华为防火墙的安全策略配置实例
今天给大家介绍华为防火墙的安全策略配置实例。本文采用华为eNSP模拟器,设计了一个USG6000系列防火墙的配置实例,并安全要求完成了相应配置。
一、实验拓扑及要求
实验拓扑如上所示,现在要求配置如图所示的实验拓扑图,并配置防火墙安全策略实现:
1、Trust区域可以访问Untrust区域。
2、Trust区域可以访问DMZ区域的lo0,但不能访问其他IP地址。
二、实验配置命令
(一)华为防火墙默认安全策略
在华为系列防火墙中,默认的安全策略根据出入区域的不同而不同,具体如下所示:
1、域内流量。 域内流量是指从一个区域流向同一个区域的流量,防火墙默认策略是允许。
2、域间流量。域间流量是指从一个区域流向另一个区域的流量,防火墙默认策略是拒绝。
3、自身流量。自身流量是指防火墙自身发出的流量或者是目的是防火墙的流量,默认是拒绝。自身流量除了可以在安全策略上配置外,还可以在接口上直接配置,并且在接口上配置的优先级要高于在安全策略中配置的优先级。
(二)安全区域划分相关配置命令
安全区域划分只需要把固定的接口放置到指定的区域中,相关命令如下所示:
firewallzonetrust setpriority85 addinterfaceGigabitEthernet0/0/0 addinterfaceGigabitEthernet1/0/2 # firewallzoneuntrust setpriority5 addinterfaceGigabitEthernet1/0/0 # firewallzonedmz setpriority50 addinterfaceGigabitEthernet1/0/1
(三)安全策略配置命令
安全策略配置时要按照要求配置相应策略,在这里要特别注意策略的配置顺序,相关配置命令如下所示:
security-policy rulenamep1 source-zonetrust destination-zonetrust destination-zoneuntrust serviceicmp actionpermit rulenamep2 source-zonetrust destination-zonedmz destination-address2.2.2.2mask255.255.255.255 actionpermit rulenamep3 source-zonetrust destination-zonedmz actiondeny
三、实验现象
(一)Trust区域可以访问Untrust区域正常
(二)Untrust区域访问Trust区域被禁止
(三)Trust区域可以访问2.2.2.2正常
(四)Trust区域访问其他DMZ区域被禁止
四、附录——防火墙相关配置命令
防火墙相关配置命令如下所示:
# interfaceGigabitEthernet0/0/0 undoshutdown ipbindingvpn-instancedefault ipaddress192.168.0.1255.255.255.0 aliasGE0/METH # interfaceGigabitEthernet1/0/0 undoshutdown ipaddress150.1.1.10255.255.255.0 # interfaceGigabitEthernet1/0/1 undoshutdown ipaddress192.168.1.10255.255.255.0 # interfaceGigabitEthernet1/0/2 undoshutdown ipaddress192.168.2.10255.255.255.0 # firewallzonetrust setpriority85 addinterfaceGigabitEthernet0/0/0 addinterfaceGigabitEthernet1/0/2 # firewallzoneuntrust setpriority5 addinterfaceGigabitEthernet1/0/0 # firewallzonedmz setpriority50 addinterfaceGigabitEthernet1/0/1 # iproute-static2.2.2.2255.255.255.255192.168.1.2 # security-policy rulenamep1 source-zonetrust destination-zonetrust destination-zoneuntrust serviceicmp actionpermit rulenamep2 source-zonetrust destination-zonedmz destination-address2.2.2.2mask255.255.255.255 actionpermit rulenamep3 source-zonetrust destination-zonedmz actiondeny
审核编辑:汤梓红
-
华为
+关注
关注
215文章
34294浏览量
251163 -
防火墙
+关注
关注
0文章
416浏览量
35588 -
命令
+关注
关注
5文章
678浏览量
21983 -
模拟器
+关注
关注
2文章
866浏览量
43157
原文标题:华为USG6000防火墙安全策略配置实例(CLI方式)
文章出处:【微信号:网络技术干货圈,微信公众号:网络技术干货圈】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
【电脑安全技巧】电脑防火墙的使用技巧
嵌入式IPv6防火墙有什么用?
NetScreen防火墙策略与冗余配置指南
实例分析携程运维用防火墙
增强SoC总线访问安全的防火墙架构方案【基于AXI总线】
网站安全公司waf防火墙的基本概念介绍
什么是防火墙?防火墙如何工作?
东用科技与华为防火墙构建IPSec VPN配置指导手册
工商网监
评论