网络安全--防火墙旁挂部署方式和高可靠性技术
目录
一、防火墙
二、防火墙旁挂部署方式
使用策略路由实现
第一步、IP地址配置
第二步、配置路由
第三步、在防火墙上做策略
第四步、在R2上使用策略路由引流
三、防火墙高可靠性技术--HRP
拓扑图
第一步、配置SW1、SW2、FW1、FW2
第二步、进入防火墙Web页面进行配置接口
第三步、配置高可靠VRRP---双机备份
第四步、配置路由
第五步、配置安全策略
第六步、链路故障进行测试
一、防火墙

二、防火墙旁挂部署方式
使用策略路由实现

第一步、IP地址配置
R1
<Huawei>system-view
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 100.1.1.1 24
[R1-LoopBack0]ip address 1.1.1.1 32
R2
<Huawei>system-view
[Huawei]sysname R2
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ip address 100.1.1.2 24
[R2-GigabitEthernet0/0/1]int g0/0/2
[R2-GigabitEthernet0/0/2]ip address 192.168.1.2 24
[R2-GigabitEthernet0/0/2]int g0/0/0.1
[R2-GigabitEthernet0/0/0.1]ip address 192.168.3.2 24
[R2-GigabitEthernet0/0/0.1]dot1q termination vid 2
[R2-GigabitEthernet0/0/0.1]arp broadcast enable
[R2-GigabitEthernet0/0/0.1]int g0/0/0.2
[R2-GigabitEthernet0/0/0.2]ip address 192.168.2.2 24
[R2-GigabitEthernet0/0/0.2]dot1q termination vid 3
[R2-GigabitEthernet0/0/0.2]arp broadcast enable
R3
<Huawei>system-view
[Huawei]sysname R3
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip address 192.168.1.3 24
[R3-GigabitEthernet0/0/0]int lo0
[R3-LoopBack0]ip address 3.3.3.3 32
FW1
<USG6000V1>system-view
[USG6000V1]sysname FW
[FW]int g0/0/0
[FW-GigabitEthernet0/0/0]ip address 192.168.78.10 24
[FW-GigabitEthernet0/0/0]service-manage all permit
然后用这个IP地址进入Web页面,配置接口


第二步、配置路由
先把1.1.1.1到3.3.3.3之间的路由打通。
R1到R3的3.3.3.3/32环回
[R1]ip route-static 3.3.3.3 32 100.1.1.2
R2到R3的3.3.3.3/32和R1的1.1.1.1/32环回
[R2]ip route-static 1.1.1.1 32 100.1.1.1
[R2]ip route-static 3.3.3.3 24 192.168.1.3
R3到R1的1.1.1.1/32环回
[R3]ip route-static 1.1.1.1 32 192.168.1.2
测试

在防火墙上配置路由
到1.1.1.1/32和3.3.3.3/32的路由

第三步、在防火墙上做策略
允许3.3.3.3与1.1.1.1之间互相访问

配置g1/0/0接口为串口

并且设置g1/0/0为信任区域

第四步、在R2上使用策略路由引流
将R1与R3之间的流量通过R2之后到防火墙,再到对方。
在R2上写策略
#3.3.3.3到1.1.1.1
#使用ACL抓取流量
[R2]acl 3001
[R2-acl-adv-3001]rule 100 permit ip source 3.3.3.3 0 destination 1.1.1.1 0
[R2-acl-adv-3001]qu
#使用策略捕获流量
[R2]traffic classifier trust
[R2-classifier-trust]if-match acl 3001
[R2-classifier-trust]qu
#对捕获的流量进行设置或者动作
[R2]traffic behavior trust
[R2-behavior-trust]redirect ip-nexthop 192.168.2.1
[R2-behavior-trust]qu
#匹配捕获流量和对应的动作
[R2]traffic policy trust
[R2-trafficpolicy-trust]classifier trust behavior trust
[R2-trafficpolicy-trust]qu
#在接口调用策略
[R2]int g0/0/2
[R2-GigabitEthernet0/0/2]traffic-policy trust inbound
[R2-GigabitEthernet0/0/2]qu#1.1.1.1到3.3.3.3
[R2]acl 3002
[R2-acl-adv-3001]rule 100 permit ip source 1.1.1.1 0 destination 3.3.3.3 0
[R2-acl-adv-3001]qu
[R2]traffic classifier untrust
[R2-classifier-trust]if-match acl 3002
[R2-classifier-trust]qu
[R2]traffic behavior untrust
[R2-behavior-trust]redirect ip-nexthop 192.168.3.1
[R2-behavior-trust]qu
[R2]traffic policy untrust
[R2-trafficpolicy-trust]classifier trust behavior untrust
[R2-trafficpolicy-trust]qu
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]traffic-policy untrust inbound
[R2-GigabitEthernet0/0/1]qu
进行测试,发现是可以互相访问,并且追踪路由是经过防火墙设备。

当断开与防火墙的连接进行测试,依旧可以访问,所以也起到当防火墙故障的时候,依旧可以实现上网。

三、防火墙高可靠性技术--HRP
拓扑图

第一步、配置SW1、SW2、FW1、FW2
把SW1和SW2做三层交换机使用
SW1
<Huawei>system-view
[Huawei]sysname SW1
[SW1]vlan 2
[SW1-vlan2]int vlanif 2
[SW1-Vlanif2]ip address 10.1.1.1 24
[SW1-Vlanif2]int lo0
[SW1-LoopBack0]ip address 1.1.1.1 32
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 2
[SW1-GigabitEthernet0/0/1]int g0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 2
[SW1-GigabitEthernet0/0/2]qu
SW2
<Huawei>system-view
[Huawei]sysname SW2
[SW2]vlan 3
[SW2-vlan3]int vlanif 3
[SW2-Vlanif3]ip address 10.1.2.1 24
[SW2-Vlanif3]int lo0
[SW2-LoopBack0]ip address 2.2.2.2 32
[SW2-LoopBack0]int g0/0/1
[SW2-GigabitEthernet0/0/1]port link-type access
[SW2-GigabitEthernet0/0/1]port default vlan 3
[SW2-GigabitEthernet0/0/1]int g0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access
[SW2-GigabitEthernet0/0/2] port default vlan 3
[SW2-GigabitEthernet0/0/2]qu
FW1
<USG6000V1>system-view
[USG6000V1]sysname FW1
[FW1]int g0/0/0
[FW1-GigabitEthernet0/0/0]ip address 192.168.78.10 24
[FW1-GigabitEthernet0/0/0]service-manage all permit
FW2
<USG6000V1>system-view
[USG6000V1]sysname FW2
[FW2]int g0/0/0
[FW2-GigabitEthernet0/0/0]ip address 192.168.78.20 24
[FW2-GigabitEthernet0/0/0]service-manage all permit
第二步、进入防火墙Web页面进行配置接口
FW1
g1/0/0

g1/0/1
g1/0/2--心跳线

FW2
g1/0/0

g1/0/1

g1/0/2--心跳线

第三步、配置高可靠VRRP---双机备份

FW1--主



FW2--备份


配置完进行查看到FW1为主,FW2为备,说明配置成功


现在主备配置成功,只需要在主设备上进行配置,然后就会自动同步。
第四步、配置路由
在FW1上做

配置了去FW2上去看,也有这两条路由,自动同步过去了

SW1
[SW1]ip route-static 0.0.0.0 0 10.1.1.254
SW2
[SW2]ip route-static 0.0.0.0 0 10.1.2.254
第五步、配置安全策略
在FW1上做2.2.2.2和1.1.1.1之间互通的安全策略
做安全策略前先进行测试,结果是无法访问

做安全策略

查看FW2上,策略同步更新

做完策略进行测试,2.2.2.2可以访问1.1.1.1。

第六步、链路故障进行测试
当断开FW1上行链路,掉了几个包,说明主备切换成功。

在FW2上面去看,FW2本来是备份,现在也切换到主状态,说明主故障,切换到备份成功

当FW1上行链路恢复,掉了一个包,说明FW1恢复了主状态。
在FW2上看,又恢复成备状态。

相关文章:
网络安全--防火墙旁挂部署方式和高可靠性技术
目录 一、防火墙 二、防火墙旁挂部署方式 使用策略路由实现 第一步、IP地址配置 第二步、配置路由 第三步、在防火墙上做策略 第四步、在R2上使用策略路由引流 三、防火墙高可靠性技术--HRP 拓扑图 第一步、配置SW1、SW2、FW1、FW2 第二步、进入防火墙Web页面进行配…...
c++最小步数模型(魔板)
C 最小步数模型通常用于寻找两个点之间的最短路径或最少步数。以下是一个基本的 C 最小步数模型的示例代码: #include<bits/stdc.h> using namespace std; const int N 1e5 5; vector<int> G[N]; int d[N]; bool vis[N];void bfs(int s) {queue<i…...
【每日一题Day337】LC460LFU 缓存 | 双链表+哈希表
LFU 缓存【LC460】 请你为 最不经常使用(LFU)缓存算法设计并实现数据结构。 实现 LFUCache 类: LFUCache(int capacity) - 用数据结构的容量 capacity 初始化对象int get(int key) - 如果键 key 存在于缓存中,则获取键的值&#x…...
解决老版本Oracle VirtualBox 此应用无法在此设备上运行问题
问题现象 安装华为eNSP模拟器的时候,对应的Oracle VirtualBox-5.2.26安装的时候提示兼容性问题,无法进行安装,具体版本信息如下: 软件对应版本备注Windows 11专业工作站版22H222621eNSP1.3.00.100 V100R003C00 SPC100终结正式版…...
法规标准-UN R48标准解读
UN R48是做什么的? UN R48全名为关于安装照明和灯光标志装置的车辆认证的统一规定,主要描述了对各类灯具的布置要求及性能要求;其中涉及自动驾驶功能的仅有6.25章节【后方碰撞预警信号】,因此本文仅对此章节进行解读 功能要求 …...
自动化和数字化在 ERP 系统中意味着什么?
毋庸置疑,ERP系统的作用是让工作更轻松。它可以集成流程,提供关键分析,确保你的企业高效运营。这些信息可以提高你的运营效率,并将有限的人力资本重新部署到更有效、更重要的需求上。事实上,自动化和数字化是ERP系统最…...
python nvidia 显卡信息 格式数据
python nvidia 显卡信息 格式数据. def get_gpu_memory():result subprocess.check_output([nvidia-smi, --query-gpupci.bus_id,memory.used,memory.total,memory.free, --formatcsv])# 返回 GPU 的显存使用情况,单位为 Minfo []for t in csv.DictReader(result…...
LeetCode每日一题:1993. 树上的操作(2023.9.23 C++)
目录 1993. 树上的操作 题目描述: 实现代码与解析: 模拟 dfs 原理思路: 1993. 树上的操作 题目描述: 给你一棵 n 个节点的树,编号从 0 到 n - 1 ,以父节点数组 parent 的形式给出,其中 p…...
绿色计算产业发展白皮书:2022年OceanBase助力蚂蚁集团减排4392tCO2e
9 月 15 日,绿色计算产业联盟在 2023 世界计算大会期间重磅发布了《绿色计算产业发展白皮书(2023 版)》。蚂蚁集团作为指导单位之一,联合参与了该白皮书的撰写。 白皮书中指出,落实“双碳”战略,绿色计算已…...
阿里云通义千问14B模型开源!性能超越Llama2等同等尺寸模型
9月25日,阿里云开源通义千问140亿参数模型Qwen-14B及其对话模型Qwen-14B-Chat,免费可商用。Qwen-14B在多个权威评测中超越同等规模模型,部分指标甚至接近Llama2-70B。阿里云此前开源了70亿参数模型Qwen-7B等,一个多月下载量破100万࿰…...
两横一纵 | 寅家科技发布10年新征程战略
2023年9月22日,寅家科技“寅路向前”10年新征程战略发布会在上海举办,来自投资领域的东方富海、深创投、高新投等知名投资机构,一汽大众、一汽红旗、奇瑞汽车等主机厂,国家新能源汽车技术创新中心、梅克朗、芯驰科技、思特威等合作…...
二值贝叶斯滤波计算4d毫米波聚类目标动静属性
机器人学中有些问题是二值问题,对于这种二值问题的概率评估问题可以用二值贝叶斯滤波器binary Bayes filter来解决的。比如机器人前方有一个门,机器人想判断这个门是开是关。这个二值状态是固定的,并不会随着测量数据变量的改变而改变。就像门…...
【刷题笔记9.25】LeetCode:相交链表
LeetCode:相交链表 一、题目描述 给你两个单链表的头节点 headA 和 headB ,请你找出并返回两个单链表相交的起始节点。如果两个链表不存在相交节点,返回 null 。 二、分析及代码 方法一:使用哈希Set集合 (注意…...
打造本地紧密链接的开源社区——KCC@长沙开源读书会openKylin爱好者沙龙圆满举办...
2023年9月9日,由开源社联合 openKylin 社区举办的 KCC长沙开源读书会&openKylin 爱好者沙龙,在长沙圆满举办。这是 KCC长沙首次正式进入公众视野,开展开源交流活动,也是 openKylin 社区长沙首场线下沙龙。长沙地区及其周边的众…...
Python 笔记03(多线程)
一 打开命令行,查看本机IP windows r 命令行输入:cmd ipconfig 然后查看IPv4的地址:192.168.1*6.1 ipconfig 二 函数式多进程 from multiprocessing import Process import os, timedef func(name):print(进程的ID:, os.g…...
mysql-4:SQL的解析顺序
SQL语句的解析顺序 文章目录 SQL语句的解析顺序编写顺序与解析顺序解析顺序关键字FROMONOUTER JOINWHEREGROUP BYHAVINGSELECTDISTINCTORDER BYLIMIT 解析流程流程分析流程说明WHERE条件解析顺序 编写顺序与解析顺序 编写顺序 SELECT DISTINCT < select_list > FROM &l…...
如何通过优化Read-Retry机制降低SSD读延迟?
近日,小编发现发表于2021论文中,有关于优化Read-Retry机制降低SSD读延迟的研究,小编这里给大家分享一下这篇论文的核心的思路,感兴趣的同学可以,可以在【存储随笔】VX公号后台回复“Optimizing Read-Retry”获取下载链接。 本文中主要基于Charge Trap NAND架构分析。NAND基…...
matlab自动生成FPGA rom源码
1 matlab 源码 close all clear all clci=0:1:(300000-100-1); x=300000./(100+i); x=x./2; x=round(...
消息队列(RabbitMQ+RocketMQ+Kafka)
消息队列是一种应用程序之间通过异步通信进行数据交换的通信模式 消息队列的类型: 点对点,一对一的消息传递模型,其中每个消息只能被一个接收者消费。发送者将消息发送到队列中,而接收者从队列中获取消息并进行处理,…...
python判断语句
1.布尔类型 进行判断,只有是(True:本质上是一个数字,记作1)和否(False:本质上是一个数字,记作0)。 定义变量存储布尔类型数据: 变量名称 布尔类型字面量 a True代码演示: a True print(type(a))输出结…...
DeepSeek 赋能智慧能源:微电网优化调度的智能革新路径
目录 一、智慧能源微电网优化调度概述1.1 智慧能源微电网概念1.2 优化调度的重要性1.3 目前面临的挑战 二、DeepSeek 技术探秘2.1 DeepSeek 技术原理2.2 DeepSeek 独特优势2.3 DeepSeek 在 AI 领域地位 三、DeepSeek 在微电网优化调度中的应用剖析3.1 数据处理与分析3.2 预测与…...
STM32标准库-DMA直接存储器存取
文章目录 一、DMA1.1简介1.2存储器映像1.3DMA框图1.4DMA基本结构1.5DMA请求1.6数据宽度与对齐1.7数据转运DMA1.8ADC扫描模式DMA 二、数据转运DMA2.1接线图2.2代码2.3相关API 一、DMA 1.1简介 DMA(Direct Memory Access)直接存储器存取 DMA可以提供外设…...
spring:实例工厂方法获取bean
spring处理使用静态工厂方法获取bean实例,也可以通过实例工厂方法获取bean实例。 实例工厂方法步骤如下: 定义实例工厂类(Java代码),定义实例工厂(xml),定义调用实例工厂ÿ…...
【碎碎念】宝可梦 Mesh GO : 基于MESH网络的口袋妖怪 宝可梦GO游戏自组网系统
目录 游戏说明《宝可梦 Mesh GO》 —— 局域宝可梦探索Pokmon GO 类游戏核心理念应用场景Mesh 特性 宝可梦玩法融合设计游戏构想要素1. 地图探索(基于物理空间 广播范围)2. 野生宝可梦生成与广播3. 对战系统4. 道具与通信5. 延伸玩法 安全性设计 技术选…...
Netty从入门到进阶(二)
二、Netty入门 1. 概述 1.1 Netty是什么 Netty is an asynchronous event-driven network application framework for rapid development of maintainable high performance protocol servers & clients. Netty是一个异步的、基于事件驱动的网络应用框架,用于…...
Razor编程中@Html的方法使用大全
文章目录 1. 基础HTML辅助方法1.1 Html.ActionLink()1.2 Html.RouteLink()1.3 Html.Display() / Html.DisplayFor()1.4 Html.Editor() / Html.EditorFor()1.5 Html.Label() / Html.LabelFor()1.6 Html.TextBox() / Html.TextBoxFor() 2. 表单相关辅助方法2.1 Html.BeginForm() …...
C# 表达式和运算符(求值顺序)
求值顺序 表达式可以由许多嵌套的子表达式构成。子表达式的求值顺序可以使表达式的最终值发生 变化。 例如,已知表达式3*52,依照子表达式的求值顺序,有两种可能的结果,如图9-3所示。 如果乘法先执行,结果是17。如果5…...
6️⃣Go 语言中的哈希、加密与序列化:通往区块链世界的钥匙
Go 语言中的哈希、加密与序列化:通往区块链世界的钥匙 一、前言:离区块链还有多远? 区块链听起来可能遥不可及,似乎是只有密码学专家和资深工程师才能涉足的领域。但事实上,构建一个区块链的核心并不复杂,尤其当你已经掌握了一门系统编程语言,比如 Go。 要真正理解区…...
基于单片机的宠物屋智能系统设计与实现(论文+源码)
本设计基于单片机的宠物屋智能系统核心是实现对宠物生活环境及状态的智能管理。系统以单片机为中枢,连接红外测温传感器,可实时精准捕捉宠物体温变化,以便及时发现健康异常;水位检测传感器时刻监测饮用水余量,防止宠物…...
python读取SQLite表个并生成pdf文件
代码用于创建含50列的SQLite数据库并插入500行随机浮点数据,随后读取数据,通过ReportLab生成横向PDF表格,包含格式化(两位小数)及表头、网格线等美观样式。 # 导入所需库 import sqlite3 # 用于操作…...
