华为防火墙
华为防火墙的基本配置
实验topo:
240、防火墙的工作模式:
透明网桥模式:(可将防火墙当做二层交换机用)
路由模式:(可将防火墙当做三层路由器使用)
查看防火墙的各个区域的优先级:
dis zone :
tips :优先级越高,可信任的程度越高;
默认的优先级:trust 85 、DMZ 50 、Untrust 5 ,local 100;
DMZ:通常放置服务器;
将防火墙的接口划分至区域内:
trust :
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet0/0/1
untrust :
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/2
DMZ:
firewall zone dmz
set priority 50
add interface GigabitEthernet0/0/3
配置静态路由,打通网络:
R1:
ip route-static 0.0.0.0 0.0.0.0 12.1.1.2
R2:
ip route-static 0.0.0.0 0.0.0.0 23.1.1.1
防火墙:
ip route-static 34.1.1.0 255.255.255.0 23.1.1.2
ip route-static 192.168.1.0 255.255.255.0 12.1.1.1
方向:
inbound :低优先级访问高优先级;(trust 主动发起的访问防火墙)
outbound :高优先级访问低优先级;(防火墙主动发起的访问trust)
tips :“访问”指的是出包,即主动发起的第一个报文,即建立会话;
241、策略配置:
配置防火墙策略,让trust可以访问外网(untrust):
firewall packet-filter default permit interzone trust untrust direction outbound
配置防火墙策略,让DMZ可以访问外网(untrust):
firewall packet-filter default permit interzone dmz untrust direction outbound
配置防火墙策略,让DMZ可以访问外网(untrust):
firewall packet-filter default permit interzone trust dmz direction outbound
242、五元组:
唯一能够确定一个会话session的五个元素
五元素:源ip、目的ip、源端口、目标端口、传输协议;
查看防火墙的临时会话表:
display firewall session table
Windows:
netstat -an
243、防火墙的NAT配置:
nat-policy interzone trust untrust outbound:指定策略区域;
允许内网用户访问外网:
nat-policy
policy 1 定义一个策略1
action source-nat 指定动作为源地址的nat 转换;
easy-ip GigabitEthernet0/0/2 做esay-ip nat 转换;
tips :不需要到接口下调用;
查看结果:
244、将内网服务器的80 端口映射出外网:
nat server 0 protocol tcp global 23.1.1.3 www inside 192.168.254.254 www
此处需要一个untrust 到DMZ的允许策略:
firewall packet-filter default permit interzone untrust dmz direction inbound
查看结果:
查看nat转换表 dis firewall session table nat
245、基于服务器的负载均衡:
slb enable 开启slb服务;
slb
rserver 1 rip 192.168.254.254 weight 32 healthchk
创建真实服务器 1 真实IP地址为192.168.254.254 ,服务器比重为32 ,默认为健康检查;
rserver 2 rip 192.168.254.253 weight 32 healthchk
group web 创建一个叫web的组;
addrserver 1 :将1服务器加入web组中;
addrserver 2 :将2服务器加入web组中;
vserver vweb vip 23.1.1.4 group web :创建一个虚拟服务器vweb,虚拟的IP地址为23.1.1.4 ,将vweb 与真实的组web,关联起来;
tips :由于slb 堵在均衡会自动的做nat 转换,所以,如果真实服务器上面做过nat转换,会与slb冲突;
查看实验结果:
down 掉 server 1:
down 掉serve 2
