当前位置: 首页 > news >正文

网络安全--防火墙旁挂部署方式和高可靠性技术

目录

一、防火墙

二、防火墙旁挂部署方式

使用策略路由实现

第一步、IP地址配置

第二步、配置路由

第三步、在防火墙上做策略

第四步、在R2上使用策略路由引流

三、防火墙高可靠性技术--HRP

拓扑图

第一步、配置SW1、SW2、FW1、FW2

第二步、进入防火墙Web页面进行配置接口

第三步、配置高可靠VRRP---双机备份

第四步、配置路由

第五步、配置安全策略

第六步、链路故障进行测试


一、防火墙

二、防火墙旁挂部署方式

使用策略路由实现

第一步、IP地址配置

R1

<Huawei>system-view 	
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 100.1.1.1 24
[R1-LoopBack0]ip address 1.1.1.1 32

R2

<Huawei>system-view 
[Huawei]sysname R2
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ip address 100.1.1.2 24
[R2-GigabitEthernet0/0/1]int g0/0/2	
[R2-GigabitEthernet0/0/2]ip address 192.168.1.2 24
[R2-GigabitEthernet0/0/2]int g0/0/0.1	
[R2-GigabitEthernet0/0/0.1]ip address 192.168.3.2 24	
[R2-GigabitEthernet0/0/0.1]dot1q termination vid 2
[R2-GigabitEthernet0/0/0.1]arp broadcast enable 
[R2-GigabitEthernet0/0/0.1]int g0/0/0.2	
[R2-GigabitEthernet0/0/0.2]ip address 192.168.2.2 24	
[R2-GigabitEthernet0/0/0.2]dot1q termination vid 3
[R2-GigabitEthernet0/0/0.2]arp broadcast enable 

R3

<Huawei>system-view 	
[Huawei]sysname R3
[R3]int g0/0/0	
[R3-GigabitEthernet0/0/0]ip address 192.168.1.3 24
[R3-GigabitEthernet0/0/0]int lo0
[R3-LoopBack0]ip address 3.3.3.3 32

FW1

<USG6000V1>system-view 	
[USG6000V1]sysname FW
[FW]int g0/0/0	
[FW-GigabitEthernet0/0/0]ip address 192.168.78.10 24	
[FW-GigabitEthernet0/0/0]service-manage all permit

 然后用这个IP地址进入Web页面,配置接口

第二步、配置路由

先把1.1.1.1到3.3.3.3之间的路由打通。

R1到R3的3.3.3.3/32环回

[R1]ip route-static 3.3.3.3 32 100.1.1.2

R2到R3的3.3.3.3/32和R1的1.1.1.1/32环回

[R2]ip route-static 1.1.1.1 32 100.1.1.1
[R2]ip route-static 3.3.3.3 24 192.168.1.3

R3到R1的1.1.1.1/32环回

[R3]ip route-static 1.1.1.1 32 192.168.1.2

 测试

在防火墙上配置路由

到1.1.1.1/32和3.3.3.3/32的路由

第三步、在防火墙上做策略

允许3.3.3.3与1.1.1.1之间互相访问

配置g1/0/0接口为串口 

 并且设置g1/0/0为信任区域

第四步、在R2上使用策略路由引流

将R1与R3之间的流量通过R2之后到防火墙,再到对方。

 在R2上写策略

#3.3.3.3到1.1.1.1
#使用ACL抓取流量
[R2]acl 3001
[R2-acl-adv-3001]rule 100 permit ip source 3.3.3.3 0 destination 1.1.1.1 0
[R2-acl-adv-3001]qu
#使用策略捕获流量
[R2]traffic classifier trust	
[R2-classifier-trust]if-match acl 3001
[R2-classifier-trust]qu
#对捕获的流量进行设置或者动作
[R2]traffic behavior trust
[R2-behavior-trust]redirect ip-nexthop 192.168.2.1
[R2-behavior-trust]qu
#匹配捕获流量和对应的动作
[R2]traffic policy trust	
[R2-trafficpolicy-trust]classifier trust behavior trust 
[R2-trafficpolicy-trust]qu
#在接口调用策略
[R2]int g0/0/2	
[R2-GigabitEthernet0/0/2]traffic-policy trust inbound 
[R2-GigabitEthernet0/0/2]qu#1.1.1.1到3.3.3.3
[R2]acl 3002
[R2-acl-adv-3001]rule 100 permit ip source 1.1.1.1 0 destination 3.3.3.3 0
[R2-acl-adv-3001]qu
[R2]traffic classifier untrust	
[R2-classifier-trust]if-match acl 3002
[R2-classifier-trust]qu
[R2]traffic behavior untrust
[R2-behavior-trust]redirect ip-nexthop 192.168.3.1
[R2-behavior-trust]qu
[R2]traffic policy untrust	
[R2-trafficpolicy-trust]classifier trust behavior untrust 
[R2-trafficpolicy-trust]qu
[R2]int g0/0/1	
[R2-GigabitEthernet0/0/1]traffic-policy untrust inbound 
[R2-GigabitEthernet0/0/1]qu

 进行测试,发现是可以互相访问,并且追踪路由是经过防火墙设备。

当断开与防火墙的连接进行测试,依旧可以访问,所以也起到当防火墙故障的时候,依旧可以实现上网。

三、防火墙高可靠性技术--HRP

拓扑图

第一步、配置SW1、SW2、FW1、FW2

把SW1和SW2做三层交换机使用

SW1

<Huawei>system-view 	
[Huawei]sysname SW1
[SW1]vlan 2	
[SW1-vlan2]int vlanif 2
[SW1-Vlanif2]ip address 10.1.1.1 24
[SW1-Vlanif2]int lo0
[SW1-LoopBack0]ip address 1.1.1.1 32
[SW1-GigabitEthernet0/0/1]port link-type access 
[SW1-GigabitEthernet0/0/1]port default  vlan 2
[SW1-GigabitEthernet0/0/1]int g0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 2
[SW1-GigabitEthernet0/0/2]qu

SW2

<Huawei>system-view 
[Huawei]sysname SW2
[SW2]vlan 3	
[SW2-vlan3]int vlanif 3
[SW2-Vlanif3]ip address 10.1.2.1 24
[SW2-Vlanif3]int lo0
[SW2-LoopBack0]ip address 2.2.2.2 32
[SW2-LoopBack0]int g0/0/1
[SW2-GigabitEthernet0/0/1]port link-type access 
[SW2-GigabitEthernet0/0/1]port default  vlan  3
[SW2-GigabitEthernet0/0/1]int g0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access
[SW2-GigabitEthernet0/0/2] port default vlan 3
[SW2-GigabitEthernet0/0/2]qu

FW1

<USG6000V1>system-view 	
[USG6000V1]sysname FW1
[FW1]int g0/0/0	
[FW1-GigabitEthernet0/0/0]ip address 192.168.78.10 24	
[FW1-GigabitEthernet0/0/0]service-manage all permit

FW2

<USG6000V1>system-view 	
[USG6000V1]sysname FW2
[FW2]int g0/0/0	
[FW2-GigabitEthernet0/0/0]ip address 192.168.78.20 24	
[FW2-GigabitEthernet0/0/0]service-manage all permit

第二步、进入防火墙Web页面进行配置接口

FW1

g1/0/0

g1/0/1 

g1/0/2--心跳线

FW2

g1/0/0

g1/0/1

g1/0/2--心跳线

第三步、配置高可靠VRRP---双机备份

FW1--主

FW2--备份

配置完进行查看到FW1为主,FW2为备,说明配置成功

现在主备配置成功,只需要在主设备上进行配置,然后就会自动同步。

第四步、配置路由

在FW1上做

配置了去FW2上去看,也有这两条路由,自动同步过去了

SW1

[SW1]ip route-static 0.0.0.0 0 10.1.1.254

 SW2

[SW2]ip route-static 0.0.0.0 0 10.1.2.254

第五步、配置安全策略

在FW1上做2.2.2.2和1.1.1.1之间互通的安全策略

做安全策略前先进行测试,结果是无法访问

做安全策略

查看FW2上,策略同步更新

做完策略进行测试,2.2.2.2可以访问1.1.1.1。

第六步、链路故障进行测试

当断开FW1上行链路,掉了几个包,说明主备切换成功。

在FW2上面去看,FW2本来是备份,现在也切换到主状态,说明主故障,切换到备份成功 

当FW1上行链路恢复,掉了一个包,说明FW1恢复了主状态。

 在FW2上看,又恢复成备状态。

相关文章:

网络安全--防火墙旁挂部署方式和高可靠性技术

目录 一、防火墙 二、防火墙旁挂部署方式 使用策略路由实现 第一步、IP地址配置 第二步、配置路由 第三步、在防火墙上做策略 第四步、在R2上使用策略路由引流 三、防火墙高可靠性技术--HRP 拓扑图 第一步、配置SW1、SW2、FW1、FW2 第二步、进入防火墙Web页面进行配…...

c++最小步数模型(魔板)

C 最小步数模型通常用于寻找两个点之间的最短路径或最少步数。以下是一个基本的 C 最小步数模型的示例代码&#xff1a; #include<bits/stdc.h> using namespace std; const int N 1e5 5; vector<int> G[N]; int d[N]; bool vis[N];void bfs(int s) {queue<i…...

【每日一题Day337】LC460LFU 缓存 | 双链表+哈希表

LFU 缓存【LC460】 请你为 最不经常使用&#xff08;LFU&#xff09;缓存算法设计并实现数据结构。 实现 LFUCache 类&#xff1a; LFUCache(int capacity) - 用数据结构的容量 capacity 初始化对象int get(int key) - 如果键 key 存在于缓存中&#xff0c;则获取键的值&#x…...

解决老版本Oracle VirtualBox 此应用无法在此设备上运行问题

问题现象 安装华为eNSP模拟器的时候&#xff0c;对应的Oracle VirtualBox-5.2.26安装的时候提示兼容性问题&#xff0c;无法进行安装&#xff0c;具体版本信息如下&#xff1a; 软件对应版本备注Windows 11专业工作站版22H222621eNSP1.3.00.100 V100R003C00 SPC100终结正式版…...

法规标准-UN R48标准解读

UN R48是做什么的&#xff1f; UN R48全名为关于安装照明和灯光标志装置的车辆认证的统一规定&#xff0c;主要描述了对各类灯具的布置要求及性能要求&#xff1b;其中涉及自动驾驶功能的仅有6.25章节【后方碰撞预警信号】&#xff0c;因此本文仅对此章节进行解读 功能要求 …...

自动化和数字化在 ERP 系统中意味着什么?

毋庸置疑&#xff0c;ERP系统的作用是让工作更轻松。它可以集成流程&#xff0c;提供关键分析&#xff0c;确保你的企业高效运营。这些信息可以提高你的运营效率&#xff0c;并将有限的人力资本重新部署到更有效、更重要的需求上。事实上&#xff0c;自动化和数字化是ERP系统最…...

python nvidia 显卡信息 格式数据

python nvidia 显卡信息 格式数据. def get_gpu_memory():result subprocess.check_output([nvidia-smi, --query-gpupci.bus_id,memory.used,memory.total,memory.free, --formatcsv])# 返回 GPU 的显存使用情况&#xff0c;单位为 Minfo []for t in csv.DictReader(result…...

LeetCode每日一题:1993. 树上的操作(2023.9.23 C++)

目录 1993. 树上的操作 题目描述&#xff1a; 实现代码与解析&#xff1a; 模拟 dfs 原理思路&#xff1a; 1993. 树上的操作 题目描述&#xff1a; 给你一棵 n 个节点的树&#xff0c;编号从 0 到 n - 1 &#xff0c;以父节点数组 parent 的形式给出&#xff0c;其中 p…...

绿色计算产业发展白皮书:2022年OceanBase助力蚂蚁集团减排4392tCO2e

9 月 15 日&#xff0c;绿色计算产业联盟在 2023 世界计算大会期间重磅发布了《绿色计算产业发展白皮书&#xff08;2023 版&#xff09;》。蚂蚁集团作为指导单位之一&#xff0c;联合参与了该白皮书的撰写。 白皮书中指出&#xff0c;落实“双碳”战略&#xff0c;绿色计算已…...

阿里云通义千问14B模型开源!性能超越Llama2等同等尺寸模型

9月25日&#xff0c;阿里云开源通义千问140亿参数模型Qwen-14B及其对话模型Qwen-14B-Chat,免费可商用。Qwen-14B在多个权威评测中超越同等规模模型&#xff0c;部分指标甚至接近Llama2-70B。阿里云此前开源了70亿参数模型Qwen-7B等&#xff0c;一个多月下载量破100万&#xff0…...

两横一纵 | 寅家科技发布10年新征程战略

2023年9月22日&#xff0c;寅家科技“寅路向前”10年新征程战略发布会在上海举办&#xff0c;来自投资领域的东方富海、深创投、高新投等知名投资机构&#xff0c;一汽大众、一汽红旗、奇瑞汽车等主机厂&#xff0c;国家新能源汽车技术创新中心、梅克朗、芯驰科技、思特威等合作…...

二值贝叶斯滤波计算4d毫米波聚类目标动静属性

机器人学中有些问题是二值问题&#xff0c;对于这种二值问题的概率评估问题可以用二值贝叶斯滤波器binary Bayes filter来解决的。比如机器人前方有一个门&#xff0c;机器人想判断这个门是开是关。这个二值状态是固定的&#xff0c;并不会随着测量数据变量的改变而改变。就像门…...

【刷题笔记9.25】LeetCode:相交链表

LeetCode&#xff1a;相交链表 一、题目描述 给你两个单链表的头节点 headA 和 headB &#xff0c;请你找出并返回两个单链表相交的起始节点。如果两个链表不存在相交节点&#xff0c;返回 null 。 二、分析及代码 方法一&#xff1a;使用哈希Set集合 &#xff08;注意…...

打造本地紧密链接的开源社区——KCC@长沙开源读书会openKylin爱好者沙龙圆满举办...

2023年9月9日&#xff0c;由开源社联合 openKylin 社区举办的 KCC长沙开源读书会&openKylin 爱好者沙龙&#xff0c;在长沙圆满举办。这是 KCC长沙首次正式进入公众视野&#xff0c;开展开源交流活动&#xff0c;也是 openKylin 社区长沙首场线下沙龙。长沙地区及其周边的众…...

Python 笔记03(多线程)

一 打开命令行&#xff0c;查看本机IP windows r 命令行输入&#xff1a;cmd ipconfig 然后查看IPv4的地址&#xff1a;192.168.1*6.1 ipconfig 二 函数式多进程 from multiprocessing import Process import os, timedef func(name):print(进程的ID&#xff1a;, os.g…...

mysql-4:SQL的解析顺序

SQL语句的解析顺序 文章目录 SQL语句的解析顺序编写顺序与解析顺序解析顺序关键字FROMONOUTER JOINWHEREGROUP BYHAVINGSELECTDISTINCTORDER BYLIMIT 解析流程流程分析流程说明WHERE条件解析顺序 编写顺序与解析顺序 编写顺序 SELECT DISTINCT < select_list > FROM &l…...

如何通过优化Read-Retry机制降低SSD读延迟?

近日,小编发现发表于2021论文中,有关于优化Read-Retry机制降低SSD读延迟的研究,小编这里给大家分享一下这篇论文的核心的思路,感兴趣的同学可以,可以在【存储随笔】VX公号后台回复“Optimizing Read-Retry”获取下载链接。 本文中主要基于Charge Trap NAND架构分析。NAND基…...

matlab自动生成FPGA rom源码

1 matlab 源码 close all clear all clci=0:1:(300000-100-1); x=300000./(100+i); x=x./2; x=round(...

消息队列(RabbitMQ+RocketMQ+Kafka)

消息队列是一种应用程序之间通过异步通信进行数据交换的通信模式 消息队列的类型&#xff1a; 点对点&#xff0c;一对一的消息传递模型&#xff0c;其中每个消息只能被一个接收者消费。发送者将消息发送到队列中&#xff0c;而接收者从队列中获取消息并进行处理&#xff0c;…...

python判断语句

1.布尔类型 进行判断&#xff0c;只有是(True&#xff1a;本质上是一个数字&#xff0c;记作1)和否(False&#xff1a;本质上是一个数字&#xff0c;记作0)。 定义变量存储布尔类型数据: 变量名称 布尔类型字面量 a True代码演示&#xff1a; a True print(type(a))输出结…...

多云管理“拦路虎”:深入解析网络互联、身份同步与成本可视化的技术复杂度​

一、引言&#xff1a;多云环境的技术复杂性本质​​ 企业采用多云策略已从技术选型升维至生存刚需。当业务系统分散部署在多个云平台时&#xff0c;​​基础设施的技术债呈现指数级积累​​。网络连接、身份认证、成本管理这三大核心挑战相互嵌套&#xff1a;跨云网络构建数据…...

【kafka】Golang实现分布式Masscan任务调度系统

要求&#xff1a; 输出两个程序&#xff0c;一个命令行程序&#xff08;命令行参数用flag&#xff09;和一个服务端程序。 命令行程序支持通过命令行参数配置下发IP或IP段、端口、扫描带宽&#xff0c;然后将消息推送到kafka里面。 服务端程序&#xff1a; 从kafka消费者接收…...

Linux相关概念和易错知识点(42)(TCP的连接管理、可靠性、面临复杂网络的处理)

目录 1.TCP的连接管理机制&#xff08;1&#xff09;三次握手①握手过程②对握手过程的理解 &#xff08;2&#xff09;四次挥手&#xff08;3&#xff09;握手和挥手的触发&#xff08;4&#xff09;状态切换①挥手过程中状态的切换②握手过程中状态的切换 2.TCP的可靠性&…...

【android bluetooth 框架分析 04】【bt-framework 层详解 1】【BluetoothProperties介绍】

1. BluetoothProperties介绍 libsysprop/srcs/android/sysprop/BluetoothProperties.sysprop BluetoothProperties.sysprop 是 Android AOSP 中的一种 系统属性定义文件&#xff08;System Property Definition File&#xff09;&#xff0c;用于声明和管理 Bluetooth 模块相…...

论文浅尝 | 基于判别指令微调生成式大语言模型的知识图谱补全方法(ISWC2024)

笔记整理&#xff1a;刘治强&#xff0c;浙江大学硕士生&#xff0c;研究方向为知识图谱表示学习&#xff0c;大语言模型 论文链接&#xff1a;http://arxiv.org/abs/2407.16127 发表会议&#xff1a;ISWC 2024 1. 动机 传统的知识图谱补全&#xff08;KGC&#xff09;模型通过…...

mysql已经安装,但是通过rpm -q 没有找mysql相关的已安装包

文章目录 现象&#xff1a;mysql已经安装&#xff0c;但是通过rpm -q 没有找mysql相关的已安装包遇到 rpm 命令找不到已经安装的 MySQL 包时&#xff0c;可能是因为以下几个原因&#xff1a;1.MySQL 不是通过 RPM 包安装的2.RPM 数据库损坏3.使用了不同的包名或路径4.使用其他包…...

Yolov8 目标检测蒸馏学习记录

yolov8系列模型蒸馏基本流程&#xff0c;代码下载&#xff1a;这里本人提交了一个demo:djdll/Yolov8_Distillation: Yolov8轻量化_蒸馏代码实现 在轻量化模型设计中&#xff0c;**知识蒸馏&#xff08;Knowledge Distillation&#xff09;**被广泛应用&#xff0c;作为提升模型…...

Java + Spring Boot + Mybatis 实现批量插入

在 Java 中使用 Spring Boot 和 MyBatis 实现批量插入可以通过以下步骤完成。这里提供两种常用方法&#xff1a;使用 MyBatis 的 <foreach> 标签和批处理模式&#xff08;ExecutorType.BATCH&#xff09;。 方法一&#xff1a;使用 XML 的 <foreach> 标签&#xff…...

GitFlow 工作模式(详解)

今天再学项目的过程中遇到使用gitflow模式管理代码&#xff0c;因此进行学习并且发布关于gitflow的一些思考 Git与GitFlow模式 我们在写代码的时候通常会进行网上保存&#xff0c;无论是github还是gittee&#xff0c;都是一种基于git去保存代码的形式&#xff0c;这样保存代码…...

规则与人性的天平——由高考迟到事件引发的思考

当那位身着校服的考生在考场关闭1分钟后狂奔而至&#xff0c;他涨红的脸上写满绝望。铁门内秒针划过的弧度&#xff0c;成为改变人生的残酷抛物线。家长声嘶力竭的哀求与考务人员机械的"这是规定"&#xff0c;构成当代中国教育最尖锐的隐喻。 一、刚性规则的必要性 …...