華為防火墻的安全策略配置實例
今天給大家介紹華為防火墻的安全策略配置實例。本文采用華為eNSP模擬器,設計了一個USG6000系列防火墻的配置實例,并安全要求完成了相應配置。
一、實驗拓撲及要求
實驗拓撲如上所示,現在要求配置如圖所示的實驗拓撲圖,并配置防火墻安全策略實現:
1、Trust區域可以訪問Untrust區域。
2、Trust區域可以訪問DMZ區域的lo0,但不能訪問其他IP地址。
二、實驗配置命令
(一)華為防火墻默認安全策略
在華為系列防火墻中,默認的安全策略根據出入區域的不同而不同,具體如下所示:
1、域內流量。 域內流量是指從一個區域流向同一個區域的流量,防火墻默認策略是允許。
2、域間流量。域間流量是指從一個區域流向另一個區域的流量,防火墻默認策略是拒絕。
3、自身流量。自身流量是指防火墻自身發出的流量或者是目的是防火墻的流量,默認是拒絕。自身流量除了可以在安全策略上配置外,還可以在接口上直接配置,并且在接口上配置的優先級要高于在安全策略中配置的優先級。
(二)安全區域劃分相關配置命令
安全區域劃分只需要把固定的接口放置到指定的區域中,相關命令如下所示:
firewallzonetrust setpriority85 addinterfaceGigabitEthernet0/0/0 addinterfaceGigabitEthernet1/0/2 # firewallzoneuntrust setpriority5 addinterfaceGigabitEthernet1/0/0 # firewallzonedmz setpriority50 addinterfaceGigabitEthernet1/0/1
(三)安全策略配置命令
安全策略配置時要按照要求配置相應策略,在這里要特別注意策略的配置順序,相關配置命令如下所示:
security-policy rulenamep1 source-zonetrust destination-zonetrust destination-zoneuntrust serviceicmp actionpermit rulenamep2 source-zonetrust destination-zonedmz destination-address2.2.2.2mask255.255.255.255 actionpermit rulenamep3 source-zonetrust destination-zonedmz actiondeny
三、實驗現象
(一)Trust區域可以訪問Untrust區域正常
(二)Untrust區域訪問Trust區域被禁止
(三)Trust區域可以訪問2.2.2.2正常
(四)Trust區域訪問其他DMZ區域被禁止
四、附錄——防火墻相關配置命令
防火墻相關配置命令如下所示:
# interfaceGigabitEthernet0/0/0 undoshutdown ipbindingvpn-instancedefault ipaddress192.168.0.1255.255.255.0 aliasGE0/METH # interfaceGigabitEthernet1/0/0 undoshutdown ipaddress150.1.1.10255.255.255.0 # interfaceGigabitEthernet1/0/1 undoshutdown ipaddress192.168.1.10255.255.255.0 # interfaceGigabitEthernet1/0/2 undoshutdown ipaddress192.168.2.10255.255.255.0 # firewallzonetrust setpriority85 addinterfaceGigabitEthernet0/0/0 addinterfaceGigabitEthernet1/0/2 # firewallzoneuntrust setpriority5 addinterfaceGigabitEthernet1/0/0 # firewallzonedmz setpriority50 addinterfaceGigabitEthernet1/0/1 # iproute-static2.2.2.2255.255.255.255192.168.1.2 # security-policy rulenamep1 source-zonetrust destination-zonetrust destination-zoneuntrust serviceicmp actionpermit rulenamep2 source-zonetrust destination-zonedmz destination-address2.2.2.2mask255.255.255.255 actionpermit rulenamep3 source-zonetrust destination-zonedmz actiondeny
審核編輯:湯梓紅
-
華為
+關注
關注
216文章
34532瀏覽量
252995 -
防火墻
+關注
關注
0文章
420瀏覽量
35681 -
命令
+關注
關注
5文章
696瀏覽量
22107 -
模擬器
+關注
關注
2文章
881瀏覽量
43418
原文標題:華為USG6000防火墻安全策略配置實例(CLI方式)
文章出處:【微信號:網絡技術干貨圈,微信公眾號:網絡技術干貨圈】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
【電腦安全技巧】電腦防火墻的使用技巧
嵌入式IPv6防火墻有什么用?
NetScreen防火墻策略與冗余配置指南
實例分析攜程運維用防火墻
增強SoC總線訪問安全的防火墻架構方案【基于AXI總線】
網站安全公司waf防火墻的基本概念介紹
什么是防火墻?防火墻如何工作?
東用科技與華為防火墻構建IPSec VPN配置指導手冊
工商網監
評論