ensp查看防火墙网关命令

ensp查看防火墙网关命令,第1张

安全
ensp防火墙概述与命令总结
云归959
原创
关注
4点赞·6380人阅读
防火墙概述与命令总结
0713 防火墙的基本概述:
安全策略:
0714 防火墙的NAT策略:
server nat:
pat与no-pat做法:
域内nat做法:
0715 防火墙的双机热备:
在防火墙上配置VGMP:
0717 防火墙的GRE封装:
gre在防火墙上应用:
防火墙中的telnet配置:
防火墙中ssh配置:
0713 防火墙的基本概述:
防火墙分为:
框式防火墙
盒式防火墙
软件防火墙(公有云、私有云)
我们目前学习的是状态检测防火墙:
通过检查首包的五元组,来保证出入数据包的安全
隔离不同的网络区域
通常用于两个网络之间,有选择性针对性的隔离流量
阻断外网主动访问内网,但回包不算主动访问
安全区域(security zone):被简称为区域(zone),是防火墙的重要概念,缺省时有4个区域:
local:本地区域,所有IP都属于这个区域
trust:受信任的区域
DMZ:是介于管制和不管制区域之间的区域,一般放置服务器
untrust:一般连接Internet和不属于内网的部分
ps:每个接口都需要加入安全区域,不然防火墙会显示接口未激活,无法工作
firewall zone [区域名] //进入安全区域
add interface GigabitEthernet [接口号] //添加接口到此区域
display zone //查看区域划分情况
复制
安全策略:
与ACL类似,动作只有两种:permit和deny
每一个想要通过防火墙的数据包都需要被安全策略检查,如果不写安全策略,ping都经过不了防火墙
如何去写安全策略:
security-policy
rule name [策略名]
source-zone [区域名]
source-address [源地址] [掩码] //此条可以略
destination-zone [区域名]
destination-address [源地址] [掩码] //此条可以略
service [协议名] //需要放行的协议
action permit //此条策略的动作是放行
复制
防火墙策略命中即转发
一些今天的名词:
ddos攻击防范:ddos攻击就是通过伪造大量不同的mac地址让交换机学习,让交换机无法正常处理其他事情
SPU:防火墙特有的,用于实现防火墙的安全功能
五元组:源/目地址、源/目端口号、协议
ASPF技术:应用包过滤技术,可以根据协议推出应用包内容,根据内容提前生成server-map表项,在流量没有匹配会话表时,可以匹配server-map来处理
ftp无论是主动模式还是被动模式都是client先主动向server发起控制通道连接
ftp的主动模式(port):server主动向client发起数据通道的连接
ftp被动模式(pasv):server等待client发起数据通道的连接
0714 防火墙的NAT策略:
NAT转换有两种转换:
源NAT:
no-pat //1对1转化,不节约公网地址,同一时间内只能有一个人上网
pat //指定一个或多个公网地址使PC机可以通过这个公网地址的不同端口进行访问
ease-ip //使用接口的IP作为NAT地址,使PC机可以通过这个公网地址的不同端口进行访问
目标NAT:
server nat //服务器映射
值得注意的是:
如果在防火墙上的是源NAT转换,则防火墙先匹配安全策略,再匹配NAT策略
如果在防火墙上的是目标NAT转换,则防火墙先匹配NAT策略,再匹配安全策略
实验总结概述:
如何做nat:
server nat:
nat server protocol [协议] global [公网地址] [端口] inside [服务器地址] [端口]
复制
pat与no-pat做法:
nat address-group [地址组名]
mode pat
section [初始地址] [结束地址]
nat-policy //进入nat策略,将前一步的地址池应用在nat策略中
source-zone [区域名]
source-address [源地址] [掩码]
destination-zone [区域名]
destination-address [源地址] [掩码] //此步规定什么样的地址允许做NAT转换
action source-nat address-group NAT //应用地址组
//之后就是看需要写安全策略
复制
域内nat做法:
访问需要通过公网地址访问
第一步:将接口划分好所属区域,做好基础配置
第二步:创建一个nat地址池,将地址池的范围规划好,(默认为PAT)
nat server 0 protocol tcp global 204111 >1、PC1和PC3属于vlan2,PC2和PC4属于vlan3,它们的IP地址分别为:PC1:192168010,PC2:192168020,PC3:192168030,PC4:192168040
2、LSW1和LSW2作为主干网络(ISP网络),从LSW1的GE 0/0/1和LSW2的GE 0/0/2端口进入的报文会被打上外层标签(vlan10)这两个端口的配置是一样的,以LSW1的GE 0/0/1端口的配置为例进行举例:
[Huawei-GigabitEthernet0/0/1]port link-type dot1q-tunnel
[Huawei-GigabitEthernet0/0/1]port default vlan 10
3、LSW1的GE 0/0/2和LSW2的GE 0/0/1端口用于ISP网络内部通信,配置为trunk模式,这两个端口的配置是一样的,以LSW1的GE 0/0/1端口的配置为例进行举例:
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass all
4、LSW3和LSW4用于局域网通信和连接到ISP网络,其中LSW3的Ethernet 0/0/1和Ethernet 0/0/2端口模式为access,GE 0/0/3为trunk,配置如下:
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 3
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 3
[Huawei-GigabitEthernet0/0/3]port link-type trunk
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan all
LSW4的配置和LSW3的配置一样,就不写出来了。
实验现象:
PC1 ping PC3可以ping通。

PC2 ping PC4可以ping通。

PC3 ping PC1可以ping通。

PC4 ping PC2可以ping 通。

下面我们在LSW1上抓个报文来分析以下报文的格式。

1、登录防火墙
模拟器防火墙默认用户为:admin
默认密码为:Admin@123
登录成功后需要更改默认密码,包含大小写数字以及特殊字符
防火墙默认它的G0/0/0口为管理口,而在模拟器中若要进入防火墙的web界面,需要额外配置
int g0/0/0
server-manage all permit
再添加一个Cloud模块,进行配置,需注意不能绑定物理网卡,使用虚拟网卡即可
再进入防火墙管理口,将其ip地址配置在绑定的网卡的ip地址范围
 
打开浏览器,输入管理口ip地址,让后进行登录
 
2、防火墙的策略
在web界面中,找到    策略---->>安全策略----->>新建策略
来配置防火墙的策略
列如左边内网访问右边公网,配置时安全区域需要自己绑定到对应接口,并且新建源目地址组
 
而当策略需要放行相关服务时,列如server2提供了FTP服务,则需要在策略中选中FTP
由于FTP的工作方式不止一个固定端口,还有一个协商出来的随机端口,则要确保在ASPF中勾选FTP
 
 此时使用客户端1去访问该ftp服务器成功
 
3、防火墙的NAT策略以及服务器端口映射
新建一个NAT策略
注意选择源地址转换为出接口地址
 
抓包
用客户机1去访问server3提供的>要以管理员身份查看ensp交换机的信息,需要进行以下步骤:
1 连接到ensp交换机:使用终端软件(如SecureCRT、Putty等)通过串口或网线连接到ensp交换机。
2 登录为管理员账户:输入管理员账户名和密码登录到ensp交换机。如果您不知道管理员账户名和密码,请联系网络管理员获取。
3 查看设备信息:在命令行界面中输入show version命令可以查看设备的基本信息,包括硬件型号、软件版本、启动时间等。
4 查看端口状态:在命令行界面中输入show interface brief命令可以查看各个端口的状态,包括是否开启、速率、双工模式等。
5 查看配置文件:在命令行界面中输入show running-config命令可以查看当前运行的配置文件内容。如果想要保存配置文件,则可以使用copy running-config startup-config 命令将其保存至闪存中。
6 修改配置文件(可选):如果需要修改某些设置,可以编辑配置文件并使用copy tftp://[tftp服务器地址]/[文件名] startup-config 命令将其上传至闪存中生效。注意,在修改前请先备份原有的配置文件,并谨慎 *** 作以避免出现故障问题。
以上是一些常见的管理 *** 作方法,具体情况可能会因设备型号和软件版本而异,请根据实际情况进行调整。

构建网络拓扑图
eNSP模拟器——配置静态路由
路由R1详细的配置命令:
<Huawei>sys /system-view 的简写,进入交换机系统视图
[Huawei]un in en /此命令是undo info-center enable的简写,这个命令关闭信息中心功能,这样做配置的过程中,就不会再出现那种告警信息了。
[Huawei]sysname R1 /修改交换机名称为R1
/接口视图下,配置R1接口地址
[R1]int e0/0/0
[R1-Ethernet0/0/0]ip add 10141 30
[R1-Ethernet0/0/0]int e0/0/1
[R1-Ethernet0/0/1]ip add 10111 24
[R1-Ethernet0/0/1]quit
/系统视图下,配置R1到不同网段的静态路由
[R1]ip route-static 10120 2552552550 10142
/目的网段、子网掩码、下一跳地址
[R1]ip route-static 10130 2552552550 10142
eNSP模拟器——配置静态路由
3
同样的方法,配置路由R2:
<Huawei>sys
[Huawei]un in en
[Huawei]sysname R2
/接口视图下,配置R2的各接口地址
[R2]int e0/0/0
[R2-Ethernet0/0/0]ip add 10142 30
[R2-Ethernet0/0/0]int e0/0/1
[R2-Ethernet0/0/1]ip add 10121 24
[R2-Ethernet0/0/1] int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 10151 30
[R2-GigabitEthernet0/0/0]quit
/系统视图下,配置R2到不同网段的静态路由
[R2]ip route-static 10110 2552552550 10141
[R2]ip route-static 10130 2552552550 10152
4
同样的方法,配置路由R3:
<Huawei>sys
[Huawei]un in en
[Huawei]sysname R3
/接口视图下,配置R3的各接口地址
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip add 10152 30
[R3-GigabitEthernet0/0/0]int e0/0/1
[R3-Ethernet0/0/1]ip add 10131 24
[R3-Ethernet0/0/1]quit
/系统视图下,配置R3到不同网段的静态路由
[R3]ip route-static 10120 2552552550 10151
[R3]ip route-static 10110 2552552550 10151
5
配置三台PC
6
通过路由器中配置静态路由以实现路由器R1、R2、R3在IP层的相互连通性,也就是配置完成后,PC1、PC2、PC3之间可以相互ping 通。
首先在R1路由器上查看静态路由表的信息,可以看到两条静态路由,下一跳都指向10142
接下来在PC1的命令行pingPC2,能够ping通,结果验证了PC1到PC2在IP层数据可达,其他PC间的测试相似

1、首先连接交换机,可以通过远程登录到交换机。
2、其次找到本机的MAC地址,这个可以在命令行中输入“ipconfig/all”来进行查询。找到当前网卡地址。
3、然后在交换机中输入命令“dismac-address 448A-5BE2-5800”,就可以查到这个mac地址所对应的端口。

通过配置路由器AR1 telnet,实现AR1可以telnet到AR2上。
下面是配置详情
进入路由AR1
system-view
int g0/0/0:进入口配置IP地址。
ip address 10111 24:配置0口的ip地址()
进入AR2:
system-view
int g0/0/0:进入0口
ip address 1011254 24:配置0口的IP地址。
下面是配置telnet的内容:
user-interface vty 0 4:交换机最多可以允许五个人同时在线进到交换机里去配置命令。
authentication-mode aaa:启用3A认证
protocol inbound telnet:配置VTY用户界面支持的协议为Telnet
q
aaa:进入3A的配置模式
local-user [用户名] password cipher [密码] privilege level 3:配置用户名和密码(密文),级别为3。
local-user admin service-type telnet:设置admin的登陆方式为telnet。
到这里已经可以在AR1上通过telnet登陆到AR2上了。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/yw/13375849.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-07-24
下一篇 2023-07-24

发表评论

登录后才能评论

评论列表(0条)

保存