今天以华为USG系列防火墙为例,写一个在企业出口配置防火墙的网络实验。
防火墙作为VAS设备,向租户提供安全策略、EIP、源NAT、IPSec、内容安全等增值安全服务。作为执行器,接收控制器下发的防御策略,及时阻断威胁流量。
应用领域包括:校园出口、广电网络、金融中心、企业园区、云计算等。
以企业园区为例:防火墙部署在大中型企业出口提供Internet接入、VPN互联和安全防护功能,主要使用双机热备、NAT、ISP智能选路、VPN、攻击防范等功能。
下面列举2个应用场景配置:CLI和Web
管理员登录设备后,首先要对设备进行网络基础配置,使设备快速接入网络,如下图,企业购买了FW作为企业出口网关。管理员在登录FW后,首先需要对FW进行网络基础配置,包括设备名称、时钟、接口IP地址、安全区域、缺省路由及缺省包过滤的配置。
CLI配置思路
- 配置FW的设备名称。
- 配置FW的时钟。
- 配置FW各业务接口的IP地址。IP地址需要在配置前进行统一规划。
- 将各个业务接口加入安全区域。一般情况下,连接外网的接口加入安全级别低的安全区域(例如untrust区域),连接内网的接口加入安全级别高的安全区域(例如trust区域),服务器可以加入DMZ区域。
- 配置缺省路由,下一跳为ISP提供的接入点。
- 打开缺省包过滤,保证FW能够接入Internet。缺省情况下,缺省包过滤关闭。
CIL操作步骤
1.配置设备名称
<FW> system-view [FW] sysname FW_A [FW_A] quit
2.配置时钟,包括当前时间和时区。
<FW> clock datetime 18:10:45 2023-08-14 <FW> clock timezone BJ add 08:00:00
3.配置接口的IP地址。连接外网的接口IP地址(本例为10.1.1.1/24)需要从当地ISP获取。
<FW_A> system-view [FW_A] interface GigabitEthernet 0/0/0 [FW_A-GigabitEthernet0/0/0] ip address 192.168.1.1 24 [FW_A-GigabitEthernet0/0/0] quit [FW_A] interface GigabitEthernet 0/0/1 [FW_A-GigabitEthernet0/0/1] ip address 10.1.1.1 24 [FW_A-GigabitEthernet0/0/1] quit [FW_A] interface GigabitEthernet 0/0/2 [FW_A-GigabitEthernet0/0/2] ip address 1.1.1.1 24 [FW_A-GigabitEthernet0/0/2] quit
4.将各个业务接口加入安全区域。
[FW_A] firewall zone trust [FW_A-zone-trust] add interface GigabitEthernet 0/0/0 [FW_A-zone-trust] quit [FW_A] firewall zone dmz [FW_A-zone-dmz] add interface GigabitEthernet 0/0/1 [FW_A-zone-dmz] quit [FW_A] firewall zone untrust [FW_A-zone-untrust] add interface GigabitEthernet 0/0/2 [FW_A-zone-untrust] quit
5.配置缺省路由。
[FW_A] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
6.打开缺省包过滤,保证FW能够接入Internet。
这里同样可以用脚本直接导入的方式实现一键配置,以下是完整的配置脚本:
# sysname FW_A # interface GigabitEthernet0/0/0 ip address 192.168.1.1 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 10.1.1.1 255.255.255.0 # interface GigabitEthernet0/0/2 ip address 1.1.1.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 # firewall zone dmz set priority 50 add interface GigabitEthernet0/0/1 # firewall zone untrust set priority 5 add interface GigabitEthernet0/0/2 # ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 # security-policy default action permit # return
Web配置思路
- 配置FW的时钟。
- 配置FW各业务接口的IP地址。IP地址需要在配置前进行统一规划。
- 将各个业务接口加入安全区域。一般情况下,连接外网的接口加入安全级别低的安全区域(例如untrust区域),连接内网的接口加入安全级别高的安全区域(例如trust区域),服务器可以加入DMZ区域。
- 配置缺省路由,下一跳为ISP提供的接入点。
- 打开缺省包过滤,保证FW能够接入Internet。缺省情况下,缺省包过滤关闭。
Web操作步骤
- 配置时钟,包括当前时间和时区。
- 选择“系统 > 配置 > 时钟配置”。
- 在“配置方式”中选择“手动配置时间”。
- 配置“时区”。
- 配置“日期”。
- 配置“系统时间”。
- 单击“应用”。
- 配置接口0的IP地址和安全区域。
- 选择“网络 > 接口”。
- 单击GE0/0/0。
- 按如下参数配置接口GE0/0/0。安全区域trust的IP地址192.168.1.1/24
- 单击“确定”。
- 重复上述步骤按如下参数配置接口GE0/0/1。安全区域dmz的IP地址10.1.1.1/24
- 重复上述步骤按如下参数配置接口GE0/0/2。安全区域untrust的IP地址1.1.1.1/24
- 配置缺省路由。
- 选择“网络 > 路由 > 静态路由”。
- 单击“新建”。
- 按如下参数配置缺省路由。目的地址0.0.0.0掩码0.0.0.0下一跳1.1.1.254
- 单击“确定”。
- 打开缺省包过滤,保证FW能够接入Internet。一般情况下建议保持缺省包过滤关闭,然后配置具体允许哪些数据流通过的安全策略。
- 选择“策略 > 安全策略”。
- 修改default安全策略的动作为允许。
- 单击“确定”。
以上就是企业出口防火墙典型案例的详细配置,感兴趣的同学可以在ensp搭建拓扑图试一下。
Thanks for sharing. I read many of your blog posts, cool, your blog is very good. https://accounts.binance.com/en-ZA/register?ref=JHQQKNKN
I have to thank you for the efforts you’ve put iin penning
this blog. I am hoping to view the same high-grade blog posts by you in the future as
well. In fact, your creative writing abilities has inspirewd me to get my own, personal blog now ;) http://Boyarka-Inform.com/
I have to thank you for the efforts you’ve put in penning this
blog. I am hoping to view the same high-grade blog posts by
you in the future as well. In fact, your creative writing abilities hhas inspired me to get my own, personal blog now ;) http://Boyarka-Inform.com/
Enjoy the Game First
Finally, remember that digital slot machines are meant to be enjoyable.
While success feels good, it’s noot certain. Appreciate the themes, animations, and features
with Thepokies106. When you concentrate on enjoyment instead of just
the outcome, the experience bscomes far more satisfying. https://At.Trustpilot.com/review/simanija.eu
Enjoy the Game First
Finally, remember that digital slot machines are meant to be enjoyable.
While success feels good, it’s not certain. Appreciate the
themes, animations, and festures with Thepokies106.
When you concentrate on enjoyment instead of just the
outcome, thhe experience becomes far more satisfying. https://At.Trustpilot.com/review/simanija.eu
Los casinos son lugares en los que los usuarios pueden participar en una variedad de juegos de
azar. Algunos de los juegos más comunes se encuentran las máquinas tragamonedas, la ruleta, el póker y el blackjack.
Muchos jugadores los visitan buscando entretenimiento, mientras
que otros loo hacen esperando ganar dinero.
Actualmente, los casinos en línea también han ganado mucha atención, permitiendo a los
usuarios jugar desde la comodidad de su hogar. Estos ofrecen bonificaciones atractivas y opciones de juego variadas.
Es importante rdcordar que el juego debe serr responsable y practicarse
de forma controlada.
Los casinos, tanto físicos como digitales, forman parte
del entretenimiento moderno, y su éxito radica en la emoción del azar. https://fr-be.trustpilot.com/review/kabaal2022.be
Ein Online-Glücksspielanbieter ist eine plattform, auf der nutzer verschiedene spiele wie tischspiele undd pokerrspiele genießen können.Ob
Sie gerne ab undd zu spielen, Online-Casinols bieten eine breite auswahl für alle arten von spielern.
Die meisten online-casinos bieten attraktive bonusangebote,
um neukunden zu belohnen. Zusätzlich können treueprogramme den Spielern weitere vorteile bieten.
Bezahlmethoden sind in online-casinos geschützt, mit optionen wie e-wallets, die einfache abhebungen ermöglichen. Sicherheit und
fairness sind in guten casinos garantiert.
Spielen im online-casino macht spaß fürspieler, die bequem zu hause spielen möchten. https://de.trustpilot.com/review/jack-topcasino.top
Ein Online-Casino ist eine anwendung, aauf der spieler verschiedene glücksspielmöglichkeiten wie spielautomaten und
pokerspiele genießen können. Ob Siie eein erfashrener spieler sind, Online-Casinos bieten unzählige möglichkeiten für jedes spielniveau.
Viele plattformen bieten free spins, um neue spieler zzu gewinnen. Zusätzlich können loyalitätssysteme den Spielern weitere
vorteile bieten.
Bezahlmethoden snd in online-casinos geschützt, mitt optionen wie kreditkarten, die sichere transaktionen ermöglichen. Sicherheit und faiurness sind in guten casinos garantiert.
Spielen im online-casino macht spaß für spieler,
die bequem zu haus spielen möchten. https://de.trustpilot.com/review/spinybetcasino.top
Ein Online-Casino ist eine plattform, auf der glücksspielbegeisterte
verschiedene glücksspielmöglichkeiten wie spielautomaten und pokerspiele genießen können. Ob Siee ein erfahrener spieler
sind, Online-Casinos bieten vielfältige optionen für jedes spielniveau.
Viele plattformen bieten attraktive bonusangebote, um neukunden zzu belohnen. Zusätzlich können wiederkehrende boni den Spierlern zusätzliche anreize schaffen.
Bezahlmethoden sind in online-casinos geschützt, mit optionen wie banküberweisungen, die schnelle einzahlungen ermöglichen. Vertrauenswürdige anbieter sorgen für die
sicherheit der spieler.
Spielen im online-casino acht spaß für spieler, die viel spaß beim glücksspiel haben. https://de.trustpilot.com/review/vaveonlinecasino.top
Ein Online-Casino ist eine plattform, auf der glücksspielbegeisterte
verschiedene glücksspielmöglichkeiten wie spielautomaten unnd pokerspiele genießen können. Ob Sie ein erfahrener spieler
sind, Online-Casijos bieten vielfältige optionen für jedes spielniveau.
Viele plattformen bieten attraktive bonusangebote,
um neukunden zu belohnen. Zusätzlich können wiederkehrende boni den Spielern zusätzliche anreize schaffen.
Bezahlmethoden sind in online-casinos geschützt, mit optionen wie banküberweisungen, die schnelle einzahlungen ermöglichen. Vertrauenswürdige
anbieter sorgen für die sicherheit der spieler.
Spielen im online-casino macht spaß für spieler, die viel spaß beim
glücksspiel haben. https://de.trustpilot.com/review/vaveonlinecasino.top