• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙untrust权限怎么开启防火墙

2024-02-28提问
  • 1关注
  • 0收藏,741浏览
粉丝:0人 关注:31人

问题描述:

总部的人想要远程我这里查看防火墙配置的策略等,说让开防火墙untrust权限,提供远程账号

需要哪些步骤,不懂防火墙

最佳答案

粉丝:32人 关注:3人

放通untrust-local的安全策略

4 个回答
粉丝:336人 关注:0人

您好,参考

防火墙安全域

2.1.1  安全域介绍

防火墙基于安全域进行访问控制,将从接口的访问控制上升到基于安全域的访问控制。防火墙从体系结构上抛弃了传统防火墙的内外概念,各个域间的默认安全级别是一样的,之间的安全差异由用户来定制,具有极大的灵活性。防火墙可以根据企业的安全需求将不同网段划分成独立的安全域,通过在这些安全域间加载独立的访问控制策略来限制不同信任度网络之间的相互访问,也就是说,防火墙提供了更加细粒度的安全控制,这样即使某个低安全等级的区域出现了安全裂缝,但由于受到防火墙的控制,其它安全域也不会受其影响。

2.1.2  安全域分类

防火墙默认分为5个安全区域:untrustdmztrustlocalmanagement,安全域名称不同对应的功能也有区别:

untrust(不信任域):

通常用来定义Internet等不安全的网络,用于网络入口线的接入。

dmz(隔离区):

通常用来定义内部服务器所在网络,作用是把WEB,E-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如WebMailFTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。

trust(信任域):通常用来定义内部用户所在的网络,也可以理解为应该是防护最严密的地区。

local(本地):local就是防火墙本身的区域,比如ping指令等网际控制协议的回复,需要local域的权限,总结为以下两点:
1
、凡是由防火墙主动发出的报文均可认为是从Local区域中发出
​​​​​​2凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local区域接收

management(管理):除了console控制接口对设备进行配置,如果防火墙设备可以通过web界面配置的话,需要一根双绞线连接到管理接口,键入用户名和密码进行配置。

2.1.3  安全域访问规则

缺省情况下(除management区域)所有安全域之间均不能互访、同安全区域间终端也无法互访,安全域之间互访必须使用安全策略来实现。

举例:现场设备已经放通了Any域到Any域的安全策略后发现trust域内用户无法互访?

zone-pair security source Any destination Any

packet-filter 3000

#

acl advanced 3000

rule 0 permit ip

.#

答案是Any域到Any域不包括trust域到trust域、trust域到local域、local域到trust域,因此需要放通同安全域间安全策略,放通同安全域安全策略有两种方法:

1、通过“security-zone intra-zone default permit”命令放通同安全域间的数据互访。

<H3C>system-view

[H3C]security-zone intra-zone default permit

2、配置同安全域间安全策略。

zone-pair security source trust destination trust

packet-filter 3000

#

acl advanced 3000

rule 0 permit ip

#

防火墙web界面能不能做这个?

bkmz_yoush 发表时间:2024-02-28 更多>>

防火墙web界面能不能做这个?

bkmz_yoush 发表时间:2024-02-28
粉丝:1人 关注:3人

放通安全策略,源安全域untrust-- 目的local  动作允许即可


粉丝:13人 关注:8人

您好,请知:

放通untrust到LOCAL的安全策略就可以了,动作为允许。


根据现场需求来

得闲饮奶425 发表时间:2024-02-28 更多>>

需要写具体的源目的IP吗?

bkmz_yoush 发表时间:2024-02-28

根据现场需求来

得闲饮奶425 发表时间:2024-02-28
粉丝:33人 关注:4人

增加安全策略:放通UNtrust 到local 策略即可;

UNtrust到本地local

_____

 rule 100 name untrust_local
action pass
source-zone untrust
destination-zone local
service https
service ssh
service telnet
service http


security-policy ip {不需要x.x.x.x吧,我?是cr} rule 100 name untrust_local action pass source-zone untrust destination-zone local service https service ssh service telnet service http

bkmz_yoush 发表时间:2024-02-28 更多>>

需要把这些写在ACL里面吗?

bkmz_yoush 发表时间:2024-02-28

写到安全策略里、直接系统模式下复制即可、新增策略,最好将此rule id 移到最前;

zhiliao_东方老赢 发表时间:2024-02-28

没有配置过安全策略,第一行怎么写?得写对应IP什么的吗

bkmz_yoush 发表时间:2024-02-28

security-policy ip {不需要x.x.x.x吧,我?是cr} rule 100 name untrust_local action pass source-zone untrust destination-zone local service https service ssh service telnet service http

bkmz_yoush 发表时间:2024-02-28

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明