中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

華為防火墻USG5500的配置方法

發布時間:2020-07-31 21:09:22 來源:網絡 閱讀:39624 作者:IT馬曉飛 欄目:建站服務器

防火墻基本配置

什么是防火墻

防火墻(Firewall),也稱防護墻,是由Check Point創立者Gil Shwed于1793年發明并引入國際互連網(US5606668(A)1793-12-15)。它是一項信息安全的防護系統,依照特定的規則,允許或是限制傳輸的數據通過。在網絡中,所謂“防火墻”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的***來訪問你的網絡。換句話說,如果不通過防火墻,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。

一、場景描述:

某學院新校區有一棟辦公圖書樓、實訓樓和教學樓,假設各建筑物內局域網已建成,現要將各樓宇局域網互聯,建設成高可靠性的校園網。校園網的網絡拓撲結構圖如下所示。其中WAN-AR1模擬外網路由器,FW1為內網核心防火墻,LSW1為內網核心交換機,LSW2為服務器群的接入交換機,PC1模擬辦公圖書樓的一臺電腦,PC2模擬實訓樓的一臺電腦,PC3模擬實訓樓的一臺客戶端。

二、配置要求:

 1.  實現防火墻域的管理,其中內網接入TRUST域,外網接入UNTRUST域,服務器接入DMZ域。

2.   內網設備之間采用OSPF協議,FW1防火墻與外網路由器AR1之間采用靜態路由。3.  防火墻使用NAT完成內網的地址轉換,實現內網用戶對Internet(AR1仿真)的訪問。

4.   外網用戶可以通過目的NAT技術訪問服務器。

5.   辦公樓用戶PC1只能在工作日訪問外網,可以隨時訪問DMZ。

6.   實訓樓用戶PC2只能訪問DMZ域中的服務器,不能訪問外網。

7.   教學樓用戶客戶端只能訪問服務器的FTP服務。

三、配置的拓撲圖

                            華為防火墻USG5500的配置方法

拓撲圖

四、IP地址規劃:

設備名稱

接口-VLAN

IP地址

要求

FW1

(  3口 )

202.100.17).(2)/(28 )

與AR1相連

14個可用地址

使用第2個地址

( 1口   )

172.16.1.(1 )/( 29)

與LSW1相連

6個可用地址

使用第1個地址

( 2口   )

172.16.2.( 1)/(30 )

與LSW2相連

2個可用地址

使用第1個地址


202.100.17).(3-5)/( 28)

NAT地址池,與AR1的互聯地址同一網段,使用第3-5個地址

AR1

(  0口 )

202.100.17).(1 )/(28 )

與FW1相連

14個可用地址

使用第1個地址

( 0口   )

1.1.1.17)/( 32)

LOOPBACK地址

LSW1

(  24口)

(vlan40)

172.16.1.( 2)/( 29)

與FW1相連

6個可用地址

使用第2個地址

(  1口 )

( VLAN10 )

192.168.15.( 254)/(22 )

與PC1相連

800個可用地址

使用最后一個地址

( 2口   )

( VLAN20 )

192.168.17.( 254)/( 23)

與PC2相連

400個可用地址

使用最后一個地址

(   3口)

( VLAN30 )

192.168.18.(254 )/(24 )

與客戶端相連

200個可用地址

使用最后一個地址

LSW2

( 24口   )vlan 10

172.16.2.(2 )/( 30)

與FW1相連

2個可用地址

使用第2個地址

(  1口 )

( VLAN99 )

192.168.200.(30 )/(27 )

與服務器相連

30個可用地址

使用最后一個地址

服務器


192.168.200.(2 )/( 27)

使用第2個地址


202.100.17).( 6)/(28 )

目的NAT映射地址,使用第6個地址

PC1


192.168.12.17)/(22 )


PC2


192.168.16.17)/( 23)


客戶端


192.168.18.17)/(24 )


      

五、主要配置命令:

一、S1(交換機1)的配置:

sysnameS1

#

vlanbatch 10 20 30 40

#

interfaceVlanif1

#

interfaceVlanif10

 ip address 172.168.12.255 255.255.252.0

#

interfaceVlanif20

 ip address 172.168.16.255 255.255.254.0

#

interfaceVlanif30

 ip address 172.168.18.254 255.255.255.0

#

interfaceVlanif40

 ip address 172.16.1.2 255.255.255.248

#

interfaceMEth0/0/1

#

interfaceGigabitEthernet0/0/1

 port link-type access

 port default vlan 10

#

interfaceGigabitEthernet0/0/2

 port link-type access

 port default vlan 20

#

interfaceGigabitEthernet0/0/3

 port link-type access

 port default vlan 30

#

interfaceGigabitEthernet0/0/4

#

interfaceGigabitEthernet0/0/24

 port link-type access

 port default vlan 40

#

interfaceNULL0

#

ospf1

 area 0.0.0.0

  network 172.16.1.2 0.0.0.0

  network 172.168.16.255 0.0.0.0

  network 172.168.12.255 0.0.0.0

  network 172.168.18.254 0.0.0.0

#

iproute-static 0.0.0.0 0.0.0.0 172.16.1.1

二、S2(交換機2)的配置:

sysnames2

#

vlanbatch 10 20

#

interfaceVlanif10

 ip address 172.16.2.2 255.255.255.252

#

interfaceVlanif20

 ip address 172.168.200.30 255.255.255.224

#

interfaceMEth0/0/1

#

interfaceGigabitEthernet0/0/1

 port link-type access

 port default vlan 20

#

interfaceGigabitEthernet0/0/2

#

interfaceGigabitEthernet0/0/24

 port link-type access

 port default vlan 10

#

interfaceNULL0

#

ospf10

 area 0.0.0.0

  network 172.168.200.30 0.0.0.0

  network 172.16.2.2 0.0.0.0

#

iproute-static 0.0.0.0 0.0.0.0 172.16.2.1

三、R1(路由器)配置:

interfaceEthernet0/0/0

 ip address 202.100.17.1 255.255.255.240

#

interfaceLoopBack0

 ip address 1.1.1.17 255.255.255.255

#

iproute-static 172.168.200.0 255.255.255.0 202.100.17.2

四、FW(防火墻)的配置:

1.接口配置。

interfaceGigabitEthernet0/0/1

 ip address 172.16.1.1 255.255.255.248

#

interfaceGigabitEthernet0/0/2

 ip address 172.16.2.1 255.255.255.252

#

interfaceGigabitEthernet0/0/3

 ip address 202.100.17.2 255.255.255.240

 

2.將接口加入相應的域

firewallzone trust

 set priority 85

 add interface GigabitEthernet0/0/0

 add interface GigabitEthernet0/0/1

#

firewallzone untrust

 set priority 5

 add interface GigabitEthernet0/0/3

#

firewallzone dmz

 set priority 50

 add interface GigabitEthernet0/0/2

#

3.配置路由

ospf10

 area 0.0.0.0

  network 172.16.1.1 0.0.0.0

  network 172.16.2.1 0.0.0.0

#

iproute-static 0.0.0.0 0.0.0.0 202.100.17.1

#

4.開啟域間策略

 firewall packet-filter default permit all

#

5.配置nat地址池及nat server

 nat address-group 1 202.100.17.3 202.100.17.3

 nat server 0 global 202.100.17.4 inside 172.168.200.2

#

 time-range 1 08:00 to 17:00 working-day (時間策略)

6.配置自定義策略,實現不同的功能。

policyinterzone trust untrust outbound

 policy 2

  action deny

  policy source 172.168.16.8 0

#

policyinterzone trust dmz outbound

 policy 1

  action permit

  policy service service-set ftp

  policy source 172.168.18.9 0

  policy destination 172.168.200.2 0

policy2

actiondeny

policysource 172.168.18.9 0

#

nat-policyinterzone trust untrust outbound

 policy 1

  action source-nat

  policy time-range 1

  address-group 1

 

六、連通性測試截圖

1、PC1在工作日訪問外網

華為防火墻USG5500的配置方法

2、PC1在工作日之外訪問外網

華為防火墻USG5500的配置方法

3、PC1訪問服務器

華為防火墻USG5500的配置方法

4、PC2訪問外網

華為防火墻USG5500的配置方法

5、PC2訪問服務器

華為防火墻USG5500的配置方法

6、客戶端通過FTP方式訪問

華為防火墻USG5500的配置方法

7、客戶端使用PING測

華為防火墻USG5500的配置方法

8、外網用戶訪問服務器

華為防火墻USG5500的配置方法

 

 

 


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

武强县| 腾冲县| 长武县| 山丹县| 萨嘎县| 前郭尔| 东辽县| 蓬安县| 仁怀市| 兰州市| 磐安县| 平潭县| 德安县| 乐清市| 无棣县| 秭归县| 山西省| 鄯善县| 九龙城区| 饶平县| 鄢陵县| 尚志市| 南投县| 炉霍县| 上高县| 城口县| 扎兰屯市| 昌宁县| 承德县| 四川省| 石柱| 苗栗县| 房山区| 苏尼特左旗| 鹤壁市| 聂荣县| 秀山| 澎湖县| 五家渠市| 囊谦县| 茂名市|