华为防火墙学习笔记 四
域内流量过滤:web
要求:client1没法访问 client2; 可是client2能够访问client1安全
配置命令:服务器
[FW1]policy zone trust //信任区策略配置tcp
[FW1]policy source 10.1.1.1 0.0.0.0 //源地址策略精确匹配ide
[FW1]policy destination 10.1.2.1 0.0.0.0 //目标地址策略精确匹配flex
[FW1]action deny //调用策略动做为禁用spa
[FW1]action permit //调用策略动做为启用orm
action ['ækʃ(ə)n] 行动 policy ['pɒləsɪ】 政策,策略
permit [pə'mɪt] 容许 deny [dɪ'naɪ] 否认,禁用
下载离线词库以备不时之需 server
区域间流量的放行:接口
配置命令:
配置防火墙的外网访问dmz区策略
1.【FW1】firewall packet-filter default permit interzone untrust dmz direction inbound
// 防火墙放行untrust区到dmz区的访问 方向为入站
2.写入外放到防火墙的路由:
R1:ip route- static 0.0.0.0 0.0.0.0 200.1.1.254
【FW1]ip route-static 0.0.0.0 0.0.0.0 200.1.1.1
注:该配置在现实中是不可取的,
1.由于intenet是不可能配置路由的,属于非法操做----外网用BGP [能够用NAT或***技术解决】
2.防火墙上也不能有路由,不能容许untrust区到dmz区流量所有放行,否则全部的流量都是放行的【包含病毒】,
对内网安全构成威胁 ;因此只放行untrust到dmz中的icmp www ftp服务
放行untrust到dmz中的icmp www ftp服务
第一步:
建立服务集:
[FW1]ip service-set toserver type object //建立服务集 toserver 类型为object 【toserver这个单词不是命令,能够随便命名】
[FW1-object-service-set-toserver]service 0 protocol icmp //服务顺序 0 协议为 icmp
[FW1-object-service-set-toserver]service 1 protocol tcp destination-port 80 //服务顺序1 协议为 tcp 目标端口80
[FW1-object-service-set-toserver]service 2 protocol tcp destination-port 21 //服务顺序1 协议为 tcp 目标端口21
第二步:
开启策略:
[FW1]policy interzone untrust dmz inbound //开启untrust区到dmz区方向的流量,并进入该策略
[FW1-policy-interzone-dmz-untrust-inbound]policy 10 //建立策略10,并进入策略10
[FW1-policy-interzone-dmz-untrust-inbound-10]policy service service-set toserver 【标红的为上面服务集的名字】
//应用上面建立的服务集策略
[FW1-policy-interzone-dmz-untrust-inbound-10]policy destination 10.1.3.2 0.0.0.0 【0.0.0.0 表明精确匹配】
策略目标地址10.1.3.2
[FW1-policy-interzone-dmz-untrust-inbound-10]action permit // 容许以上策略集
nat地址转换,实现内外网的隔离;达到内网web/ft服务器的安全发布:
配置NAT地址转换,实现内网的安全:
先清除以前R1配置的路由:
[R1]undo ip route-static 10.1.3.0 255.255.255.0 202.1.1.254
当前内网是通不到外网的;
配置trust区到untrust区的nat
[FW1]nat address-group 1 202.1.1.2 202.1.1.2 //建立nat转换地址池为202.1.1.2
[FW1]nat-policy interzone trust untrust outbound //进入trust区到untrust区的nat策略配置
[FW1-nat-policy-interzone-trust-untrust-outbound]policy 10
[FW1-nat-policy-interzone-trust-untrust-outbound-10]action source-nat
//开启源nat
[FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.1.0 mask 24
//添加源地址范围为 10.1.1.0 24
[FW1-nat-policy-interzone-trust-untrust-outbound-10]address-group 1
//调用刚才建立的nat地址池 1
配置trust区到untrust区的nat【也能够用easy-ip 配置,直接nat到接口g0/0/3,节省公网ip】
[FW1]nat-policy interzone trust untrust outbound //进入trust区到untrust区的nat策略配置
[FW1-nat-policy-interzone-trust-untrust-outbound]policy 11
[FW1-nat-policy-interzone-trust-untrust-outbound-11]action source-nat
//开启源nat
[FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.2.0 mask 24
//添加源地址范围为 10.1.1.0 24
[FW1-nat-policy-interzone-trust-untrust-outbound-10]easy-ip interface g0/0/3
//直接将内网的10.1.2.0网段转换到g0/0/3接口上
以上两种nat技术方法均可以实现内网ip地址转换的公网地址,保证内网的安全,可是easy技术相对来讲能够
节省ip ,不用再买另外一个公网ip地址
dmz区web/ftp的发布
直接用静态nat实现地址转换
[FW1]nat server global 202.1.1.3 inside10.1.3.2 //将内部10.1.3.2 转换到公网地址202.1.1.3上
结合上面的配置,直接实现dmz区的web /ftp 区不能访问到别的区域,可是trust和untrust均可以访问,特别
是untrust只有,ping /http/ftp服务能够访问内部的服务器,而别的服务没法访问进到内网!
- 1. 华为防火墙学习笔记 三
- 2. 华为防火墙学习笔记 一
- 3. 华为防火墙学习笔记 二
- 4. 华为ict 防火墙笔记
- 5. 华为防火墙
- 6. 华为USG防火墙NAT
- 7. Linux防火墙iptables学习笔记
- 8. RHCE 学习笔记(31) - 防火墙 (中)
- 9. RHCE 学习笔记(31) - 防火墙 (上)
- 10. centos6.6学习笔记:关闭防火墙
- 更多相关文章...
- • 使用TCP协议检测防火墙 - TCP/IP教程
- • 您已经学习了 XML Schema,下一步学习什么呢? - XML Schema 教程
- • Tomcat学习笔记(史上最全tomcat学习笔记)
- • 适用于PHP初学者的学习线路和建议
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 华为防火墙学习笔记 三
- 2. 华为防火墙学习笔记 一
- 3. 华为防火墙学习笔记 二
- 4. 华为ict 防火墙笔记
- 5. 华为防火墙
- 6. 华为USG防火墙NAT
- 7. Linux防火墙iptables学习笔记
- 8. RHCE 学习笔记(31) - 防火墙 (中)
- 9. RHCE 学习笔记(31) - 防火墙 (上)
- 10. centos6.6学习笔记:关闭防火墙