway 192.1

Linux Centos7 综合实验(DNS+DHCP+WEB)

一.Linux Centos7 综合实验(DNS+DHCP+WEB) 1.实验需要的设备:两台客户机,一个二层交换机,一个三层交换机,一个Centos7作为dhcp和dns服务器,一个路由器,一个web服务器(sever2016) 2.实验目的 1.sw2为二层交换机,分别有vlan10,vlan20,vlan100 三个vlan,f1/1-3是接入链路,f1/0为中继链路.2.sw1为三层交换机,分别为三个vlan提供网关,vlan10:192.168.10.1/24.vlan20:192.1

华为防火墙实现远程管理的方式及配置详解

关于网络设备或是服务器,管理人员几乎很少会守着设备进行维护及管理,最普遍.应用最广泛的就是--远程管理.下面简单介绍一下华为防火墙管理的几种方式. 博文大纲:一.华为防火墙常见的管理方式:二.各种管理方式配置详解:1.通过Console线进行管理:2.通过Telnet方式管理:3.通过Web方式登录设备:4.配置SSH方式登录设备: 一.华为防火墙常见的管理方式 提到管理,必然会涉及到AAA的概念,我们首先来了解一下--AAA. AAA概述 AAA是验证.授权和记账三个英文单词的简称.是一个能够