您当前的位置：首页 > 电脑百科 > 网络技术 > 网络设置

企业内网单向访问的实现——HUAWEI FW旁挂的配置

时间：2022-11-25 16:22:04 来源：作者：平静如水的温柔

+ 加入收藏

企业内网中常有这样的需求，管理员或老板希望能够访问其他业务部门主机的共享资料等信息，却不希望任何人访问管理员的共享信息。

以前我们介绍过通过利用ACL结合过滤策略来实现，见《企业内网单向访问的实现—TCP三次握手的深入理解与应用》

和利用虚拟防火墙安全策略来实现，见《企业内网单向访问的实现—华为虚拟防火墙应用》

对于上面介绍的方法，有朋友提出如何在不改变现有拓扑的情况下，通过旁挂防火墙来控制内网主机的互访。下面我们就通过一个例子来进行介绍。

注：实现问题解决有多种方法，这里不做优劣比较，只是技术方法实现，实际工作中具体情况具体分析，适合的方法才是最好的方法。

实验拓扑说明：

AR1模拟外网设备

PC1 PC2模拟内网设备地址 192.168.1.1/24 192.168.2.1/24

SW1模拟核心交换机配置VLAN10 20 作为PC1 和PC2 的网关

在没有FW设备的情况下，配置基础设置，实现网络互通。

FW作为增加的安全设备，旁挂在SW1 上对VLAN间数据进行管理。

基础配置：

AR1

sysname R1

interface GigabitEthe.NET0/0/0

ip address 12.0.0.1 255.255.255.0

ip route-static 192.168.0.0 255.255.0.0 12.0.0.2

核心交换机SW1配置

sysname SW1

vlan batch 10 20 100

interface Vlanif10

ip address 192.168.1.254 255.255.255.0

interface Vlanif20

ip address 192.168.2.254 255.255.255.0

interface Vlanif100

ip address 12.0.0.2 255.255.255.0

interface GigabitEthernet0/0/8

port link-type access

port default vlan 100

interface GigabitEthernet0/0/11

port link-type access

port default vlan 10

interface GigabitEthernet0/0/12

port link-type access

port default vlan 20

PC1PC2配置相应IP地址，完成后测试PC互通正常，访问外网正常。

下面我们把防火墙旁挂在核心交换机上，对流量进行管控。

SW1增加接口配置

vlan batch 40 50

interface Vlanif40

ip address 10.1.1.1 255.255.255.0

interface Vlanif50

ip address 10.2.2.1 255.255.255.0

interface GigabitEthernet0/0/1

port link-type access

port default vlan 40

interface GigabitEthernet0/0/2

port link-type access

port default vlan 50

//增加与防火墙互联接口的配置

acl number 3000

rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

traffic classifier 10to20

if-match acl 3000

traffic behavior 10to20

redirect ip-nexthop 10.1.1.2

traffic policy 10to20

classifier 10to20 behavior 10to20

interface GigabitEthernet0/0/11

traffic-policy 10to20 inbound

acl number 3001

rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

traffic classifier 20to10

if-match acl 3001

traffic behavior 20to10

redirect ip-nexthop 10.2.2.2

traffic policy 20to10

classifier 20to10 behavior 20to10

interface GigabitEthernet0/0/12

traffic-policy 20to10 inbound

//分别将PC1访问PC2 和PC2访问PC1的流量引导到旁挂的防火墙上

ospf 100

area 0.0.0.0

network 192.168.1.0 0.0.0.255

network 10.1.1.1 0.0.0.0

ospf 200

area 0.0.0.0

network 192.168.2.0 0.0.0.255

network 10.2.2.1 0.0.0.0

//配置两个OSPF进程，分别用于引导出入防火墙的流量

防火墙配置

sysname FW1

interface GigabitEthernet1/0/1

ip address 10.1.1.2 255.255.255.0

interface GigabitEthernet1/0/2

ip address 10.2.2.2 255.255.255.0

firewall zone name v10

set priority 10

add interface GigabitEthernet1/0/1

firewall zone name v20

set priority 15

add interface GigabitEthernet1/0/2

//配置与核心交换机互联的接口和自定义区域中

ospf 100

area 0.0.0.0

network 10.1.1.2 0.0.0.0

ospf 200

area 0.0.0.0

network 10.2.2.2 0.0.0.0

//配置两个OSPF进程对应交换机流量的出入方向

security-policy

rule name 10to20

source-zone v10

destination-zone v20

source-address 192.168.1.0 mask 255.255.255.0

destination-address 192.168.2.0 mask 255.255.255.0

action deny

rule name 20to10

source-zone v20

destination-zone v10

source-address 192.168.2.0 0.0.0.255

destination-address 192.168.1.0 0.0.0.255

action permit

//配置安全策略，阻止PC1访问PC2，放行PC2访问PC1

配置完成后，检查结果PC1无法访问PC2 ，PC2正常访问PC1，两PC访问外网正常，达到了控制的目的。

注：同样的原理可以用引导其他流量至防火墙处理，如访问互联网流量，加强内网的安全性。

Tags：HUAWEI FW 点击:() 评论:()

声明：本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作，风险自担。如有任何标注错误或版权侵犯请与我们联系，我们将及时更正、删除。

▌相关推荐

企业内网单向访问的实现——HUAWEI FW旁挂的配置

企业内网中常有这样的需求，管理员或老板希望能够访问其他业务部门主机的共享资料等信息，却不希望任何人访问管理员的共享信息。以前我们介绍过通过利用ACL结合过滤策略来实现，...【详细内容】

2022-11-25　　Search: HUAWEI FW 点击:(713)　　评论:(0)　　加入收藏

▌简易百科推荐

iPhone或iPad用户必学：如何通过二维码快速共享Wi-Fi密码，简单又实用！

你有没有想过在不泄露网络密码的情况下与客人共享你的家庭或工作Wi-Fi？你肯定不是第一个这样想的人，我们很高兴地通知你，多亏了以下这个的变通方法，你现在可以使用iPhone或iPad...【详细内容】

2024-01-22　　驾驭信息纵横科技　　　　Tags:Wi-Fi密码　点击:(66)　　评论:(0)　　加入收藏

Windows 11网络连接问题诊断与解决小技巧，轻松解决上网问题！

在日常生活中，如果在连接网络时遇到问题，该如何排查解决？以下是一些故障排除步骤，可帮助你解决戴尔电脑上的无线网络连接问题。一起来看看吧！1、进行基本检查先进行一些基本检查...【详细内容】

2024-01-12　　戴尔维修工程师　　　　Tags: 　点击:(58)　　评论:(0)　　加入收藏

配置Cisco AnyConnect VPN的5个步骤，缺一不可

随着越来越多的人远程工作或在混合环境中工作，IT部门和MSP在ASA防火墙上配置Cisco AnyConnect VPN的呼声越来越高。但是Cisco文档可能会非常混乱，这会导致一些组织的配置错误（...【详细内容】

2023-11-14　　驾驭信息纵横科技　　　　Tags:VPN 　点击:(91)　　评论:(0)　　加入收藏

如何在Windows 10系统上设置DNS？

如果你正在使用Windows10操作系统，并且想要更好地控制你的网络服务，那么了解如何设置DNS（DomainNameSystem）是非常重要的。DNS是一种将域名解析为IP地址的服务，它能够让你在访问...【详细内容】

2023-11-10　　高梦文　　　　Tags:DNS 　点击:(191)　　评论:(0)　　加入收藏

RabbitMQ发送和接收消息的几种方式

channel.basicQos(0, 1, false)：0表示对消息的大小无限制，1表示每次只允许消费一条，false表示该限制不作用于channel。同时，我们采用手工ACK的方式，因为我们配置文件配置了 spri...【详细内容】

2023-11-08　　程序猿羊　　微信公众号　　Tags:RabbitMQ 　点击:(263)　　评论:(0)　　加入收藏

CISA发布十大常见网络安全错误配置

美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)在本周五的报告中公布了其红队和蓝队在大型组织网络中发现的十大最常见网络安全误配置。NSA和CISA在安全建议中详细说...【详细内容】

2023-11-07　　GoUpSec　　微信公众号　　Tags:CISA 　点击:(257)　　评论:(0)　　加入收藏

Istio Envoy 配置解读，看这篇就够了

前面我们创建了一个 Gateway 和 VirtualService 对象，用来对外暴露应用，然后我们就可以通过 ingressgateway 来访问 Bookinfo 应用了。那么这两个资源对象是如何实现的呢？Gatew...【详细内容】

2023-11-07　　k8s技术圈　　微信公众号　　Tags:Istio Envoy 　点击:(128)　　评论:(0)　　加入收藏

RabbitMQ的四种交换机详解

交换机主要是接收消息并且转发到绑定的队列，交换机不存储消息，在启用ack模式后，交换机找不到队列会返回错误。交换机有四种类型：Direct, topic, Headers and Fanout。图片一、to...【详细内容】

2023-11-06　　程序猿小杨　　微信公众号　　Tags:交换机　点击:(265)　　评论:(0)　　加入收藏

路由器配置NAT/UPNP/DMZ方法

常见路由器配置NAT（网络地址转换）、UPnP（通用即插即用）和DMZ（区域暴露）的方法可以根据不同的路由器品牌和型号有所不同，但通常会在路由器的管理界面中找到相关设置。以下是一般步骤...【详细内容】

2023-10-11　　晴间多云　　今日头条　　Tags:路由器配置　点击:(417)　　评论:(0)　　加入收藏

路由器如何正确安装？后台设置一步即可接入宽带

现在的路由器不论安装还是后台设置都非常方便，但一些网友可能是没有详细了解过相关的知识，所以每次想要更换路由器或者新装路由器的时候并不知道如何安装路由器接入自家宽带，这...【详细内容】

2023-09-21　　羽度非凡　　　　Tags:路由器　点击:(296)　　评论:(0)　　加入收藏

推荐资讯

早高峰打“飞的”有多	JavaScript的异步编程
Rust编程语言的内存安	数字人破解跨境直播难
Meta确认5月发布Llama	ChatGPT 应用商店？可能
社交网络与Web3：数字社	速查微信聊天最频繁对

无相关信息

站内最新

· Windows 11网络连接问题诊断与解决小技巧，轻松解决上网问题！

· 配置Cisco AnyConnect VPN的5个步骤，缺一不可

· 如何在Windows 10系统上设置DNS？

· RabbitMQ发送和接收消息的几种方式

· CISA发布十大常见网络安全错误配置

· Istio Envoy 配置解读，看这篇就够了

· RabbitMQ的四种交换机详解

· 路由器配置NAT/UPNP/DMZ方法

· 路由器如何正确安装？后台设置一步即可接入宽带

· Linux网络配置：掌握ifconfig、ping和netstat

· 交换机的高级特性

· 端口映射什么意思？什么是端口映射？如何设置端口映射？

· 高铁上明明有WiFi，为何只可连接却无法使用，到底是何原因？

· 如何重置电脑网络设置

站内热门