HCIA SEC--ip-link
2022/2/8 23:13:08
本文主要是介绍HCIA SEC--ip-link,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
2022.2.8 Pretty things should be enjoyed--美玉不该蒙尘
1、接口配置IP 接口加入安全域
2、路由(策略路由/普通路由)
[FW]policy-based-route
[FW-policy-pbr]dis this
2022-02-08 11:48:45.540
#
policy-based-route
rule name vpc1-r3
source-zone trust
source-address 192.168.1.0 mask 255.255.255.0
track ip-link r3--关联ip-link
action pbr next-hop 100.1.1.1
rule name vpc2-r4
source-zone dmz
source-address 10.1.1.0 mask 255.255.255.0
track ip-link r4--关联ip-link
action pbr next-hop 200.1.1.1
3、NAT
[FW]nat-policy
[FW-policy-nat]dis this
2022-02-08 11:50:22.150
#
nat-policy
rule name permit-interint
source-zone dmz
source-zone trust
destination-zone untrust
source-address 10.1.1.0 mask 255.255.255.0
source-address 192.168.1.0 mask 255.255.255.0
action source-nat easy-ip
4、策略
[FW]security-policy
[FW-policy-security]dis this
2022-02-08 11:51:33.100
#
security-policy
rule name permit-interint
source-zone dmz
source-zone trust
destination-zone untrust
source-address 10.1.1.0 mask 255.255.255.0
source-address 192.168.1.0 mask 255.255.255.0
action permit
IP-LINK
[FW]ip-link check enable
[FW]ip-link name r3
[FW-iplink-r3]destination 100.1.1.1
兜底路由调用IP-LINK
[FW]ip route-static 0.0.0.0 0.0.0.0 100.1.1.1 track ip-link r3
总结
华为防火墙:
所有抵达USG防火墙自身的管理流量(Ping、Telnet、SSH、SNMP、HTTP、HTTPS、Netconf)不受安全策略的控制,如果需要放行,需要在接口下放行。
[FW-GigabitEthernet0/0/0]service-manage ping permit
[FW-GigabitEthernet0/0/0]service-manage ping deny
策略路由不能基于目的端口和目的安全域匹配流量,控制数据走向。
策略路由 优于 普通路由表
这篇关于HCIA SEC--ip-link的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-05-15PingCAP 黄东旭参与 CCF 秀湖会议,共探开源教育未来
- 2024-05-13PingCAP 戴涛:构建面向未来的金融核心系统
- 2024-05-09flutter3.x_macos桌面os实战
- 2024-05-09Rust中的并发性:Sync 和 Send Traits
- 2024-05-08使用Ollama和OpenWebUI在CPU上玩转Meta Llama3-8B
- 2024-05-08完工标准(DoD)与验收条件(AC)究竟有什么不同?
- 2024-05-084万 star 的 NocoDB 在 sealos 上一键起,轻松把数据库编程智能表格
- 2024-05-08Mac 版Stable Diffusion WebUI的安装
- 2024-05-08解锁CodeGeeX智能问答中3项独有的隐藏技能
- 2024-05-08RAG算法优化+新增代码仓库支持,CodeGeeX的@repo功能效果提升