26 华三防火墙安全区域

原创

仰望者的天空 2024-07-16 16:49:56 ©著作权

文章标签 安全服务器 linux IP 访问控制列表 文章分类 HarmonyOS 后端开发

©著作权归作者所有：来自51CTO博客作者仰望者的天空的原创作品，请联系作者获取转载授权，否则将追究法律责任

防火墙区域规划

26 华三防火墙安全区域_访问控制列表

26 华三防火墙安全区域_安全_02

配置网络网卡的地址在同一网段

26 华三防火墙安全区域_linux_03

26 华三防火墙安全区域_linux_04

第一个问题为什么防火墙直连在同一个网段ping不通?

配置IP地址

26 华三防火墙安全区域_IP_05

26 华三防火墙安全区域_安全_06

local区域:

将local区域的所有接口启用

26 华三防火墙安全区域_安全_07

26 华三防火墙安全区域_安全_08

华三防火墙的local区域是指设备本地接口所在的区域，也称为局域网（LAN）或内部网络

Interface            Link Protocol Primary IP      Description
GE1/0/0              UP   UP       192.168.1.254
GE1/0/1              UP   UP       192.168.0.1     管理网段192.168
GE1/0/2              UP   UP       192.168.2.254
GE1/0/3              UP   UP       192.168.3.254
GE1/0/4              UP   UP       10.10.10.254
GE1/0/5              UP   UP       111.111.111.254

第二个问题测试会发现防火墙的本地所有区域能通为什么？

测试结果

26 华三防火墙安全区域_IP_09

26 华三防火墙安全区域_访问控制列表_10

26 华三防火墙安全区域_服务器_11

第三个问题可以ping通网关地址，ping不通详细的地址为啥？

注意:将防火墙的接口加入到不同的安全区域可以实现同一网段的通信简称(实现网络直连的通信)

[FW-ZONE-security-zone-Management]import interface g
[FW-ZONE-security-zone-Management]import interface GigabitEthernet 1/0/1

26 华三防火墙安全区域_linux_12

如何创建一个区域呢？

26 华三防火墙安全区域_IP_14

26 华三防火墙安全区域_访问控制列表_15

26 华三防火墙安全区域_服务器_16

26 华三防火墙安全区域_安全_17

在web页面中创建用户

26 华三防火墙安全区域_服务器_18

26 华三防火墙安全区域_服务器_19

创建ACL规则

26 华三防火墙安全区域_安全_20

这些是一些网络配置命令的英文术语，下面是它们的中文翻译：

advanced：配置高级访问控制列表（ACL）
basic：配置基本访问控制列表（ACL）
copy：指定源访问控制列表
ipv6：配置IPv6访问控制列表
logging：启用ACL匹配事件的日志记录
mac：配置第二层（数据链路层）访问控制列表
name：指定一个命名的ACL
number：指定一个编号的ACL
trap：启用发送ACL匹配事件的陷阱通知

[FW-ZONE]acl advanced 3001
[FW-ZONE-acl-ipv4-adv-3001]
[FW-ZONE-acl-ipv4-adv-3001]rule permit ip source 192.168.1.0 0.0.0.255 destination 10.10.10.0 0.0.0.255

[FW-ZONE]acl advanced 3001：这行代码表示开始配置名为“FW-ZONE”的区域中的一个高级ACL，编号为3001。
[FW-ZONE-acl-ipv4-adv-3001]：这行代码表示进入了具体的高级ACL配置模式，这个ACL的完整标识符是“FW-ZONE-acl-ipv4-adv-3001”，其中“ipv4”表明这是一个针对IPv4流量的ACL。
[FW-ZONE-acl-ipv4-adv-3001]rule permit ip source 192.168.1.0 0.0.0.255 destination 10.10.10.0 0.0.0.255：这行代码定义了一个规则，允许从源网络192.168.1.0/24（即192.168.1.0到192.168.1.255的所有IP地址）到目标网络10.10.10.0/24（即10.10.10.0到10.10.10.255的所有IP地址）的IP流量。

[FW-ZONE-acl-ipv4-adv-3001]display this
#
acl advanced 3001
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 10.10.10.0 0.0.0.255
#
return

[FW-ZONE-acl-ipv4-adv-3001]quit
[FW-ZONE]zone-pair security source trust destination untrust
[FW-ZONE-zone-pair-security-Trust-Untrust]packet-filter 3001

[FW-ZONE-acl-ipv4-adv-3001]quit：这行代码表示退出当前的ACL配置模式，即退出编号为3001的高级IPv4 ACL的配置界面。
[FW-ZONE]zone-pair security source trust destination untrust：这行代码配置了一个名为"FW-ZONE"的区域对（zone-pair），定义了两个区域：源区域（source）是"trust"（信任区域），目标区域（destination）是"untrust"（不信任区域）。这通常用于定义流量从一个安全级别到另一个安全级别的规则。
[FW-ZONE-zone-pair-security-Trust-Untrust]packet-filter 3001：在配置了区域对之后，这行代码将之前配置的编号为3001的高级IPv4 ACL应用到这个区域对上。这意味着所有从"trust"区域到"untrust"区域的IP流量都将受到ACL 3001中定义的规则的控制。