这两天跟着老师学习了网络安全防御之防火墙的配置,过程中不乏遇到了许多问题,例如访问https://ip:8443地址却没有提示继续进入的接口,或者是无法ping通防火墙测试端口等问题,希望接下来的分享能够帮助到大家!
为了节省大家的时间,我把实验和具体问题分开罗列,大家根据个人需求查看即可!(这里建议初学的伙伴们还是跟着实验走一遍比较好!)
目录
二、配置防火墙GE0/0/0口ip地址,并开启相关https、ping服务,进行端口ping测试。
三、配置trust区域相关接口ip地址、untrust区域相关接口ip地址,dmz区域相关接口ip地址
四、登录防火墙UI界面,配置防火墙接口ip地址、安全策略、接口聚合静态路由,实现实验要求。
一、访问https://ip:8443端口提示建立安全连接失败
本次实验用到的防火墙为USG600,我把需要用到的.vdi文件下载链接放到下面,大家需要自取即可。
链接:https://pan.baidu.com/s/16nq6skHAiLx9hp-o4SCKXg
提取码:pkth
一、划分trust、untrust、dmz区域
二、实现两两区域之间的互相访问
//注意不要绑到公网网卡上,可以自己做个虚拟环回或者绑到vm1\vm8上都可以
配置命令:
int g0/0/0 //进入g0/0/0接口
ip add 192.168.1.11 //这里大家根据自己在上述步骤绑定虚拟网卡的网段合理配置即可
service-manage enable
service-manage all permit //允许访问所有服务
因为在ensp中三层交换机undo portswitch后依然无法配置ip地址,所以需要配置vlanif来实现虚拟网关功能。至于PC上可以直接输入就不用多说了,主要跟大家说下在交换机和防火墙上配置的过程:
配置过程遵循以上拓扑图,有不会同学可以照着上述拓扑图跟着做。
LSW6:
vlan batch 2 3 //创建vlan2、vlan3
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 2 //将G0/0/2口划入vlan2
[Huawei]interface Vlanif 2 //配置vlanif 2 为虚拟网关
[Huawei-Vlanif2]ip address 10.1.1.1 24
//至于pc配置就不多说了。配置完成后,我们ping一下vlanif 2ip地址,测试一下。
下来就是将G0/0/1口配置上vlanif3,跟vlanif2配置类似,大家照做即可(注意vlanif3管理的是另外一个网段,大家不要配错了!)
AR2:
因为是路由器,大家直接进入接口配置ip地址即可,没有难度,就不多做解释了,这里为了后续方便测试,大家可以给路由器后面挂个server或者写个环回,方便后续测试。
LSW4:
[Huawei]vlan batch 100 200
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 100
[Huawei-GigabitEthernet0/0/4]port link-type access
[Huawei-GigabitEthernet0/0/4]port default vlan 200
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 100
[Huawei]interface GigabitEthernet 0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type trunk
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan 200
[Huawei]interface Eth-Trunk 1 //这里实验要求是要做聚合,大家不想做也可以,不影响后续实验,做了的话待会到防火墙上也需要做接口聚合。
[Huawei-Eth-Trunk1]trunkport GigabitEthernet 0/0/1
[Huawei-Eth-Trunk1]trunkport GigabitEthernet 0/0/3
//后面要给server配置ip地址,这里就不多赘述了,大家可以根据拓扑图所示配置到相应网段内即可
注:因为我们要把网关配置到防火墙上,所以这里就没有做vlanif虚拟网关,大家注意下
上述配置完成后,本次实验真正要考核的地方来了,那就是防火墙配置,话不多说,我们直接来看配置过程!
//往右边拉,有个编辑框,大家拉开,根据拓扑图配置区域、ip地址即可
//配置过程大家就根据trust区域网段、dmz区域网段、untrust区域网段配置即可,后面的服务如果要进行ping测试记得允许icmp,记录命中次数(这里大家可以看到命中次数都为0,待会我们去进行ping测试的时候,命中次数就会增加,也说明我们防火墙配置的策略生效了)
//这里为了演示,我就写了两条路由,实现trust->untrust区域的访问
pc为trust区域终端,100.1.1.1为untrust区域环回ip。
我们去查看防火墙是否命中,如下图所示:
1、配置接口聚合
步骤:新建->接口类型选择聚合,然后将需要聚合的接口添加到绑定接口即可
2、配置vlanif100、vlanif200虚拟网关。
点击工具型,点击国际客户端检测,即可查看当前浏览器支持的tls版本,而我使用的火狐浏览器如下图所示:
解决办法: 到这里相信小伙伴们就知道了,是因为火狐浏览器不支持tls1.1版本,导致我们无法成功建立tls连接,所以我更换了ie浏览器(只要支持tls1.1版本的浏览器都可以),这时候我再去访问https://ip:8443这个地址,成功出现了 防火墙后台界面,如下图所示:
接下来大家就使用默认用户名:admin 密码:Admin@123登录即可。
当我们完成了cloud配置,成功配置防火墙测试端口ip地址,但是始终无法ping通,如下图所示
这时候我们应该提前进行ping测试,因为我们要通过该ip地址登录后台控制页面的前提是可以ping通它,同时免得后面再返工。可是却始终无法ping通,如下图所示:
进入防火墙G0/0/0端口,开启ping测试权限
使用命令:
service-manage enable
service-manage all permit //允许访问该接口的所有服务
这时候我们再去测试,可以看到成功ping'通并登录后台界面。
tips: 作者在这里遇到了cloud配置好了,ip地址、https、ping服务,防火墙把所有关于ensp的流量都允许了,结果还是ping不通(如果是可以ping通,但是无法登录,大家可以看看上述第一个问题的解决办法!)。这里本人更换了cloud网卡配置,然后将端口类型都改为了GE(如果本来就是GE的可以更换为Ethernet),再次测试却可以通了,很懵逼;还有一种情况就是我将G0/0/0口连到别的地方却没有连接cloud,导致本地流量始终无法送到该接口,无法ping通,将G0/0/0口再重新连接至cloud就可以ping通了。由于个人能力有限,暂时无法给大家详细讲解原因,如果遇到和作者类似情况的小伙伴可以试一试,说不定就解决大家问题了。
以上就是要跟小伙伴们分享的内容,不知道有没有帮助到大家,如果有写的不准确的地方,欢迎大家交流指正!
Writer: Darkfive
我在开发的Rails3网站的一些搜索功能上遇到了一个小问题。我有一个简单的Post模型,如下所示:classPost我正在使用acts_as_taggable_on来更轻松地向我的帖子添加标签。当我有一个标记为“rails”的帖子并执行以下操作时,一切正常:@posts=Post.tagged_with("rails")问题是,我还想搜索帖子的标题。当我有一篇标题为“Helloworld”并标记为“rails”的帖子时,我希望能够通过搜索“hello”或“rails”来找到这篇帖子。因此,我希望标题列的LIKE语句与acts_as_taggable_on提供的tagged_with方法
我有一个驼峰式字符串,例如:JustAString。我想按照以下规则形成长度为4的字符串:抓取所有大写字母;如果超过4个大写字母,只保留前4个;如果少于4个大写字母,则将最后大写字母后的字母大写并添加字母,直到长度变为4。以下是可能发生的3种情况:ThisIsMyString将产生TIMS(大写字母);ThisIsOneVeryLongString将产生TIOV(前4个大写字母);MyString将生成MSTR(大写字母+tr大写)。我设法用这个片段解决了前两种情况:str.scan(/[A-Z]/).first(4).join但是,我不太确定如何最好地修改上面的代码片段以处理最后一种
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开,visitthehelpcenter.关闭9年前。我需要从基于ruby的应用程序使用AmazonSimpleNotificationService,但不知道从哪里开始。您对从哪里开始有什么建议吗?
一、什么是MQTT协议MessageQueuingTelemetryTransport:消息队列遥测传输协议。是一种基于客户端-服务端的发布/订阅模式。与HTTP一样,基于TCP/IP协议之上的通讯协议,提供有序、无损、双向连接,由IBM(蓝色巨人)发布。原理:(1)MQTT协议身份和消息格式有三种身份:发布者(Publish)、代理(Broker)(服务器)、订阅者(Subscribe)。其中,消息的发布者和订阅者都是客户端,消息代理是服务器,消息发布者可以同时是订阅者。MQTT传输的消息分为:主题(Topic)和负载(payload)两部分Topic,可以理解为消息的类型,订阅者订阅(Su
TCL脚本语言简介•TCL(ToolCommandLanguage)是一种解释执行的脚本语言(ScriptingLanguage),它提供了通用的编程能力:支持变量、过程和控制结构;同时TCL还拥有一个功能强大的固有的核心命令集。TCL经常被用于快速原型开发,脚本编程,GUI和测试等方面。•实际上包含了两个部分:一个语言和一个库。首先,Tcl是一种简单的脚本语言,主要使用于发布命令给一些互交程序如文本编辑器、调试器和shell。由于TCL的解释器是用C\C++语言的过程库实现的,因此在某种意义上我们又可以把TCL看作C库,这个库中有丰富的用于扩展TCL命令的C\C++过程和函数,所以,Tcl是
我有一个基本的Rails应用程序测试,其中包含一个用回形针处理的照片字段的用户模型。我创建了能够创建/编辑用户的View,并且照片上传工作正常。Editinguseruser_path(@user),:html=>{:method=>"put",:multipart=>true}do|f|%>|然后,我想将SWFUpload集成到我的应用程序中。我试着按照这个tutorial并运行testproject没有任何成功:浏览按钮不会打开文件对话框,并抛出错误#2176,这是关于selectFiles()方法的。首先,问题是Flashv.10与项目中包含的旧版本SWFUpload(2.1.0
我正在尝试使Authlogic和FacebookConnect(使用Facebook)发挥良好的作用,以便您可以通过正常注册方式或使用Facebookconnect创建帐户。我已经能够让连接以一种方式工作,但注销只会在facebook而不是我的网站上注销,我必须删除cookie才能使其正常工作。任何帮助都会很棒,谢谢! 最佳答案 这是我使用FacebookConnect扩展、authlogic和OpenID制作的示例应用程序。它仍然需要一些工作,但它确实起作用了。http://big-glow-mama.heroku.com/htt
一、RIPV2协议简介 RIP(RoutingInformationProtocol)路由协议是一种相对古老,在小型以及同介质网络中得到了广泛应用的一种路由协议。RIP采用距离向量算法,是一种距离向量协议。RIP-1是有类别路由协议(ClassfulRoutingProtocol),它只支持以广播方式发布协议报文。RIP-1的协议报文无法携带掩码信息,它只能识别A、B、C类这样的自然网段的路由,因此RIP-1不支持非连续子网(DiscontiguousSubnet)。RIP-2是一种无类别路由协议(ClasslessRoutingProtocol),支持路由标记,在路由策略中可根据路由标记对
开门见山|拉取镜像dockerpullelasticsearch:7.16.1|配置存放的目录#存放配置文件的文件夹mkdir-p/opt/docker/elasticsearch/node-1/config#存放数据的文件夹mkdir-p/opt/docker/elasticsearch/node-1/data#存放运行日志的文件夹mkdir-p/opt/docker/elasticsearch/node-1/log#存放IK分词插件的文件夹mkdir-p/opt/docker/elasticsearch/node-1/plugins若你使用了moba,直接右键新建即可如上图所示依次类推创建
文章目录概念索引相关操作创建索引更新副本查看索引删除索引索引的打开与关闭收缩索引索引别名查询索引别名文档相关操作新建文档查询文档更新文档删除文档映射相关操作查询文档映射创建静态映射创建索引并添加映射概念es中有三个概念要清楚,分别为索引、映射和文档(不用死记硬背,大概有个印象就可以)索引可理解为MySQL数据库;映射可理解为MySQL的表结构;文档可理解为MySQL表中的每行数据静态映射和动态映射上面已经介绍了,映射可理解为MySQL的表结构,在MySQL中,向表中插入数据是需要先创建表结构的;但在es中不必这样,可以直接插入文档,es可以根据插入的文档(数据),动态的创建映射(表结构),这就
