网络安全--防火墙旁挂部署方式和高可靠性技术
目录
一、防火墙
二、防火墙旁挂部署方式
使用策略路由实现
第一步、IP地址配置
第二步、配置路由
第三步、在防火墙上做策略
第四步、在R2上使用策略路由引流
三、防火墙高可靠性技术--HRP
拓扑图
第一步、配置SW1、SW2、FW1、FW2
第二步、进入防火墙Web页面进行配置接口
第三步、配置高可靠VRRP---双机备份
第四步、配置路由
第五步、配置安全策略
第六步、链路故障进行测试
一、防火墙
二、防火墙旁挂部署方式
使用策略路由实现
第一步、IP地址配置
R1
<Huawei>system-view
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 100.1.1.1 24
[R1-LoopBack0]ip address 1.1.1.1 32
R2
<Huawei>system-view
[Huawei]sysname R2
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ip address 100.1.1.2 24
[R2-GigabitEthernet0/0/1]int g0/0/2
[R2-GigabitEthernet0/0/2]ip address 192.168.1.2 24
[R2-GigabitEthernet0/0/2]int g0/0/0.1
[R2-GigabitEthernet0/0/0.1]ip address 192.168.3.2 24
[R2-GigabitEthernet0/0/0.1]dot1q termination vid 2
[R2-GigabitEthernet0/0/0.1]arp broadcast enable
[R2-GigabitEthernet0/0/0.1]int g0/0/0.2
[R2-GigabitEthernet0/0/0.2]ip address 192.168.2.2 24
[R2-GigabitEthernet0/0/0.2]dot1q termination vid 3
[R2-GigabitEthernet0/0/0.2]arp broadcast enable
R3
<Huawei>system-view
[Huawei]sysname R3
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip address 192.168.1.3 24
[R3-GigabitEthernet0/0/0]int lo0
[R3-LoopBack0]ip address 3.3.3.3 32
FW1
<USG6000V1>system-view
[USG6000V1]sysname FW
[FW]int g0/0/0
[FW-GigabitEthernet0/0/0]ip address 192.168.78.10 24
[FW-GigabitEthernet0/0/0]service-manage all permit然后用这个IP地址进入Web页面,配置接口
第二步、配置路由
先把1.1.1.1到3.3.3.3之间的路由打通。
R1到R3的3.3.3.3/32环回
[R1]ip route-static 3.3.3.3 32 100.1.1.2
R2到R3的3.3.3.3/32和R1的1.1.1.1/32环回
[R2]ip route-static 1.1.1.1 32 100.1.1.1
[R2]ip route-static 3.3.3.3 24 192.168.1.3
R3到R1的1.1.1.1/32环回
[R3]ip route-static 1.1.1.1 32 192.168.1.2
测试
在防火墙上配置路由
到1.1.1.1/32和3.3.3.3/32的路由
第三步、在防火墙上做策略
允许3.3.3.3与1.1.1.1之间互相访问
配置g1/0/0接口为串口
并且设置g1/0/0为信任区域
第四步、在R2上使用策略路由引流
将R1与R3之间的流量通过R2之后到防火墙,再到对方。
在R2上写策略
#3.3.3.3到1.1.1.1
#使用ACL抓取流量
[R2]acl 3001
[R2-acl-adv-3001]rule 100 permit ip source 3.3.3.3 0 destination 1.1.1.1 0
[R2-acl-adv-3001]qu
#使用策略捕获流量
[R2]traffic classifier trust
[R2-classifier-trust]if-match acl 3001
[R2-classifier-trust]qu
#对捕获的流量进行设置或者动作
[R2]traffic behavior trust
[R2-behavior-trust]redirect ip-nexthop 192.168.2.1
[R2-behavior-trust]qu
#匹配捕获流量和对应的动作
[R2]traffic policy trust
[R2-trafficpolicy-trust]classifier trust behavior trust
[R2-trafficpolicy-trust]qu
#在接口调用策略
[R2]int g0/0/2
[R2-GigabitEthernet0/0/2]traffic-policy trust inbound
[R2-GigabitEthernet0/0/2]qu#1.1.1.1到3.3.3.3
[R2]acl 3002
[R2-acl-adv-3001]rule 100 permit ip source 1.1.1.1 0 destination 3.3.3.3 0
[R2-acl-adv-3001]qu
[R2]traffic classifier untrust
[R2-classifier-trust]if-match acl 3002
[R2-classifier-trust]qu
[R2]traffic behavior untrust
[R2-behavior-trust]redirect ip-nexthop 192.168.3.1
[R2-behavior-trust]qu
[R2]traffic policy untrust
[R2-trafficpolicy-trust]classifier trust behavior untrust
[R2-trafficpolicy-trust]qu
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]traffic-policy untrust inbound
[R2-GigabitEthernet0/0/1]qu进行测试,发现是可以互相访问,并且追踪路由是经过防火墙设备。
当断开与防火墙的连接进行测试,依旧可以访问,所以也起到当防火墙故障的时候,依旧可以实现上网。
三、防火墙高可靠性技术--HRP
拓扑图
第一步、配置SW1、SW2、FW1、FW2
把SW1和SW2做三层交换机使用
SW1
<Huawei>system-view
[Huawei]sysname SW1
[SW1]vlan 2
[SW1-vlan2]int vlanif 2
[SW1-Vlanif2]ip address 10.1.1.1 24
[SW1-Vlanif2]int lo0
[SW1-LoopBack0]ip address 1.1.1.1 32
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 2
[SW1-GigabitEthernet0/0/1]int g0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 2
[SW1-GigabitEthernet0/0/2]qu
SW2
<Huawei>system-view
[Huawei]sysname SW2
[SW2]vlan 3
[SW2-vlan3]int vlanif 3
[SW2-Vlanif3]ip address 10.1.2.1 24
[SW2-Vlanif3]int lo0
[SW2-LoopBack0]ip address 2.2.2.2 32
[SW2-LoopBack0]int g0/0/1
[SW2-GigabitEthernet0/0/1]port link-type access
[SW2-GigabitEthernet0/0/1]port default vlan 3
[SW2-GigabitEthernet0/0/1]int g0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access
[SW2-GigabitEthernet0/0/2] port default vlan 3
[SW2-GigabitEthernet0/0/2]qu
FW1
<USG6000V1>system-view
[USG6000V1]sysname FW1
[FW1]int g0/0/0
[FW1-GigabitEthernet0/0/0]ip address 192.168.78.10 24
[FW1-GigabitEthernet0/0/0]service-manage all permitFW2
<USG6000V1>system-view
[USG6000V1]sysname FW2
[FW2]int g0/0/0
[FW2-GigabitEthernet0/0/0]ip address 192.168.78.20 24
[FW2-GigabitEthernet0/0/0]service-manage all permit第二步、进入防火墙Web页面进行配置接口
FW1
g1/0/0
g1/0/1
g1/0/2--心跳线
FW2
g1/0/0
g1/0/1
g1/0/2--心跳线
第三步、配置高可靠VRRP---双机备份
FW1--主
FW2--备份
配置完进行查看到FW1为主,FW2为备,说明配置成功
现在主备配置成功,只需要在主设备上进行配置,然后就会自动同步。
第四步、配置路由
在FW1上做
配置了去FW2上去看,也有这两条路由,自动同步过去了
SW1
[SW1]ip route-static 0.0.0.0 0 10.1.1.254
SW2
[SW2]ip route-static 0.0.0.0 0 10.1.2.254
第五步、配置安全策略
在FW1上做2.2.2.2和1.1.1.1之间互通的安全策略
做安全策略前先进行测试,结果是无法访问
做安全策略
查看FW2上,策略同步更新
做完策略进行测试,2.2.2.2可以访问1.1.1.1。
第六步、链路故障进行测试
当断开FW1上行链路,掉了几个包,说明主备切换成功。
在FW2上面去看,FW2本来是备份,现在也切换到主状态,说明主故障,切换到备份成功
当FW1上行链路恢复,掉了一个包,说明FW1恢复了主状态。
在FW2上看,又恢复成备状态。
相关文章:
网络安全--防火墙旁挂部署方式和高可靠性技术
目录 一、防火墙 二、防火墙旁挂部署方式 使用策略路由实现 第一步、IP地址配置 第二步、配置路由 第三步、在防火墙上做策略 第四步、在R2上使用策略路由引流 三、防火墙高可靠性技术--HRP 拓扑图 第一步、配置SW1、SW2、FW1、FW2 第二步、进入防火墙Web页面进行配…...
)
c++最小步数模型(魔板)
C 最小步数模型通常用于寻找两个点之间的最短路径或最少步数。以下是一个基本的 C 最小步数模型的示例代码: #include<bits/stdc.h> using namespace std; const int N 1e5 5; vector<int> G[N]; int d[N]; bool vis[N];void bfs(int s) {queue<i…...
【每日一题Day337】LC460LFU 缓存 | 双链表+哈希表
LFU 缓存【LC460】 请你为 最不经常使用(LFU)缓存算法设计并实现数据结构。 实现 LFUCache 类: LFUCache(int capacity) - 用数据结构的容量 capacity 初始化对象int get(int key) - 如果键 key 存在于缓存中,则获取键的值&#x…...
解决老版本Oracle VirtualBox 此应用无法在此设备上运行问题
问题现象 安装华为eNSP模拟器的时候,对应的Oracle VirtualBox-5.2.26安装的时候提示兼容性问题,无法进行安装,具体版本信息如下: 软件对应版本备注Windows 11专业工作站版22H222621eNSP1.3.00.100 V100R003C00 SPC100终结正式版…...
法规标准-UN R48标准解读
UN R48是做什么的? UN R48全名为关于安装照明和灯光标志装置的车辆认证的统一规定,主要描述了对各类灯具的布置要求及性能要求;其中涉及自动驾驶功能的仅有6.25章节【后方碰撞预警信号】,因此本文仅对此章节进行解读 功能要求 …...
自动化和数字化在 ERP 系统中意味着什么?
毋庸置疑,ERP系统的作用是让工作更轻松。它可以集成流程,提供关键分析,确保你的企业高效运营。这些信息可以提高你的运营效率,并将有限的人力资本重新部署到更有效、更重要的需求上。事实上,自动化和数字化是ERP系统最…...
python nvidia 显卡信息 格式数据
python nvidia 显卡信息 格式数据. def get_gpu_memory():result subprocess.check_output([nvidia-smi, --query-gpupci.bus_id,memory.used,memory.total,memory.free, --formatcsv])# 返回 GPU 的显存使用情况,单位为 Minfo []for t in csv.DictReader(result…...
LeetCode每日一题:1993. 树上的操作(2023.9.23 C++)
目录 1993. 树上的操作 题目描述: 实现代码与解析: 模拟 dfs 原理思路: 1993. 树上的操作 题目描述: 给你一棵 n 个节点的树,编号从 0 到 n - 1 ,以父节点数组 parent 的形式给出,其中 p…...
绿色计算产业发展白皮书:2022年OceanBase助力蚂蚁集团减排4392tCO2e
9 月 15 日,绿色计算产业联盟在 2023 世界计算大会期间重磅发布了《绿色计算产业发展白皮书(2023 版)》。蚂蚁集团作为指导单位之一,联合参与了该白皮书的撰写。 白皮书中指出,落实“双碳”战略,绿色计算已…...
阿里云通义千问14B模型开源!性能超越Llama2等同等尺寸模型
9月25日,阿里云开源通义千问140亿参数模型Qwen-14B及其对话模型Qwen-14B-Chat,免费可商用。Qwen-14B在多个权威评测中超越同等规模模型,部分指标甚至接近Llama2-70B。阿里云此前开源了70亿参数模型Qwen-7B等,一个多月下载量破100万࿰…...
两横一纵 | 寅家科技发布10年新征程战略
2023年9月22日,寅家科技“寅路向前”10年新征程战略发布会在上海举办,来自投资领域的东方富海、深创投、高新投等知名投资机构,一汽大众、一汽红旗、奇瑞汽车等主机厂,国家新能源汽车技术创新中心、梅克朗、芯驰科技、思特威等合作…...
二值贝叶斯滤波计算4d毫米波聚类目标动静属性
机器人学中有些问题是二值问题,对于这种二值问题的概率评估问题可以用二值贝叶斯滤波器binary Bayes filter来解决的。比如机器人前方有一个门,机器人想判断这个门是开是关。这个二值状态是固定的,并不会随着测量数据变量的改变而改变。就像门…...
【刷题笔记9.25】LeetCode:相交链表
LeetCode:相交链表 一、题目描述 给你两个单链表的头节点 headA 和 headB ,请你找出并返回两个单链表相交的起始节点。如果两个链表不存在相交节点,返回 null 。 二、分析及代码 方法一:使用哈希Set集合 (注意…...
打造本地紧密链接的开源社区——KCC@长沙开源读书会openKylin爱好者沙龙圆满举办...
2023年9月9日,由开源社联合 openKylin 社区举办的 KCC长沙开源读书会&openKylin 爱好者沙龙,在长沙圆满举办。这是 KCC长沙首次正式进入公众视野,开展开源交流活动,也是 openKylin 社区长沙首场线下沙龙。长沙地区及其周边的众…...
)
Python 笔记03(多线程)
一 打开命令行,查看本机IP windows r 命令行输入:cmd ipconfig 然后查看IPv4的地址:192.168.1*6.1 ipconfig 二 函数式多进程 from multiprocessing import Process import os, timedef func(name):print(进程的ID:, os.g…...
mysql-4:SQL的解析顺序
SQL语句的解析顺序 文章目录 SQL语句的解析顺序编写顺序与解析顺序解析顺序关键字FROMONOUTER JOINWHEREGROUP BYHAVINGSELECTDISTINCTORDER BYLIMIT 解析流程流程分析流程说明WHERE条件解析顺序 编写顺序与解析顺序 编写顺序 SELECT DISTINCT < select_list > FROM &l…...
如何通过优化Read-Retry机制降低SSD读延迟?
近日,小编发现发表于2021论文中,有关于优化Read-Retry机制降低SSD读延迟的研究,小编这里给大家分享一下这篇论文的核心的思路,感兴趣的同学可以,可以在【存储随笔】VX公号后台回复“Optimizing Read-Retry”获取下载链接。 本文中主要基于Charge Trap NAND架构分析。NAND基…...
matlab自动生成FPGA rom源码
1 matlab 源码 close all clear all clci=0:1:(300000-100-1); x=300000./(100+i); x=x./2; x=round(...
消息队列(RabbitMQ+RocketMQ+Kafka)
消息队列是一种应用程序之间通过异步通信进行数据交换的通信模式 消息队列的类型: 点对点,一对一的消息传递模型,其中每个消息只能被一个接收者消费。发送者将消息发送到队列中,而接收者从队列中获取消息并进行处理,…...
python判断语句
1.布尔类型 进行判断,只有是(True:本质上是一个数字,记作1)和否(False:本质上是一个数字,记作0)。 定义变量存储布尔类型数据: 变量名称 布尔类型字面量 a True代码演示: a True print(type(a))输出结…...
linux之kylin系统nginx的安装
一、nginx的作用 1.可做高性能的web服务器 直接处理静态资源(HTML/CSS/图片等),响应速度远超传统服务器类似apache支持高并发连接 2.反向代理服务器 隐藏后端服务器IP地址,提高安全性 3.负载均衡服务器 支持多种策略分发流量…...
关于iview组件中使用 table , 绑定序号分页后序号从1开始的解决方案
问题描述:iview使用table 中type: "index",分页之后 ,索引还是从1开始,试过绑定后台返回数据的id, 这种方法可行,就是后台返回数据的每个页面id都不完全是按照从1开始的升序,因此百度了下,找到了…...
Auto-Coder使用GPT-4o完成:在用TabPFN这个模型构建一个预测未来3天涨跌的分类任务
通过akshare库,获取股票数据,并生成TabPFN这个模型 可以识别、处理的格式,写一个完整的预处理示例,并构建一个预测未来 3 天股价涨跌的分类任务 用TabPFN这个模型构建一个预测未来 3 天股价涨跌的分类任务,进行预测并输…...
三体问题详解
从物理学角度,三体问题之所以不稳定,是因为三个天体在万有引力作用下相互作用,形成一个非线性耦合系统。我们可以从牛顿经典力学出发,列出具体的运动方程,并说明为何这个系统本质上是混沌的,无法得到一般解…...
爬虫基础学习day2
# 爬虫设计领域 工商:企查查、天眼查短视频:抖音、快手、西瓜 ---> 飞瓜电商:京东、淘宝、聚美优品、亚马逊 ---> 分析店铺经营决策标题、排名航空:抓取所有航空公司价格 ---> 去哪儿自媒体:采集自媒体数据进…...
Rapidio门铃消息FIFO溢出机制
关于RapidIO门铃消息FIFO的溢出机制及其与中断抖动的关系,以下是深入解析: 门铃FIFO溢出的本质 在RapidIO系统中,门铃消息FIFO是硬件控制器内部的缓冲区,用于临时存储接收到的门铃消息(Doorbell Message)。…...
使用 SymPy 进行向量和矩阵的高级操作
在科学计算和工程领域,向量和矩阵操作是解决问题的核心技能之一。Python 的 SymPy 库提供了强大的符号计算功能,能够高效地处理向量和矩阵的各种操作。本文将深入探讨如何使用 SymPy 进行向量和矩阵的创建、合并以及维度拓展等操作,并通过具体…...
【SSH疑难排查】轻松解决新版OpenSSH连接旧服务器的“no matching...“系列算法协商失败问题
【SSH疑难排查】轻松解决新版OpenSSH连接旧服务器的"no matching..."系列算法协商失败问题 摘要: 近期,在使用较新版本的OpenSSH客户端连接老旧SSH服务器时,会遇到 "no matching key exchange method found", "n…...
JavaScript 数据类型详解
JavaScript 数据类型详解 JavaScript 数据类型分为 原始类型(Primitive) 和 对象类型(Object) 两大类,共 8 种(ES11): 一、原始类型(7种) 1. undefined 定…...
详细解析)
Caliper 负载(Workload)详细解析
Caliper 负载(Workload)详细解析 负载(Workload)是 Caliper 性能测试的核心部分,它定义了测试期间要执行的具体合约调用行为和交易模式。下面我将全面深入地讲解负载的各个方面。 一、负载模块基本结构 一个典型的负载模块(如 workload.js)包含以下基本结构: use strict;/…...