当前位置: 首页 > article >正文

华为ensp防火墙配置(纯享版)

article 2024/11/14 15:23:11

文章目录

  • 前言
  • 一、拓扑结构
  • 二、配置步骤
    • 1.路由器配置(路由器代替互联网)
    • 2.server和pc配置
    • 3.防护墙配置
    • 4.测试
  • 总结

前言

防火墙是生活和项目中不可或缺的一部分,本篇文章对华为的ensp防火墙配置做一个总结。在之前的dhcp配置中有软件的下载地址,需要地址的小伙伴可以去看之前的dhcp中继配置。

一、拓扑结构

在这里插入图片描述
在这里插入图片描述

  1. 路由器选择:AR2220
  2. 防火墙选择:USG6000V(这个防火墙需要导入镜像后才能启动)

二、配置步骤

在这里插入图片描述
整体拓扑以及ip,个人喜欢使用/24的掩码

1.路由器配置(路由器代替互联网)

路由器这边配置很简单就一个ip

system
undo info-center enable   -----关闭消息
interface GigabitEthernet 0/0/1
ip address 114.114.114.1 24

2.server和pc配置

代码如下(示例):

server添加对应ip和网关,网关是防火墙的GE 1/0/1的地址
pc添加对应ip和网关,这两个配置完后一定要点击应用或者保存,不然可能测试的时候不通

图2

3.防护墙配置

在这里插入图片描述
防火墙需要输入密码才能登录

Username:admin
Password:Admin@123
输入后它会提示你修改密码,选择Y,密码复杂程度是大小写加特殊字符(我设置的是Root@1234----------------------------------------------------------------------------------------
system
undo info-center enable   -----关闭消息
interface GigabitEthernet 1/0/0   -----untrust
ip address 114.114.114.254 24
interface GigabitEthernet 1/0/1   -----dmz
ip address 10.1.1.254 24
interface GigabitEthernet 1/0/2   -----trust
ip address 192.168.1.254 24
----------------------------------------------------------------------------------------
firewall zone untrust
add interface  GigabitEthernet 1/0/0   -----untrust
firewall zone dmz
add interface  GigabitEthernet 1/0/1   -----dmz
firewall zone trust
add interface  GigabitEthernet 1/0/2   -----trust
----------------------------------------------------------------------------------------
security-policy     -----安全策略
rule name t_to_ut   -----命名为t_to_ut,意思是这个策略是从trust到untrust
source-zone trust
destination-zone utrust   -----从trust到untrust,执行到这里其实就可以了,下面内容是拓展内容
source-address 192.168.1.0 24   -----添加源ip
destination-address any         -----添加目前ip,any表示trust到untrust的任意ip
action permit
rule name t_to_dmz  -----命名为t_to_dmz,意思是这个策略是从trust到dmz
source-zone trust
destination-zone dmz
source-address 192.168.1.0 24   -----添加源ip,都是trust至其他区域所以这里是一样的
destination-address any         -----添加目前ip,都是trust至其他区域所以这里是一样的
action permit                   -----如果想实现dmz到untrust可以根据上述内容反推
----------------------------------------------------------------------------------------
nat address-group t_to_ut    -----nat配置,添加nat组,名字为t_to_ut
mode pat                     -----选择模式
section 0 114.114.114.30 114.114.114.50   -----添加地址池,要注意避开114.114.114.1254
nat-policy                   -----nat策略
rule name t_to_ut            -----nat策略名
source-zone trust
destination-zone utrust      -----和之前的security-policy一样可以加源目ip
action source-nat address-group t_to_ut-----表示使用组t_to_ut源nat地址的转换
nat address-group t_to_dmz
mode pat                     -----选择模式
section 0 10.1.1.30 10.1.1.50   -----添加地址池,要注意避开
nat-policy                   -----nat策略
rule name t_to_dmz            -----nat策略名
source-zone trust
destination-zone dmz      -----和之前的security-policy一样可以加源目ip
action source-nat address-group t_to_dmz

4.测试

在这里插入图片描述
在这里插入图片描述

总结

防火墙的配置拓展很多,本文不涉及抄袭,写文的目的是解决自在配置时候的问题,并总结经验,提供一些方法给需要的同学!!!!


http://www.kler.cn/a/388368.html

相关文章:

  • FreeRTOS学习13——任务相关API函数
  • 数据结构与算法-前缀和数组
  • SpringBoot(八)使用AES库对字符串进行加密解密
  • 【AI技术对电商的影响】
  • 鸿蒙next版开发:订阅应用事件(ArkTS)
  • 信号量和线程池
  • web——[GXYCTF2019]Ping Ping Ping1——过滤和绕过
  • 【日志】力扣58.最后一个单词的长度//14.最长公共前缀//28. 找出字符串中第一个匹配项的下标
  • PHP API的路由设计思路
  • Java基础面试题
  • strerror函数详解
  • JavaScript缓存之Service Worker workbox
  • Library:Day-02
  • qt QPixmapCache详解
  • 解决 Vue3、Vite 和 TypeScript 开发环境下跨域的问题,实现前后端数据传递
  • b4tman / docker-squid 可快速安装运行的、容器型代理服务器 + podman
  • contos7.9 部署3节点 hadoop3.4 集群 非高可用
  • 【.NET 8 实战--孢子记账--从单体到微服务】--简易权限--访问权限中间件
  • 深度学习:NAT Decoder 详解
  • 【GPTs】EmojiAI:轻松生成趣味表情翻译
  • Java进阶嵌套循环:十.冒泡与选择算法排序
  • 命令行工具PowerShell使用体验
  • 【C++】STL中的list容器详解及常用函数用法
  • UOS启动器
  • CI/CD 实践总结
  • HTB:Explore[WriteUP]