學(xué)習(xí)心得:

這兩天跟著老師學(xué)習(xí)了網(wǎng)絡(luò)安全防御之防火墻的配置，過程中不乏遇到了許多問題，例如訪問https://ip:8443地址卻沒有提示繼續(xù)進入的接口，或者是無法ping通防火墻測試端口等問題，希望接下來的分享能夠幫助到大家！

為了節(jié)省大家的時間，我把實驗和具體問題分開羅列，大家根據(jù)個人需求查看即可！(這里建議初學(xué)的伙伴們還是跟著實驗走一遍比較好！)

目錄

學(xué)習(xí)心得:

實驗

實驗拓撲圖:

實驗要求:

實驗步驟

一、配置cloud

二、配置防火墻GE0/0/0口ip地址，并開啟相關(guān)https、ping服務(wù)，進行端口ping測試。

三、配置trust區(qū)域相關(guān)接口ip地址、untrust區(qū)域相關(guān)接口ip地址，dmz區(qū)域相關(guān)接口ip地址

四、登錄防火墻UI界面，配置防火墻接口ip地址、安全策略、接口聚合靜態(tài)路由，實現(xiàn)實驗要求。

配置完成，進行測試

實驗中遇到的問題

一、訪問https://ip:8443端口提示建立安全連接失敗

二、在本機cmd窗口無法ping通防火墻測試端口

具體問題如下:

?解決方法:

實驗

實驗拓撲圖:

本次實驗用到的防火墻為USG600,我把需要用到的.vdi文件下載鏈接放到下面，大家需要自取即可。

鏈接：https://pan.baidu.com/s/16nq6skHAiLx9hp-o4SCKXg
提取碼：pkth

實驗要求:

一、劃分trust、untrust、dmz區(qū)域

二、實現(xiàn)兩兩區(qū)域之間的互相訪問

實驗步驟

一、配置cloud

//注意不要綁到公網(wǎng)網(wǎng)卡上，可以自己做個虛擬環(huán)回或者綁到vm1\vm8上都可以

二、配置防火墻GE0/0/0口ip地址，并開啟相關(guān)https、ping服務(wù)，進行端口ping測試。

配置命令：

int g0/0/0 //進入g0/0/0接口

ip add 192.168.1.11 //這里大家根據(jù)自己在上述步驟綁定虛擬網(wǎng)卡的網(wǎng)段合理配置即可

service-manage enable

service-manage all permit //允許訪問所有服務(wù)

三、配置trust區(qū)域相關(guān)接口ip地址、untrust區(qū)域相關(guān)接口ip地址，dmz區(qū)域相關(guān)接口ip地址

因為在ensp中三層交換機undo portswitch后依然無法配置ip地址，所以需要配置vlanif來實現(xiàn)虛擬網(wǎng)關(guān)功能。至于PC上可以直接輸入就不用多說了，主要跟大家說下在交換機和防火墻上配置的過程:

配置過程遵循以上拓撲圖，有不會同學(xué)可以照著上述拓撲圖跟著做。

LSW6:

vlan batch 2 3? //創(chuàng)建vlan2、vlan3

[Huawei-GigabitEthernet0/0/2]port link-type access?

[Huawei-GigabitEthernet0/0/2]port default? vlan? 2? //將G0/0/2口劃入vlan2

?[Huawei]interface? Vlanif? 2 //配置vlanif 2 為虛擬網(wǎng)關(guān)

[Huawei-Vlanif2]ip address 10.1.1.1 24

//至于pc配置就不多說了。配置完成后，我們ping一下vlanif 2ip地址，測試一下。

下來就是將G0/0/1口配置上vlanif3，跟vlanif2配置類似，大家照做即可(注意vlanif3管理的是另外一個網(wǎng)段，大家不要配錯了！)

?AR2：

因為是路由器，大家直接進入接口配置ip地址即可，沒有難度，就不多做解釋了，這里為了后續(xù)方便測試，大家可以給路由器后面掛個server或者寫個環(huán)回，方便后續(xù)測試。

LSW4：

[Huawei]vlan? batch? 100 200

[Huawei-GigabitEthernet0/0/2]port link-type access

[Huawei-GigabitEthernet0/0/2]port default? vlan? 100

[Huawei-GigabitEthernet0/0/4]port link-type access

[Huawei-GigabitEthernet0/0/4]port default? vlan? 200

[Huawei]interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1]port link-type trunk?

[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan? 100

[Huawei]interface GigabitEthernet 0/0/3

[Huawei-GigabitEthernet0/0/3]port link-type trunk

[Huawei-GigabitEthernet0/0/3]port trunk allow-pass? vlan 200

[Huawei]interface? Eth-Trunk 1? //這里實驗要求是要做聚合，大家不想做也可以，不影響后續(xù)實驗，做了的話待會到防火墻上也需要做接口聚合。

[Huawei-Eth-Trunk1]trunkport GigabitEthernet 0/0/1

[Huawei-Eth-Trunk1]trunkport GigabitEthernet 0/0/3

//后面要給server配置ip地址，這里就不多贅述了，大家可以根據(jù)拓撲圖所示配置到相應(yīng)網(wǎng)段內(nèi)即可

注：因為我們要把網(wǎng)關(guān)配置到防火墻上，所以這里就沒有做vlanif虛擬網(wǎng)關(guān)，大家注意下

四、登錄防火墻UI界面，配置防火墻接口ip地址、安全策略、接口聚合靜態(tài)路由，實現(xiàn)實驗要求。

上述配置完成后，本次實驗真正要考核的地方來了，那就是防火墻配置，話不多說，我們直接來看配置過程！

• 登錄了https://ip:8443端口后，先配置防火墻各個端口ip

?//往右邊拉，有個編輯框，大家拉開，根據(jù)拓撲圖配置區(qū)域、ip地址即可

• 配置策略、實現(xiàn)各個區(qū)域之間的互相訪問。

//配置過程大家就根據(jù)trust區(qū)域網(wǎng)段、dmz區(qū)域網(wǎng)段、untrust區(qū)域網(wǎng)段配置即可，后面的服務(wù)如果要進行ping測試記得允許icmp，記錄命中次數(shù)(這里大家可以看到命中次數(shù)都為0，待會我們?nèi)ミM行ping測試的時候,命中次數(shù)就會增加，也說明我們防火墻配置的策略生效了)

• 策略配置完成了，但是我們還需要在交換機、路由器、防火墻上配置路由(這一步大家可不敢忘記呀！)
• 這里主要給大家看下防火墻怎么配靜態(tài)路由，交換機、路由器的話就不多做說明了，相信學(xué)到這里的小伙伴配置這些應(yīng)該都不是問題。

• 接下來點擊新增，添加我們需要的路由即可 //這里大家就把它想象成路由器，路由器怎么配ip這里一樣

?//這里為了演示，我就寫了兩條路由，實現(xiàn)trust->untrust區(qū)域的訪問

• 當(dāng)我們完成了trust區(qū)域路由配置、untrust區(qū)域路由配置、防火墻路由配置后，可以簡單測試一下，如下圖所示:

pc為trust區(qū)域終端，100.1.1.1為untrust區(qū)域環(huán)回ip。

我們?nèi)ゲ榭捶阑饓κ欠衩?，如下圖所示:

• 因為我們前面在SW4上做了接口聚合，所以防火墻上也要做

1、配置接口聚合

步驟:新建->接口類型選擇聚合，然后將需要聚合的接口添加到綁定接口即可

?2、配置vlanif100、vlanif200虛擬網(wǎng)關(guān)。

• 這里大家最好在進入到防火墻每個接口敲一遍:service-manage all permit，確保服務(wù)權(quán)限開啟

配置完成，進行測試

• trust->untrust

• dmz->trust

?

• untrust->dmz

實驗中遇到的問題

一、訪問https://ip:8443端口提示建立安全連接失敗

• 具體報錯信息如下圖所示:

• ?這里關(guān)鍵的地方是也沒有繼續(xù)訪問的鏈接，而在觀看老師操作的時候卻有接受安全提示，繼續(xù)訪問的接口，所以我更換了Google、微軟瀏覽器挨個試了一遍都不行，網(wǎng)上也有很多說法，關(guān)閉防火墻，VirtualBox版本不匹配、或者是沒有開啟https訪問權(quán)限等等原因，而我也照貓畫虎做了一遍，都還是不行。于是我打算抓包看看，到底是哪出了問題。
• 抓包如下圖所示:

• ?這時候我們訪問myssl.com查看當(dāng)前瀏覽器支持的tls版本：

?點擊工具型,點擊國際客戶端檢測，即可查看當(dāng)前瀏覽器支持的tls版本，而我使用的火狐瀏覽器如下圖所示：

?解決辦法: 到這里相信小伙伴們就知道了，是因為火狐瀏覽器不支持tls1.1版本，導(dǎo)致我們無法成功建立tls連接，所以我更換了ie瀏覽器(只要支持tls1.1版本的瀏覽器都可以)，這時候我再去訪問https://ip:8443這個地址，成功出現(xiàn)了 防火墻后臺界面，如下圖所示:

接下來大家就使用默認用戶名:admin 密碼:Admin@123登錄即可。

二、在本機cmd窗口無法ping通防火墻測試端口

具體問題如下:

當(dāng)我們完成了cloud配置，成功配置防火墻測試端口ip地址，但是始終無法ping通，如下圖所示

?

這時候我們應(yīng)該提前進行ping測試，因為我們要通過該ip地址登錄后臺控制頁面的前提是可以ping通它，同時免得后面再返工?？墒菂s始終無法ping通，如下圖所示：

?解決方法:

進入防火墻G0/0/0端口，開啟ping測試權(quán)限

使用命令:

service-manage enable?

service-manage all permit //允許訪問該接口的所有服務(wù)

這時候我們再去測試，可以看到成功ping'通并登錄后臺界面。

?

?tips: 作者在這里遇到了cloud配置好了，ip地址、https、ping服務(wù)，防火墻把所有關(guān)于ensp的流量都允許了，結(jié)果還是ping不通(如果是可以ping通，但是無法登錄，大家可以看看上述第一個問題的解決辦法！)。這里本人更換了cloud網(wǎng)卡配置，然后將端口類型都改為了GE(如果本來就是GE的可以更換為Ethernet)，再次測試卻可以通了，很懵逼；還有一種情況就是我將G0/0/0口連到別的地方卻沒有連接cloud，導(dǎo)致本地流量始終無法送到該接口，無法ping通，將G0/0/0口再重新連接至cloud就可以ping通了。由于個人能力有限，暫時無法給大家詳細講解原因，如果遇到和作者類似情況的小伙伴可以試一試，說不定就解決大家問題了。

以上就是要跟小伙伴們分享的內(nèi)容，不知道有沒有幫助到大家，如果有寫的不準確的地方，歡迎大家交流指正！

??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? Writer: Darkfive文章來源地址http://www.zghlxwxcb.cn/news/detail-428469.html

到了這里，關(guān)于結(jié)合實驗詳解USG6000V防火墻的相關(guān)配置(小白一定要看！?。?的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！