華爲防火牆學習筆記 四
域內流量過濾:web
要求:client1沒法訪問 client2; 可是client2能夠訪問client1安全
配置命令:服務器
[FW1]policy zone trust //信任區策略配置tcp
[FW1]policy source 10.1.1.1 0.0.0.0 //源地址策略精確匹配ide
[FW1]policy destination 10.1.2.1 0.0.0.0 //目標地址策略精確匹配flex
[FW1]action deny //調用策略動做爲禁用spa
[FW1]action permit //調用策略動做爲啓用orm
action ['ækʃ(ə)n] 行動 policy ['pɒləsɪ】 政策,策略
permit [pə'mɪt] 容許 deny [dɪ'naɪ] 否認,禁用
下載離線詞庫以備不時之需 server
區域間流量的放行:接口
配置命令:
配置防火牆的外網訪問dmz區策略
1.【FW1】firewall packet-filter default permit interzone untrust dmz direction inbound
// 防火牆放行untrust區到dmz區的訪問 方向爲入站
2.寫入外放到防火牆的路由:
R1:ip route- static 0.0.0.0 0.0.0.0 200.1.1.254
【FW1]ip route-static 0.0.0.0 0.0.0.0 200.1.1.1
注:該配置在現實中是不可取的,
1.由於intenet是不可能配置路由的,屬於非法操做----外網用BGP [能夠用NAT或***技術解決】
2.防火牆上也不能有路由,不能容許untrust區到dmz區流量所有放行,否則全部的流量都是放行的【包含病毒】,
對內網安全構成威脅 ;因此只放行untrust到dmz中的icmp www ftp服務
放行untrust到dmz中的icmp www ftp服務
第一步:
建立服務集:
[FW1]ip service-set toserver type object //建立服務集 toserver 類型爲object 【toserver這個單詞不是命令,能夠隨便命名】
[FW1-object-service-set-toserver]service 0 protocol icmp //服務順序 0 協議爲 icmp
[FW1-object-service-set-toserver]service 1 protocol tcp destination-port 80 //服務順序1 協議爲 tcp 目標端口80
[FW1-object-service-set-toserver]service 2 protocol tcp destination-port 21 //服務順序1 協議爲 tcp 目標端口21
第二步:
開啓策略:
[FW1]policy interzone untrust dmz inbound //開啓untrust區到dmz區方向的流量,並進入該策略
[FW1-policy-interzone-dmz-untrust-inbound]policy 10 //建立策略10,並進入策略10
[FW1-policy-interzone-dmz-untrust-inbound-10]policy service service-set toserver 【標紅的爲上面服務集的名字】
//應用上面建立的服務集策略
[FW1-policy-interzone-dmz-untrust-inbound-10]policy destination 10.1.3.2 0.0.0.0 【0.0.0.0 表明精確匹配】
策略目標地址10.1.3.2
[FW1-policy-interzone-dmz-untrust-inbound-10]action permit // 容許以上策略集
nat地址轉換,實現內外網的隔離;達到內網web/ft服務器的安全發佈:
配置NAT地址轉換,實現內網的安全:
先清除以前R1配置的路由:
[R1]undo ip route-static 10.1.3.0 255.255.255.0 202.1.1.254
當前內網是通不到外網的;
配置trust區到untrust區的nat
[FW1]nat address-group 1 202.1.1.2 202.1.1.2 //建立nat轉換地址池爲202.1.1.2
[FW1]nat-policy interzone trust untrust outbound //進入trust區到untrust區的nat策略配置
[FW1-nat-policy-interzone-trust-untrust-outbound]policy 10
[FW1-nat-policy-interzone-trust-untrust-outbound-10]action source-nat
//開啓源nat
[FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.1.0 mask 24
//添加源地址範圍爲 10.1.1.0 24
[FW1-nat-policy-interzone-trust-untrust-outbound-10]address-group 1
//調用剛纔建立的nat地址池 1
配置trust區到untrust區的nat【也能夠用easy-ip 配置,直接nat到接口g0/0/3,節省公網ip】
[FW1]nat-policy interzone trust untrust outbound //進入trust區到untrust區的nat策略配置
[FW1-nat-policy-interzone-trust-untrust-outbound]policy 11
[FW1-nat-policy-interzone-trust-untrust-outbound-11]action source-nat
//開啓源nat
[FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.2.0 mask 24
//添加源地址範圍爲 10.1.1.0 24
[FW1-nat-policy-interzone-trust-untrust-outbound-10]easy-ip interface g0/0/3
//直接將內網的10.1.2.0網段轉換到g0/0/3接口上
以上兩種nat技術方法均可以實現內網ip地址轉換的公網地址,保證內網的安全,可是easy技術相對來講能夠
節省ip ,不用再買另外一個公網ip地址
dmz區web/ftp的發佈
直接用靜態nat實現地址轉換
[FW1]nat server global 202.1.1.3 inside10.1.3.2 //將內部10.1.3.2 轉換到公網地址202.1.1.3上
結合上面的配置,直接實現dmz區的web /ftp 區不能訪問到別的區域,可是trust和untrust均可以訪問,特別
是untrust只有,ping /http/ftp服務能夠訪問內部的服務器,而別的服務沒法訪問進到內網!
- 1. 華爲防火牆學習筆記 三
- 2. 華爲防火牆學習筆記 一
- 3. 華爲防火牆學習筆記 二
- 4. 華爲ict 防火牆筆記
- 5. 華爲防火牆
- 6. 華爲USG防火牆NAT
- 7. Linux防火牆iptables學習筆記
- 8. RHCE 學習筆記(31) - 防火牆 (中)
- 9. RHCE 學習筆記(31) - 防火牆 (上)
- 10. centos6.6學習筆記:關閉防火牆
- 更多相關文章...
- • 使用TCP協議檢測防火牆 - TCP/IP教程
- • 您已經學習了 XML Schema,下一步學習什麼呢? - XML Schema 教程
- • Tomcat學習筆記(史上最全tomcat學習筆記)
- • 適用於PHP初學者的學習線路和建議
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 華爲防火牆學習筆記 三
- 2. 華爲防火牆學習筆記 一
- 3. 華爲防火牆學習筆記 二
- 4. 華爲ict 防火牆筆記
- 5. 華爲防火牆
- 6. 華爲USG防火牆NAT
- 7. Linux防火牆iptables學習筆記
- 8. RHCE 學習筆記(31) - 防火牆 (中)
- 9. RHCE 學習筆記(31) - 防火牆 (上)
- 10. centos6.6學習筆記:關閉防火牆