华为防火墙配置实验

已于 2025-04-08 16:13:41 修改
阅读量1.1k 收藏 17
点赞数 17
CC 4.0 BY-SA版权
文章标签: 华为 网络 网络安全 计算机网络 云计算
于 2025-04-08 15:58:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Alice_Synthesi/article/details/147070355

一、实验名称

华为防火墙配置实验

二、实验目的

1.简单掌握跨防火墙之间的通信(DMZ与DCN两个区域的通信);

2.掌握华为防火墙的一些基础操作;

3.掌握交换机与防火墙之间的通信配置;

4.其他额外需要掌握的技能。

三、实验环境

操作系统:Windows11

环境:VMware(需要其虚拟工具),eSPN(模拟软件)

其他:USG6000V包(eSPN需要,需自行下载)

四、实验过程

1.环境搭建

(1)eSPN安装

这个就不作过多赘述,网上有很多教程,安装教程参考:https://blog.csdn.net/weixin_43113691/article/details/124847964

(2)VMware安装

因为需要在网页端实现防火墙的配置,需要使用虚拟的网卡,windows自带的虚拟网卡可能会导致模拟器防火墙的使用率过高导致没有办法正常使用,所以保险起见自行安装VMware来使用。安装的教程参考:https://blog.csdn.net/weixin_74195551/article/details/127288338

(3)USG6000V包导入

教程参考华为eNSP防火墙USG6000V 导入包_usg6000v.zip包下载-CSDN博客

2.防火墙基础配置

启动eSPN,放置一台USG6000V,对其进行基础的配置,基础的配置包括:

(1)启动防火墙,修改密码,然后放置一个云朵,与防火墙进行连接,效果如图4-2-1所示;

图4-2-1

(2)对云朵进行配置,配置如图4-2-2所示,GE2选择VMware的虚拟网卡;

图4-2-2

(3)VMware虚拟网卡的配置;

打开虚拟网卡的适配器,对虚拟网卡的ipv4地址进行修改,这里我对其修改为192.168.0.222,如图4-2-3,云朵绑定的就是这个虚拟网卡

图4-2-3

(4)防火墙的基础配置

#

system-view

interface G1/0/1

ip address 192.168.200.194 24

service-manage ping permit

interface G1/0/2

ip address 10.30.1.193 24

service-manage ping permit

q

#

system-view

interface G0/0/0

ip address 192.168.0.223 24

service-manage all permit

#//因为只用作实验所以全部放通,一般只放ping、http、https;

#

display this

#

查看当前的配置,看看是否配置成功,配置结果如图4-2-4所示;

图4-2-4

#

quit

quit

save

Y

#

保存,下次启动eSPN不会丢配置。

(5)打开web浏览器,输入https://192.168.0.223:8443,可以进入防火墙管理界面,如图4-2-5所示,输入自己修改的密码可进入;

图4-2-5

3.交换机基础配置

(1) 放置两台交换机,分别改名为DMZ-SW与DCN-SW,如图4-3-1所示(因为刚开始配置有误,所以DMZ-SW下面都由DMZ-SW-copy代替);

图4-3-1

(2) 交换机与防火墙相连接之后开始对交换机进行配置

①对DMZ-SW-copy进行配置

#

system-view

vlan batch 101 200

q

interface Vlanif 101

ip address 10.30.19.1 24

interface Vlanif 200

ip address 10.30.1.194 24

q

interface Ethernet 0/0/1

port link-type access

port default vlan 200

q

interface Ethernet 0/0/0

port link-type access

port default vlan 101

q

#

②对DCN-SW进行配置

#

system-view

vlan batch 101 200

q

interface Vlanif 101

ip address 192.168.19.1 24

interface Vlanif 200

ip address 192.168.1.193 24

q

interface Ethernet 0/0/1

port link-type access

port default vlan 200

q

interface Ethernet 0/0/0

port link-type access

port default vlan 101

q

#

以上就是两台交换机的基础配置

#

quit

quit

save

Y

#

保存,下次启动eSPN不会丢配置。

(3) 再配置两台PC,分别与两台交换机相连,配置情况如图4-3-2所示

图4-3-2

最终连接拓扑图如图4-3-3所示;

图4-3-3

4.配置

(1) 防火墙的进一步配置

    在防火墙创建DMZ区和DCN区,分别绑定GE1/0/2与GE1/0/1,以DMZ为例,操作如下列图所示:

图4-4-1

全部配置之后如图4-4-2所示:

图4-4-2

(2) 在防火墙上配置两条静态路由,如图4-4-3和4-4-4所示,以4-4-3为例,作用是防火墙中目标是10.30.0.0的流量走GE1/0/2到10.30.1.194也就是交换机DMZ-SW-copy的Ethernet0/0/1接口,图4-4-4同理。

图4-4-3

图4-4-4

(3) 配置策略

    在防火墙上配置策略,以便两个区域能够相互连通,关键的策略为DCN to DMZ和DMZ to DCN,配置过程以DCN to DMZ为例,如图4-4-6所示;

图4-4-5

图4-4-6

    图4-4-6第5步操作,很好理解

图4-4-7

图4-4-8

    如果没有就点击新建->新建地址->填入对应的名称和地址,然后确定即可。

(4) 防火墙配置NAT

配置NAT的目的是,10.30.19.0与192.168.19.0这两个段是没办法直接通信的,需要进行地址转换,如图4-4-9所示:

图4-4-9

    4、5步解释,因为只需满足实验所需,所以就这样用了,实际情况一般都是一对一的转换比较好。

(5) 两台交换机配置静态路由

       DMZ-SW-copy

#

system-view

ip route-static 10.30.19.0 255.255.255.0 10.30.1.193

ip route-static 192.168.0.0 255.255.0.0 10.30.1.193

q

#

DCN-SW

#

system-view

ip route-static 10.30.0.0 255.255.0.0 192.168.200.194

ip route-static 192.168.0.0 255.255.0.0 192.168.200.194

#

五、实验结果

实验拓扑图如图5-1所示

图5-1

实验的目的是PC4与PC7能够相互ping通,测试过程要求第一步DMZ-SW-copy能够ping通防火墙,如图5-2;

图5-2

PC4能够ping通DMZ-SW-copy的vlan200(ip 10.30.1.194),证明DMZ网络通畅,给PC配置ip 10.30.19.254用于测试,如图5-3;

图5-3

       DCN区域的测试与DMZ区同理,接下来测试PC4 ping PC7,给PC7配置ip 192.168.19.254用于测试,测试结果如图5-4所示,PC7 ping PC4如图5-5所示;

图5-4

图5-5

六、总结

本次主要的目的是实现两个不同安全域之间的通信,原因是之前配置一台Juniper防火墙的时候有各种各样的问题出现,比如无法ping通网关,无法实现通信之类的,所以需要搞清楚防火墙到底是怎么样进行工作,以及搞清楚各种配置的作用。

首先,明白防火墙的工作,虽然华为的防火墙与Juniper还是有很大的差别,但是基本的原理是共同的,所以搞懂这个防火墙对实际工作还是有很大的帮助的。

然后,知道交换机的具体工作原理以及vlan的作用等,这一点之前很是疑惑。

接着,搞懂的点:

第一,防火墙内不同的端口想要ping通或者实现通信,要么需要在相同的网段,要么需要配置NAT来使地址池进行相互的转换,如果接口有绑定安全域,还要让安全域之间也相互放通,放通安全域是通过策略来实现;

第二,通过上述的工作还搞清楚了掩码的作用,同时也搞清楚静态路由的作用,例如防火墙内配置“ip route-static xxx.xxx.xxx.xxx (掩码) aaa.aaa.aaa.aaa”的意思是一切“xxx.xxx.xxx.xxx/掩码”的流量都找“aaa.aaa.aaa.aaa”出去,aaa.aaa.aaa.aaa是与防防火墙相连的交换机端口a的IP,与相应的端口b连接,端口b为防火墙的端口,ip为aaa.aaa.aaa.bbb。

第三,vlan的作用,华为的三层交换机的第二层口也就是Ethernet口是无法直接配置ip的,需要用vlan绑定来使之逻辑上称为口,但实际上这个口不仅仅可以放一个vlan,这就要具体情况具体分析了。

最终就是故障分析的思路,①如果一台PC(终端)无法ping通网关,要看自己的ip是否与接入交换机的配置相同,如果该终端ip的配置正确,要看交换机里的vlan是否正确;②如果该终端无法ping通接入交换机的出口,要查看出口接口vlan的配置是否正确;③如果终端无法ping通防火墙的接口,要看是否配置了静态路由;④如果终端无法ping通另一个区域的防火墙出口,要看出口是否绑定安全域、安全域之间是否放通、是否配置策略、是否配置了NAT等。

华为设备防火墙配置实验(一)----无安全策略配置
m0_64402992的博客
01-24 2093
实验拓扑图需求分析可知我们在生产区和办公区需要用到子接口技术。我们只需要将将防火墙该接口配置设置为DMZ区域网关并。根据给定的网段和要求配置IP地址即可。配置防火墙接口配置IP的两种方式。方法一:登录Web界面进行配置。由实验拓扑图可知防火墙与。
华为防火墙概念及配置案列
zhanglongquan的博客
08-09 1726
防火墙主要用于保护一个网络区域免受来自另一个网络区域的攻击和入侵行为、也是防止黑客攻击内部网络的重要防线之一。
防火墙安全策略实验
KabeAi的博客
02-04 1012
根据实验要求,我们要先将Trust区域中的三台PC划分为两个网段,以对应两个区域,在防火墙的接口上设置子接口以对应两个网段的网关,再通过防火墙的安全策略表来实现我们的实验要求。在网页界面输入192.168.0.1:8443,跳转网页后会出现警告,点击高级,选择继续访问。由于本次实验未要求,我们只需设置源、目的安全区域,源、目的地址,时间段和动作即可。GE1/0/1接口需要连接两个网段,所以需要创建两个子接口,点击左上角的新建。选择最上一行中的策略,进入安全策略列表,进行安全策略的创建以实现实验要求。
华为防火墙真实环境基础配置
最新发布
weixin_46088072的博客
04-27 588
真实环境华为防火墙基础配置
(华为配置)防火墙双机热备+BFD联动故障切换实验报告
Richardlygo的博客
09-23 1274
某公司通过主防火墙(FW1)与外网进行通信,当主防火墙出现故障时,备份防火墙能够保障正常通信。
华为防火墙实验
weixin_47498728的博客
01-05 1648
华为防火墙实验
华为eNSP-防火墙实验
热门推荐
weixin_45745641的博客
12-14 1万+
1规划并配置IP地址 2将网络分别加入对应的区域 3实现pc1访问pc2,pc2访问服务器,其他不能互访
华为ENSP、华为eNSP配置防火墙命令的放行实验
小吴的博客
09-19 2893
本次实验按照拓扑的要求完成了dmz和trust区域可以主动互访、untrust区域只能主动互访dmz和trust可以主动访问dmz和untrust。这篇文章只是按照作者自己的思维来配置,若其他小伙伴有其他的想法欢迎与作者交流!!!以上就是今天实验的内容,本文仅仅简单介绍了ensp中的防火墙的使用。
华为模拟器防火墙配置实验(二)
m0_74848570的博客
07-13 968
5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次。4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
华为防火墙基本配置实验
andy66868的博客
07-07 878
4、验证网络通断(如果不通,检查下fw1的g1/0/1的接口是否开启了ping,使用service-manage ping permit开启)6、配置区域间安全策略,允许untrust访问dmz区域的http服务器并做内网映射。1、创建trust、untrust、dmz区域,并添加相关接口。7、client1访问server1的http服务。3、客户端client1访问server1;2、允许trust区域访问isp;1、根据拓扑图划分相关区域;2、配置区域间安全策略。5、配置server1。
华为USG5500防火墙配置实验一.pdf
11-18
华为USG5500防火墙配置实验一.pdf
华为经典实验部分-防火墙加NAT【视频】
11-08
华为经典实验部分,防火墙加NAT,视频讲解。
华为三层交换机和防火墙对接上网
08-11
华为三层交换和防火墙对接上网,VLAN划分,NAT,静态路由。
华为防火墙配置简单综合案例
m0_74298658的博客
12-29 2534
华为防火墙配置简单综合案例
华为ENSP实验防火墙基础配置与安全区域配置(保姆级教程)
2301_77508242的博客
08-08 1万+
内容是使用华为USG6000V防火墙和Cloud以及AR2220路由器、交换机、客户机、PC机来搭建起网络安全拓扑图并对防火墙基础配置与安全区域配置进行具体分析配置
网络实验】eNSP模拟华为防火墙配置双机热备VRRP
Vector_seven的博客
08-19 4648
心跳线双方的接口编号一定要一样;华为防火墙不止三个区域,还可以自定义区域,只是这里刚好三个区域,可以就用dmz区域;但是设定其他自定义区域也没事,反正默认都不能互通;防火墙的vrrp和路由器的vrrp有区别:路由器的vrrp是在路由器内部设,如果只是双机热备,就只用设置一组vrid防火墙的vrrp即使是双机热备也要设置两组,且是一个防火墙的上行链路接口和下行链路接口各为一组,且两个口都要配置虚拟ip。
防火墙NAT和智能选路实验详解(华为)
m0_64365018的博客
07-13 1679
从我上面一个博客能够了解到NAT和防火墙选路原理 ——>防火墙nat和智能选路,这一章我通过实验来详解防火墙关于nat和智能选路从而能熟练使用和配置防火墙,这里使用的是华为USG6000V1、ensp模拟器进行实验
华为】网工必会:防火墙实验配置
2301_76170756的博客
11-10 601
FW1-policy-security-rule-trusttountrust]destination-zone untrust //目标安全区域为untrust。[FW1-policy-security-rule-trusttountrust]source-zone trust //源安全区域为trust。[FW1-zone-trust]add interface g1/0/2 //将G1/0/2接口划分到trust区域。[FW1]firewall zone trust //进入trust区域视图。
网络应用技术 实验八:防火墙实现访问控制(华为ensp)
air_729的博客
12-11 2233
载入防火墙设备文件的操作,开启FW-1,即可点击浏览选择解压后的文件导入即可开启FW设备。由于本实验中要通过仿真的方式,测试用户主机对各种网络服务的访问效果,从而实现防火墙对 DNS。),通过设置防火墙安全策略,控制用户区域网络中的主机对服务器子网的访。在园区网中部署服务器子网,在用户区域网络和服务器子网之间部署防火墙。测试Web服务,Host-1~Host-8可以正常访问DNS服务器。依据前面的规划,在防火墙配置安全策略,然后测试相关通信效果。eNSP 中,防火墙在第一次启动时,需要载入设备文件下载“
华为防火墙NAT配置实验与技巧
本次实验主要是基于华为防火墙进行基础的NAT实验配置。学习目的是掌握在防火墙上基于地址池配置NAPT的方法以及配置NAT Server的方法。在公司的网络环境中,需要将内部网络Trust区域的用户能够访问外部区域,并且将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sakura Alice

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值