网络设备之防火墙综合配置

admin 2021年10月31日07:24:29安全闲碎评论39 views4181字阅读13分56秒阅读模式
网络设备之防火墙综合配置

网安教育

培养网络安全人才

技术交流、学习咨询



网络设备之防火墙综合配置
拓扑图


网络设备之防火墙综合配置

要求pc1能够访问到DNS服务器,能够访问到内网服务器,实现地址转换,内网访问到外网


网络设备之防火墙综合配置
配置

  1[L1]dis cu
 2
 3version 7.1.075, Alpha 7571
 4
 5sysname L1
 6
 7lldp global enable
 8
 9vlan 1
10
11Vlan 2
12
13vlan 10
14
15vlan 20
16
17vlan 30
18
19stp global enable
20
21interface NULL0
22
23interface Vlan-interface2
24ip address 10.10.10.10 255.255.255.0
25
26interface Vlan-interface10
27ip address 192.168.1.1 255.255.255.0
28
29interface Vlan-interface20
30ip address 192.168.2.1 255.255.255.0
31
32interface Vlan-interface30
33ip address 192.168.3.1 255.255.255.0
34interface GigabitEthernet1/0/1
35port link-mode bridge
36port access vlan 10
37combo enable fiber
38
39interface GigabitEthernet1/0/2
40port link-mode bridge
41port access vlan 20
42combo enable fiber
43
44interface GigabitEthernet1/0/3
45port link-mode bridge
46port access vlan 30
47combo enable fiber
48
49interface GigabitEthernet1/0/4
50port link-mode bridge
51port access vlan 2
52combo enable fiber
53[H3C]dis cu
54
55version 7.1.064, Alpha 7164
56
57sysname H3C
58
59context Admin id 1
60
61telnet server enable
62
63irf mac-address persistent timer
64irf auto-update enable
65undo irf link-delay
66irf member 1 priority 1
67
68nat address-group 1
69address 200.200.200.1 200.200.200.1
70
71nat address-group 2
72address 114.114.114.114 114.114.114.114
73address 200.200.200.200 200.200.200.200
74
75nat address-group 3
76address 10.10.20.1 10.10.20.1
77
78nat address-group 4
79address 10.10.20.2 10.10.20.2
80
81nat static inbound 200.200.200.1 10.10.10.1
82nat static outbound 10.10.10.1 200.200.200.1
83
84xbar load-single
85password-recovery enable
86lpu-type f-series
87
88vlan 1
89
90interface NULL0
91
92interface GigabitEthernet1/0/0
93port link-mode route
94combo enable copper
95ip address 10.10.10.1 255.255.255.0
96
97interface GigabitEthernet1/0/1
98port link-mode route
99combo enable copper
100ip address 10.10.20.1 255.255.255.0
101nat inbound 2000 address-group 4 no-pat reversible
102nat outbound 2000 address-group 3
103
104interface GigabitEthernet1/0/2
105port link-mode route
106combo enable copper
107ip address 200.200.200.1 255.255.255.0
108nat inbound 2000 address-group 2 no-pat reversible
109nat outbound address-group 1
110nat static enable
111
112security-zone name Local
113
114security-zone name Trust
115import interface GigabitEthernet1/0/0
116
117security-zone name DMZ
118import interface GigabitEthernet1/0/1
119
120security-zone name Untrust
121import interface GigabitEthernet1/0/2
122
123security-zone name Management
124
125zone-pair security source DMZ destination Local
126packet-filter 2000
127
128zone-pair security source DMZ destination Trust
129packet-filter 2000
130
131zone-pair security source Local destination DMZ
132packet-filter 2000
133
134zone-pair security source Local destination Trust
135packet-filter 2000
136
137zone-pair security source Trust destination DMZ
138packet-filter 2000
139
140zone-pair security source Trust destination Local
141packet-filter 2000
142
143zone-pair security source Trust destination Untrust
144packet-filter 2000
145
146zone-pair security source Untrust destination Local
147packet-filter 2000
148
149ip route-static 10.10.20.0 24 10.10.20.2
150ip route-static 10.10.20.2 32 GigabitEthernet1/0/1 10.10.20.1
151ip route-static 114.114.114.0 24 200.200.200.200
152ip route-static 192.168.0.0 22 10.10.10.10
153ip route-static 200.200.200.1 32 GigabitEthernet1/0/2 200.200.200.200
154
155undo info-center enable
156
157acl basic 2000
158rule 0 permit
159rule 5 permit source 10.10.10.0 0.0.0.255
160service-type telnet terminal http
161authorization-attribute user-role level-3
162authorization-attribute user-role network-admin
163authorization-attribute user-role network-operator
164
165ip http enable
166ip https enable
167
168Return


要实现以上配置,要有清晰的思路

首先所有的设备按照图给分配ip地址,然后三层交换机要配vlan虚接口 放地址,再配置缺省路由

接着就是要对防火墙进行配置

在防火墙中,先对安全域的划分,一般内网都是trust,外网是untrust,服务器是DMZ区域

接着就是对安全策略的配置

然后进行nat配置,再进行静态路由配置


网络设备之防火墙综合配置
结果


网络设备之防火墙综合配置

网络设备之防火墙综合配置


网络设备之防火墙综合配置

版权声明:本文为CSDN博主「锅锅——Kk」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/m0_51186260/article/details/117631142

版权声明:著作权归作者所有。如有侵权请联系删除


开源聚合网安训练营

战疫期间,开源聚合网络安全基础班、实战班线上全面开启,学网络安全技术、升职加薪……有兴趣的可以加入开源聚合网安大家庭,一起学习、一起成长,考证书求职加分、升级加薪,有兴趣的可以咨询客服小姐姐哦!

网络设备之防火墙综合配置

加QQ(1005989737)找小姐姐私聊哦



精选文章


环境搭建
Python
学员专辑
信息收集
CNVD
安全求职
渗透实战
CVE
高薪揭秘
渗透测试工具
网络安全行业
神秘大礼包
基础教程
我们贴心备至
用户答疑
 QQ在线客服
加入社群
QQ+微信等着你

网络设备之防火墙综合配置


我就知道你“在看”
网络设备之防火墙综合配置


本文始发于微信公众号(开源聚合网络空间安全研究院):网络设备之防火墙综合配置

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月31日07:24:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  网络设备之防火墙综合配置 http://cn-sec.com/archives/399424.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: