ensp查看防火墙网关命令

安全
ensp防火墙概述与命令总结
云归959
原创
关注
4点赞·6380人阅读
防火墙概述与命令总结
0713 防火墙的基本概述：
安全策略：
0714 防火墙的NAT策略：
server nat：
pat与no-pat做法：
域内nat做法：
0715 防火墙的双机热备：
在防火墙上配置VGMP：
0717 防火墙的GRE封装：
gre在防火墙上应用：
防火墙中的telnet配置：
防火墙中ssh配置:
0713 防火墙的基本概述：
防火墙分为：
框式防火墙
盒式防火墙
软件防火墙（公有云、私有云）
我们目前学习的是状态检测防火墙：
通过检查首包的五元组，来保证出入数据包的安全
隔离不同的网络区域
通常用于两个网络之间，有选择性针对性的隔离流量
阻断外网主动访问内网，但回包不算主动访问
安全区域（security zone）：被简称为区域（zone），是防火墙的重要概念，缺省时有4个区域：
local：本地区域，所有IP都属于这个区域
trust：受信任的区域
DMZ：是介于管制和不管制区域之间的区域，一般放置服务器
untrust：一般连接Internet和不属于内网的部分
ps：每个接口都需要加入安全区域，不然防火墙会显示接口未激活，无法工作
firewall zone [区域名] //进入安全区域
add interface GigabitEthernet [接口号] //添加接口到此区域
display zone //查看区域划分情况
复制
安全策略：
与ACL类似，动作只有两种：permit和deny
每一个想要通过防火墙的数据包都需要被安全策略检查，如果不写安全策略，ping都经过不了防火墙
如何去写安全策略：
security-policy
rule name [策略名]
source-zone [区域名]
source-address [源地址] [掩码] //此条可以略
destination-zone [区域名]
destination-address [源地址] [掩码] //此条可以略
service [协议名] //需要放行的协议
action permit //此条策略的动作是放行
复制
防火墙策略命中即转发
一些今天的名词：
ddos攻击防范：ddos攻击就是通过伪造大量不同的mac地址让交换机学习，让交换机无法正常处理其他事情
SPU：防火墙特有的，用于实现防火墙的安全功能
五元组：源/目地址、源/目端口号、协议
ASPF技术：应用包过滤技术，可以根据协议推出应用包内容，根据内容提前生成server-map表项，在流量没有匹配会话表时，可以匹配server-map来处理
ftp无论是主动模式还是被动模式都是client先主动向server发起控制通道连接
ftp的主动模式（port）：server主动向client发起数据通道的连接
ftp被动模式（pasv）：server等待client发起数据通道的连接
0714 防火墙的NAT策略：
NAT转换有两种转换：
源NAT：
no-pat //1对1转化，不节约公网地址，同一时间内只能有一个人上网
pat //指定一个或多个公网地址使PC机可以通过这个公网地址的不同端口进行访问
ease-ip //使用接口的IP作为NAT地址，使PC机可以通过这个公网地址的不同端口进行访问
目标NAT：
server nat //服务器映射
值得注意的是：
如果在防火墙上的是源NAT转换，则防火墙先匹配安全策略，再匹配NAT策略
如果在防火墙上的是目标NAT转换，则防火墙先匹配NAT策略，再匹配安全策略
实验总结概述：
如何做nat：
server nat：
nat server protocol [协议] global [公网地址] [端口] inside [服务器地址] [端口]
复制
pat与no-pat做法：
nat address-group [地址组名]
mode pat
section [初始地址] [结束地址]
nat-policy //进入nat策略，将前一步的地址池应用在nat策略中
source-zone [区域名]
source-address [源地址] [掩码]
destination-zone [区域名]
destination-address [源地址] [掩码] //此步规定什么样的地址允许做NAT转换
action source-nat address-group NAT //应用地址组
//之后就是看需要写安全策略
复制
域内nat做法：
访问需要通过公网地址访问
第一步：将接口划分好所属区域，做好基础配置
第二步：创建一个nat地址池，将地址池的范围规划好，（默认为PAT）
nat server 0 protocol tcp global 204111 >1、PC1和PC3属于vlan2，PC2和PC4属于vlan3，它们的IP地址分别为：PC1：192168010，PC2：192168020，PC3：192168030，PC4：192168040
2、LSW1和LSW2作为主干网络（ISP网络），从LSW1的GE 0/0/1和LSW2的GE 0/0/2端口进入的报文会被打上外层标签（vlan10）这两个端口的配置是一样的，以LSW1的GE 0/0/1端口的配置为例进行举例：
[Huawei-GigabitEthernet0/0/1]port link-type dot1q-tunnel
[Huawei-GigabitEthernet0/0/1]port default vlan 10
3、LSW1的GE 0/0/2和LSW2的GE 0/0/1端口用于ISP网络内部通信，配置为trunk模式，这两个端口的配置是一样的，以LSW1的GE 0/0/1端口的配置为例进行举例：
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass all
4、LSW3和LSW4用于局域网通信和连接到ISP网络，其中LSW3的Ethernet 0/0/1和Ethernet 0/0/2端口模式为access，GE 0/0/3为trunk，配置如下：
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 3
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 3
[Huawei-GigabitEthernet0/0/3]port link-type trunk
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan all
LSW4的配置和LSW3的配置一样，就不写出来了。
实验现象：
PC1 ping PC3可以ping通。

PC2 ping PC4可以ping通。

PC3 ping PC1可以ping通。

PC4 ping PC2可以ping 通。

下面我们在LSW1上抓个报文来分析以下报文的格式。

1、登录防火墙
模拟器防火墙默认用户为：admin
默认密码为：Admin@123
登录成功后需要更改默认密码，包含大小写数字以及特殊字符
防火墙默认它的G0/0/0口为管理口，而在模拟器中若要进入防火墙的web界面，需要额外配置
int g0/0/0
server-manage all permit
再添加一个Cloud模块，进行配置，需注意不能绑定物理网卡，使用虚拟网卡即可
再进入防火墙管理口，将其ip地址配置在绑定的网卡的ip地址范围
 
打开浏览器，输入管理口ip地址，让后进行登录
 
2、防火墙的策略
在web界面中，找到    策略---->>安全策略----->>新建策略
来配置防火墙的策略
列如左边内网访问右边公网，配置时安全区域需要自己绑定到对应接口，并且新建源目地址组
 
而当策略需要放行相关服务时，列如server2提供了FTP服务，则需要在策略中选中FTP
由于FTP的工作方式不止一个固定端口，还有一个协商出来的随机端口，则要确保在ASPF中勾选FTP
 
 此时使用客户端1去访问该ftp服务器成功
 
3、防火墙的NAT策略以及服务器端口映射
新建一个NAT策略
注意选择源地址转换为出接口地址
 
抓包
用客户机1去访问server3提供的>要以管理员身份查看ensp交换机的信息，需要进行以下步骤：
1 连接到ensp交换机：使用终端软件（如SecureCRT、Putty等）通过串口或网线连接到ensp交换机。
2 登录为管理员账户：输入管理员账户名和密码登录到ensp交换机。如果您不知道管理员账户名和密码，请联系网络管理员获取。
3 查看设备信息：在命令行界面中输入show version命令可以查看设备的基本信息，包括硬件型号、软件版本、启动时间等。
4 查看端口状态：在命令行界面中输入show interface brief命令可以查看各个端口的状态，包括是否开启、速率、双工模式等。
5 查看配置文件：在命令行界面中输入show running-config命令可以查看当前运行的配置文件内容。如果想要保存配置文件，则可以使用copy running-config startup-config 命令将其保存至闪存中。
6 修改配置文件（可选）：如果需要修改某些设置，可以编辑配置文件并使用copy tftp://[tftp服务器地址]/[文件名] startup-config 命令将其上传至闪存中生效。注意，在修改前请先备份原有的配置文件，并谨慎 *** 作以避免出现故障问题。
以上是一些常见的管理 *** 作方法，具体情况可能会因设备型号和软件版本而异，请根据实际情况进行调整。

构建网络拓扑图
eNSP模拟器——配置静态路由
路由R1详细的配置命令：
<Huawei>sys /system-view 的简写，进入交换机系统视图
[Huawei]un in en /此命令是undo info-center enable的简写，这个命令关闭信息中心功能，这样做配置的过程中，就不会再出现那种告警信息了。
[Huawei]sysname R1 /修改交换机名称为R1
/接口视图下，配置R1接口地址
[R1]int e0/0/0
[R1-Ethernet0/0/0]ip add 10141 30
[R1-Ethernet0/0/0]int e0/0/1
[R1-Ethernet0/0/1]ip add 10111 24
[R1-Ethernet0/0/1]quit
/系统视图下，配置R1到不同网段的静态路由
[R1]ip route-static 10120 2552552550 10142
/目的网段、子网掩码、下一跳地址
[R1]ip route-static 10130 2552552550 10142
eNSP模拟器——配置静态路由
3
同样的方法，配置路由R2:
<Huawei>sys
[Huawei]un in en
[Huawei]sysname R2
/接口视图下，配置R2的各接口地址
[R2]int e0/0/0
[R2-Ethernet0/0/0]ip add 10142 30
[R2-Ethernet0/0/0]int e0/0/1
[R2-Ethernet0/0/1]ip add 10121 24
[R2-Ethernet0/0/1] int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 10151 30
[R2-GigabitEthernet0/0/0]quit
/系统视图下，配置R2到不同网段的静态路由
[R2]ip route-static 10110 2552552550 10141
[R2]ip route-static 10130 2552552550 10152
4
同样的方法，配置路由R3:
<Huawei>sys
[Huawei]un in en
[Huawei]sysname R3
/接口视图下，配置R3的各接口地址
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip add 10152 30
[R3-GigabitEthernet0/0/0]int e0/0/1
[R3-Ethernet0/0/1]ip add 10131 24
[R3-Ethernet0/0/1]quit
/系统视图下，配置R3到不同网段的静态路由
[R3]ip route-static 10120 2552552550 10151
[R3]ip route-static 10110 2552552550 10151
5
配置三台PC
6
通过路由器中配置静态路由以实现路由器R1、R2、R3在IP层的相互连通性，也就是配置完成后，PC1、PC2、PC3之间可以相互ping 通。
首先在R1路由器上查看静态路由表的信息，可以看到两条静态路由，下一跳都指向10142
接下来在PC1的命令行pingPC2，能够ping通，结果验证了PC1到PC2在IP层数据可达，其他PC间的测试相似

1、首先连接交换机，可以通过远程登录到交换机。
2、其次找到本机的MAC地址，这个可以在命令行中输入“ipconfig/all”来进行查询。找到当前网卡地址。
3、然后在交换机中输入命令“dismac-address 448A-5BE2-5800”，就可以查到这个mac地址所对应的端口。

通过配置路由器AR1 telnet,实现AR1可以telnet到AR2上。
下面是配置详情
进入路由AR1
system-view
int g0/0/0:进入口配置IP地址。
ip address 10111 24:配置0口的ip地址（）
进入AR2：
system-view
int g0/0/0:进入0口
ip address 1011254 24:配置0口的IP地址。
下面是配置telnet的内容：
user-interface vty 0 4:交换机最多可以允许五个人同时在线进到交换机里去配置命令。
authentication-mode aaa:启用3A认证
protocol inbound telnet:配置VTY用户界面支持的协议为Telnet
q
aaa:进入3A的配置模式
local-user [用户名] password cipher [密码] privilege level 3:配置用户名和密码（密文），级别为3。
local-user admin service-type telnet:设置admin的登陆方式为telnet。
到这里已经可以在AR1上通过telnet登陆到AR2上了。

---