精华内容
下载资源
问答
  • USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。可广泛应用于运营商、企业、政府、金融、能源、学校等领域的网络边界。USG5500系列产品部署于网络出口处,...
  • 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部...
  • 思科pix防火墙配置实例大全 在配置PIX防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述...
    思科pix防火墙配置实例大全<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

    在配置PIX防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3网络,描述如下:
    内部区域(内网):内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。
    外部区域(外网):外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部 区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
    停火区(DMZ):停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器,Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络
    注意:2个接口的防火墙是没有停火区的。

    由于PIX535在企业级别不具有普遍性,因此下面主要说明PIX525在企业网络中的应用。

    PIX防火墙提供4种管理访问模式:
    非特权模式。 PIX防火墙开机自检后,就是处于这种模式。系统显示为pixfirewall>
    特权模式。 输入enable进入特权模式,可以改变当前配置。显示为pixfirewall#
    配置模式。 输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#
    监视模式。 PIX防火墙在开机或重启过程中,按住Escape键或发送一个"Break"字符,进入监视模式。这里可以更新*作系统映象和口令恢复。显示为monitor>


    配置PIX防火墙有6个基本命令:nameifinterfaceip addressnatglobalroute.

    这些命令在配置PIX时是必须的。以下是配置的基本步骤:


    1.
    配置防火墙接口的名字,并指定安全级别(nameif)。
    Pix525(config)#nameif ethernet0 outside security0
    Pix525(config)#nameif ethernet1 inside security100
    Pix525(config)#nameif dmz security50
    提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100.安全级别取值范围为199,数字越大安全级别越高。若添加新的接口,语句可以这样写:
    Pix525(config)#nameif pix/intf3 security40
    (安全级别任取)

    2. 配置以太口参数(interface
    Pix525(config)#interface ethernet0 auto       
    auto选项表明系统自适应网卡类型 )
    Pix525(config)#interface ethernet1 100full       
    100full选项表示100Mbit/s以太网全双工通信 )
    Pix525(config)#interface ethernet1 100full shutdown
    shutdown选项表示关闭这个接口,若启用接口去掉shutdown

    3. 配置内外网卡的IP地址(ip address
    Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
    Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
    很明显,Pix525防火墙在外网的ip地址是61.144.51.42,内网ip地址是192.168.0.1

    1. Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
    这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp的访问。

    2. Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
    表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。

    3. Pix525(config)#conduit permit icmp any any
    表示允许icmp消息向内部和外部通过。

    4. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3
         Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
    这个例子说明staticconduit的关系。192.168.0.3在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射:192.168.0.3>61.144.51.62(全局),然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。

    C. 配置fixup协议
    fixup
    命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子:
    1 Pix525(config)#fixup protocol ftp 21            启用ftp协议,并指定ftp的端口号为21
    2 Pix525(config)#fixup protocol http 80
          Pix525(config)#fixup protocol http 1080        
    http协议指定801080两个端口。
    3 Pix525(config)#no fixup protocol smtp 80        禁用smtp协议。


    D.
    设置telnet

    telnet有一个版本的变化。在pix OS 5.0pix*作系统的版本号)之前,只能从内部网络上的主机通过telnet访问pix。在pix OS 5.0及后续版本中,可以在所有的接口上启用telnetpix的访问。当从外部接口要telnetpix防火墙时,telnet数据流需要用ipsec提供保护,也就是说用户必须配置pix来建立一条到另外一台pix路由器或***客户端的ipsec隧道。另外就是在PIX上配置SSH,然后用SSH client从外部telnetPIX防火墙,PIX支持SSH1SSH2,不过SSH1是免费软件,SSH2是商业软件。相比之下cisco路由器的telnet就做得不怎么样了。
    telnet
    配置语法:telnet local_ip [netmask] local_ip
    表示被授权通过telnet访问到pixip地址。如果不设此项,pix的配置方式只能由console进行。

    说了这么多,下面给出一个配置实例供大家参考。

    Welcome to the PIX firewall

    Type help or '?' for a list of available commands.
    PIX525> en
    Password:
    PIX525#sh config :
    Saved :
    PIX Version 6.0(1) ------ PIX
    当前的*作系统版本为6.0
    Nameif ethernet0 outside security0
    Nameif ethernet1 inside security100 ------
    显示目前pix只有2个接口
    Enable password 7Y051HhCcoiRTSQZ encrypted
    Passed 7Y051HhCcoiRTSQZ encrypted ------ pix
    防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为cisco
    Hostname PIX525 ------
    主机名称为PIX525
    Domain-name 123.com ------
    本地的一个域名服务器123.com,通常用作为外部访问
    Fixup protocol ftp 21
    Fixup protocol http 80
    fixup protocol h323 1720
    fixup protocol rsh 514
    fixup protocol smtp 25
    fixup protocol sqlnet 1521
    fixup protocol sip 5060 ------
    当前启用的一些服务或协议,注意rsh服务是不能改变端口号的
    names ------
    解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表为空
    pager lines 24 ------
    24行一分页
    interface ethernet0 auto
    interface ethernet1 auto ------
    设置两个网卡的类型为自适应
    mtu outside 1500
    mtu inside 1500 ------
    以太网标准的MTU长度为1500字节
    ip address outside 61.144.51.42 255.255.255.248
    ip address inside 192.168.0.1 255.255.255.0 ------ pix
    外网的ip地址61.144.51.42,内网的ip地址192.168.0.1
    ip audit info action alarm
    ip audit attack action alarm ------ pix
    ***检测的2个命令。当有数据包具有***或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置。
    pdm history enable ------ PIX
    设备管理器可以图形化的监视
    PIX arp timeout 14400 ------ arp
    表的超时时间
    global (outside) 1 61.144.51.46 ------
    如果你访问外部论坛或用QQ聊天等等,上面显示的ip就是这个
    nat (inside) 1 0.0.0.0 0.0.0.0 0 0
    static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
    conduit permit icmp any any
    conduit permit tcp host 61.144.51.43 eq www any
    conduit permit udp host 61.144.51.43 eq domain any ------
    61.144.51.43这个ip地址提供domain-name服务,而且只允许外部用户访问domainudp端口
    route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------
    外部网关61.144.51.61
    timeout xlate 3:00:00 ------
    某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
    timeout uauth 0:05:00 absolute ------ AAA
    认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证
    aaa-server TACACS+ protocol tacacs+
    aaa-server RADIUS protocol radius ------ AAA
    服务器的两种协议。AAA是指认证,授权,审计。Pix防火墙可以通过AAA服务器增加内部网络的安全
    no snmp-server location no snmp-server contact snmp-server community public ------
    由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人
    no snmp-server enable traps ------
    发送snmp陷阱 floodguard enable ------ 防止有人伪造大量认证请求,将pixAAA资源用完
    no sysopt route dnat telnet timeout 5 ssh timeout 5 ------
    使用ssh访问pix的超时时间
    terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
    PIX525#
    PIX525#write memory ------
    将配置保存
    上面这个配置实例需要说明一下,pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办?你可以添加router放在pix的前面,或者global使用单一ip地址,和外部接口的ip地址相同即可。另外有几个维护命令也很有用,show interface查看端口状态,show static查看静态地址映射,show ip查看接口ip地址,ping outside | inside ip_address确定连通性。


    PIX
    上实现×××步骤
    PIX上防火墙用预共享密钥配置IPSec加密主要涉及到4个关键任务:

    一、为IPSec做准备

    IPSec做准备涉及到确定详细的加密策略,包括确定我们要保护的主机和网络,选择一种认证方法,确定有关IPSec对等体的详细信息,确定我们所需的IPSec特性,并确认现有的访问控制列表允许IPSec数据流通过;
    步骤1:根据对等体的数量和位置在IPSec对等体间确定一个IKEIKE阶段1,或者主模式)策略;
    步骤2:确定IPSecIKE阶段2,或快捷模式)策略,包括IPSec对等体的细节信息,例如IP地址及IPSec变换集和模式;
    步骤3:用"write terminal""show isakmp""show isakmp policy""show crypto map "命令及其他"show"命令来检查当前的配置;
    步骤4:确认在没有使用加密前网络能够正常工作,用"ping"命令并在加密前运行测试数据流来排除基本的
    路由故障;
    步骤5:确认在边界
    路由器和PIX防火墙中已有的访问控制列表允许IPSec数据流通过,或者想要的数据流将可以被过滤出来。

    二、配置IKE 配置IKE涉及到启用IKE(和isakmp是同义词),创建的配置;
    步骤1:用"isakmp enable"命令来启用或关闭IKE
    步骤2:用"isakmp policy"命令创建IKE策略;
    步骤3:用"isakmp key"命令和相关命令来配置预共享密钥;
    步骤4:用"show isakmp [policy]"命令来验证IKE的配置。  

    三、配置IPSec    

    IPSec配置包括创建加密用访问控制列表,定义变换集,创建加密图条目,并将加密集应用到接口上去;
    步骤1:用access-list命令来配置加密用访问控制列表; 例如: access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]]dest_addr dest_mask [operator prot [port]]
    步骤2:用crypto ipsec transform-set 命令配置变换集; 例如: crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]] 3. 步骤3:(任选)用crypto ipsec security-association lifetime命令来配置全局性的IPSec 安全关联的生存期;
    步骤4:用crypto map 命令来配置加密图;
    步骤5:用interface 命令和crypto map map-name interface应用到接口上; 6. 步骤6:用各种可用的show命令来验证IPSec的配置。  

    四、测试和验证IPSec
    该任务涉及到使用"show " "debug"和相关的命令来测试和验证IPSec加密工作是否正常,并为之排除故障。
    样例:
    PIX 1
    的配置:
    !configure the IP address for each PIX Firewall interface
    ip address outside 192.168.1.1 255.255.255.0
    ip address inside 10.1.1.3 255.255.255.0
    ip address dmz 192.168.11.1 255.255.255.0
    global (outside) 1 192.168.1.10-192.168.1.254 netmask 255.255.255.0
    !creates a global pooll on the outside interface,enables NAT.
    !windows NT server
    static (inside,outside) 192.168.1.10 10.1.1.4 netmask 255.255.255.0
    !Crypto access list specifiles between the global and the inside server beind PIX Firewalls is encrypted ,The source and destination IP address are the global IP addresses of the statics.
    Access-list 101 permit ip host 192.168.1.10 host 192.168.2.10
    !The conduit permit ICMP and web access for testing.
    Conduit permit icmp any any Conduit permit tcp host 192.168.1.10 eq www any
    route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
    !Enable IPSec to bypass access litst,access ,and confuit restrictions
    syspot connnection permit ipsec
    !Defines a crypto map transform set to user esp-des
    crypto ipsec transform-set pix2 esp-des
    crypto map peer2 10 ipsec-isakmp!

    完全配置: ip address outside 202.105.113.194 255.255.255.0 /*看电信给你的IP
    ip address inside 192.168.1.1 255.255.255.0
    !
    global (outside) 1 202.105.113.195-202.105.113.200
    global (outside) 1 202.105.113.201
    nat (inside) 1 0.0.0.0 0.0.0.0 0 0
    static (inside,outside) 202.105.113.203 192.168.1.10 netmask 255.255.255.255 0 0
    static (inside,outside) 202.105.113.205 192.168.1.11netmask 255.255.255.255 0 0
    conduit permit icmp any any conduit permit tcp host 202.105.113.203 eq www any
    conduit permit tcp host 202.105.113.203 eq ftp any
    conduit permit tcp host 202.105.113.205 eq smtp any
    conduit permit tcp host 202.105.113.205 eq pop3 any
    !
    route outside 0.0.0.0 0.0.0.0 202.105.113.193 1
    route inside 0.0.0.0 0.0.0.0 192.168.1.1

    4. 指定要进行转换的内部地址(nat
    网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。

    nat命令配置语法:
    nat (if_name) nat_id local_ip [netmark]
    其中(if_name)表示内网接口名字,例如insideNat_id用来标识全局地址池,使它与其相应的global命令相匹配,local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。

    1Pix525(config)#nat (inside) 1 0 0
    表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0

    2Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
    表示只有172.16.5.0这个网段内的主机可以访问外网。

    5. 指定外部地址范围(global global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。
    Global
    命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]
    其中(if_name)表示外网接口名字,例如outside.Nat_id用来标识全局地址池,使它与其相应的nat命令相匹配,ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。

    1Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48
    表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。

    2Pix525(config)#global (outside) 1 61.144.51.42 表示内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。

    3. Pix525(config)#no global (outside) 1 61.144.51.42 表示删除这个全局表项。

    6. 设置指向内网和外网的静态路由route) 定义一条静态路由
    route
    命令配置语法:route (if_name) 0 0 gateway_ip [metric]
    其中(if_name)表示接口名字,例如insideoutsideGateway_ip表示网关
    路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1

    1 Pix525(config)#route outside 0 0 61.144.51.168 1
    表示一条指向边界
    路由器(ip地址61.144.51.168)的缺省路由

    2 Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
          Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
    如果内部网络只有一个网段,按照例1那样设置一条缺省
    路由即可;如果内部存在多个网络,需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10.1.1.0的静态路由,静态路由的下一条路由ip地址是172.16.0.1

    OK,这6个基本命令若理解了,就可以进入到pix防火墙的一些高级配置了。

    A. 配置静态IP地址翻译(static
    如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。
    static
    命令配置语法:
    static (internal_if_name
    external_if_name) outside_ip_address inside_ ip_address
    其中internal_if_name表示内部网络接口,安全级别较高,如insideexternal_if_name为外部网络接口,安全级别较低,如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。

    1 Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
    表示ip地址为192.168.0.8的主机,对于通过pix防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。

    2 Pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3

    3 Pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8
    注释同例1
    通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口,使它们可以进入到具有较高安全级别的指定接口。

    B. 管道命令(conduit
    前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡。
    conduit
    命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接,staticconduit命令将一起使用,来指定会话的建立。
    conduit
    命令配置语法:
    conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
    permit | deny
    允许 | 拒绝访问 global_ip 指的是先前由globalstatic命令定义的全局ip地址,如果global_ip0,就用any代替0;如果global_ip是一台主机,就用host命令参数。
    port
    指的是服务所作用的端口,例如www使用80smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。
    protocol
    指的是连接协议,比如:TCPUDPICMP等。
    foreign_ip
    表示可访问global_ip的外部ip。对于任意主机,可以用any表示。如果foreign_ip是一台主机,就用host命令参数。

    1. Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
    这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp的访问。

    2. Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
    表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。

    3. Pix525(config)#conduit permit icmp any any
    表示允许icmp消息向内部和外部通过。

    4. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3
         Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
    这个例子说明staticconduit的关系。192.168.0.3在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射:192.168.0.3>61.144.51.62(全局),然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。

    C. 配置fixup协议
    fixup
    命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子:
    1 Pix525(config)#fixup protocol ftp 21            启用ftp协议,并指定ftp的端口号为21
    2 Pix525(config)#fixup protocol http 80
          Pix525(config)#fixup

    http协议指定801080两个端口。
    3 Pix525(config)#no fixup protocol smtp 80        禁用smtp协议。


    D.
    设置telnet

    telnet有一个版本的变化。在pix OS 5.0pix*作系统的版本号)之前,只能从内部网络上的主机通过telnet访问pix。在pix OS 5.0及后续版本中,可以在所有的接口上启用telnetpix的访问。当从外部接口要telnetpix防火墙时,telnet数据流需要用ipsec提供保护,也就是说用户必须配置pix来建立一条到另外一台pix路由器或***客户端的ipsec隧道。另外就是在PIX上配置SSH,然后用SSH client从外部telnetPIX防火墙,PIX支持SSH1SSH2,不过SSH1是免费软件,SSH2是商业软件。相比之下cisco路由器的telnet就做得不怎么样了。
    telnet
    配置语法:telnet local_ip [netmask] local_ip
    表示被授权通过telnet访问到pixip地址。如果不设此项,pix的配置方式只能由console进行。

    说了这么多,下面给出一个配置实例供大家参考。

    Welcome to the PIX firewall

    Type help or '?' for a list of available commands.
    PIX525> en
    Password:
    PIX525#sh config :
    Saved :
    PIX Version 6.0(1) ------ PIX
    当前的*作系统版本为6.0
    Nameif ethernet0 outside security0
    Nameif ethernet1 inside security100 ------
    显示目前pix只有2个接口
    Enable password 7Y051HhCcoiRTSQZ encrypted
    Passed 7Y051HhCcoiRTSQZ encrypted ------ pix
    防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为cisco
    Hostname PIX525 ------
    主机名称为PIX525
    Domain-name 123.com ------
    本地的一个域名服务器123.com,通常用作为外部访问
    Fixup protocol ftp 21
    Fixup protocol http 80
    fixup protocol h323 1720
    fixup protocol rsh 514
    fixup protocol smtp 25
    fixup protocol sqlnet 1521
    fixup protocol sip 5060 ------
    当前启用的一些服务或协议,注意rsh服务是不能改变端口号的
    names ------
    解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表为空
    pager lines 24 ------
    24行一分页
    interface ethernet0 auto
    interface ethernet1 auto ------
    设置两个网卡的类型为自适应
    mtu outside 1500
    mtu inside 1500 ------
    以太网标准的MTU长度为1500字节
    ip address outside 61.144.51.42 255.255.255.248
    ip address inside 192.168.0.1 255.255.255.0 ------ pix
    外网的ip地址61.144.51.42,内网的ip地址192.168.0.1
    ip audit info action alarm
    ip audit attack action alarm ------ pix
    ***检测的2个命令。当有数据包具有***或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置。
    pdm history enable ------ PIX
    设备管理器可以图形化的监视
    PIX arp timeout 14400 ------ arp
    表的超时时间
    global (outside) 1 61.144.51.46 ------
    如果你访问外部论坛或用QQ聊天等等,上面显示的ip就是这个
    nat (inside) 1 0.0.0.0 0.0.0.0 0 0
    static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
    conduit permit icmp any any
    conduit permit tcp host 61.144.51.43 eq www any
    conduit permit udp host 61.144.51.43 eq domain any ------
    61.144.51.43这个ip地址提供domain-name服务,而且只允许外部用户访问domainudp端口
    route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------
    外部网关61.144.51.61
    timeout xlate 3:00:00 ------
    某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
    timeout uauth 0:05:00 absolute ------ AAA
    认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证
    aaa-server TACACS+ protocol tacacs+
    aaa-server RADIUS protocol radius ------ AAA
    服务器的两种协议。AAA是指认证,授权,审计。Pix防火墙可以通过AAA服务器增加内部网络的安全
    no snmp-server location no snmp-server contact snmp-server community public ------
    由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人
    no snmp-server enable traps ------
    发送snmp陷阱 floodguard enable ------ 防止有人伪造大量认证请求,将pixAAA资源用完
    no sysopt route dnat telnet timeout 5 ssh timeout 5 ------
    使用ssh访问pix的超时时间
    terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
    PIX525#
    PIX525#write memory ------
    将配置保存
    上面这个配置实例需要说明一下,pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办?你可以添加router放在pix的前面,或者global使用单一ip地址,和外部接口的ip地址相同即可。另外有几个维护命令也很有用,show interface查看端口状态,show static查看静态地址映射,show ip查看接口ip地址,ping outside | inside ip_address确定连通性。

    配置成为DHCP Server
    配置地址池:
    Firewall(config)# dhcpd address ip1[-ip2] if_name
    (最多256个客户端)
    配置DHCP参数:

    Firewall(config)# dhcpd dns dns1 [dns2]
    Firewall(config)# dhcpd wins wins1 [wins2]ITPUB
    个人空间
    Firewall(config)# dhcpd domain domain_nameITPUB
    个人空间
    Firewall(config)# dhcpd lease lease_length Firewall(config)# dhcpd ping_timeout timeout
    启用DHCP服务:
    Firewall(config)# dhcpd enable if_name
    验证:show dhcdp, show dhcpd bindings, show dhcpd statistics
    配置DHCP中继:
    定义真实DHCP Server
    Firewall(config)# dhcprelay server dhcp_server_ip server_ifc(
    最多4)
    中继参数:
    Firewall(config)# dhcprelay timeout seconds
    Firewall(config)# dhcprelay setroute client_ifc
    启用中继:
    Firewall(config)# dhcprelay enable client_ifc
    验证 show dhcprelay statistics

    配置pix防火墙,主要的命令是通过 dhcpd

    第一步:使用ip address 命令为内部接口分配一个静态的ip地址

    第二步:使用dhcpd address 命令为DHCP 服务器指定一个可分发的地址范围

    第三步:使用dhcpd dns命令指定客户端使用的DNS服务器的ip地址,这步是可选的

    第四步:使用dhcpd wins命令指定客户端使用的wins服务器ip地址,这步是可选的

    第五步:指定TFTP服务器ip地址,这步是可选的

    第六步:使用dhcpd lease命令指定准许客户端使用的时间(租期)

    第七步:使用dhcpd ping timeout 命令指定PING timeout值,这步是可选的

    第八步:使用dhcpd domain 命令配置客户端使用的域名。这步是可选的。

    第九步:使用dhcpd enable命令在pix防火墙上启功DHCP的后台程序,并在相应的接口上监听来自客户端的请求。

    例子:

    #dhcpd dns 10.0.1.10 10.0.1.11

    #dhcpd wins 10.0.1.10 10.0.1.11

    #dhcpd domain cisco.com

    #dhcpd address 10.0.1.50-10.0.1.100 inside

    #dhcpd enable inside

    #dhcpd address 172.16.0.50-172.16.0.100 dmz1

    #dhcpd enable dmz1

     

    转载于:https://blog.51cto.com/netsky1/239718

    展开全文
  • 文章目录环境拓扑需求描述一、环境配置二、防火墙配置1、在网站服务器上配置防火墙2、网关服务器配置防火墙3、企业内网访问外网web服务器4、外网web服务器访问企业内部网站服务器三、总结问题总结解决方案 ...

    环境拓扑

    在这里插入图片描述

    需求描述

    1、 网关服务器连接互联网网卡ens33地址为100.1.1.10,为公网IP地址,分配到firewall的external区域;连接内网网卡ens36地址为192.168.1.2,分配到firewall的trusted区域;连接服务器网卡ens37地址为192.168.2.2,分配到firewall的dmz区域

    2、 网站服务器和网关服务器均通过SSH来远程管理,为了安全,将SSH默认端口改为12345

    3、 网站服务器开启 HTTPS,过滤未加密的HTTP流量

    4、 网站务器拒绝ping,网关服务器拒绝来自互联网上的ping

    5、 公司内网用户需要通过网关服务器共享上网

    6、 互联网用户需要访问网站服务器

    虚拟机试验环境搭建:

    1、 打开虚拟机网络编辑器

    在这里插入图片描述
    2、 添加对应的网段

    在这里插入图片描述

    一、环境配置

    1、网关服务器开启路由转发功能

    [root@gateway ~]# vim /etc/sysctl.conf		//永久生效
    net.ipv4.ip_forward = 1
    [root@gateway ~]# sysctl -p //生效
    

    2、网站服务器

    1) 检查路由

    [root@web ~]# route -n
    

    在这里插入图片描述
    2)检查防火墙必须开启

    [root@web ~]#  systemctl status firewalld.service 
    

    在这里插入图片描述
    3) 搭建yum

    #挂载光盘

    [root@web ~]#  vim /etc/fstab
    /dev/cdrom	/mnt	iso9660	defaults	0 0
    [root@web ~]# mount -a
    

    #搭建yum仓库

    [root@web ~]#   cd /etc/yum.repos.d/
    [root@web yum.repos.d]# mkdir back
    [root@web yum.repos.d]# mv C* back/
    [root@web yum.repos.d]# vim local.repo
    [centos]
    name=centos
    baseurl=file:///mnt
    gpgcheck=0
    enabled=1
    
    [root@web yum.repos.d]# yum clean all
    [root@web yum.repos.d]# yum makecache 
    

    4)安装HTTP 安装https模块

    [root@web yum.repos.d]# yum -y install httpd mod_ssl 
    [root@web yum.repos.d]# systemctl start httpd		//开启服务
    [root@web yum.repos.d]# systemctl enable httpd
    

    #编辑站点内容

    [root@web yum.repos.d]# vim /var/www/html/index.html
    <h1>hello-kgc<h1>
    

    #测试正常
    在这里插入图片描述
    5)更改ssh端口

    [root@web yum.repos.d]# setenforce 0	//关闭核心防护
    [root@web yum.repos.d]# vim /etc/sysconfig/selinux
    SELINUX=disabled
    
    [root@web yum.repos.d]# vim /etc/ssh/sshd_config	//更改端口号
    Port 12345
    

    二、防火墙配置

    1、在网站服务器上配置防火墙

    1) 设置默认区域为DMZ

    [root@web ~]#  firewall-cmd --set-default-zone=dmz
    

    2)为DMZ区域打开https服务添加TCP为12345端口

    [root@web ~]# firewall-cmd --zone=dmz --add-service=https --permanent 
    [root@web ~]# firewall-cmd --zone=dmz --add-port=12345/tcp --permanent 
    

    3)配置dmz区域移除ssh服务

    [root@web ~]# firewall-cmd --zone=dmz --remove-service=ssh --permanent
    

    4)禁止ping

    [root@web ~]# firewall-cmd --add-icmp-block=echo-request --zone=dmz --permanent
    

    5)重新加载防火墙

    [root@web ~]# firewall-cmd --reload
    

    2、网关服务器配置防火墙

    1) 检查下防火墙

    [root@gateway ~]# systemctl status firewalld.service 
    

    在这里插入图片描述

    2)设置默认区域external区域

    [root@gateway ~]# firewall-cmd --set-default-zone=external 
    [root@gateway ~]#  firewall-cmd --list-all
    external (active)
      target: default
      icmp-block-inversion: no
      interfaces: ens33 ens36 ens37
      sources: 
      services: ssh
      ports: 
      protocols: 
      masquerade: yes
      forward-ports: 
      source-ports: 
      icmp-blocks:
      rich rules:
    

    3)设置ens36网卡为trusted区域;ens37网卡设置为DMZ区域

    [root@gateway ~]#  firewall-cmd --change-interface=ens36 --zone=trusted 
    [root@gateway ~]# firewall-cmd --change-interface=ens37 --zone=dmz
    

    4)查看配置详情

    [root@gateway ~]#  firewall-cmd --get-active-zones 
    

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1aZyehwz-1586700423271)(1586500732485.png)]

    5)在企业内网测试访问网站服务器

    打开浏览器输入https://192.168.2.10
    在这里插入图片描述
    6)更改ssh端口号

    [root@gateway ~]# setenforce 0			//关闭核心防护
    [root@gateway ~]# vim /etc/sysconfig/selinux
    SELINUX=disabled
    [root@gateway ~]# vim /etc/ssh/sshd_config		//更改端口号
    Port 12345
    

    7)配置external区域添加TCP12345端口

    [root@gateway ~]#  firewall-cmd --zone=external --add-port=12345/tcp --permanent
    

    8)配置external区域移除ssh服务

    [root@gateway ~]# firewall-cmd --zone=external --remove-service=ssh --permanent
    

    9)配置external禁止ping

    [root@gateway ~]# firewall-cmd --zone=external --add-icmp-block=echo-request  --permanent
    

    10)重新加载防火墙

    [root@gateway ~]#  firewall-cmd --reload
    

    11)测试

    在Internet外网web服务器上ssh登录网关服务器的外部接口ens33地址的12345端口

    [root@internet ~]# ssh -p 12345 100.1.1.10
    

    在这里插入图片描述

    12)在企业内部测试机上ssh登录网站服务器的12345端口

    [root@nb ~]# ssh -p 12345 192.168.2.10
    

    在这里插入图片描述

    3、企业内网访问外网web服务器

    企业内网用户通过网关服务器能访问Internet外网web服务器

    1) 在外网服务器上搭建HTTP服务

    #挂载光盘

    [root@internet ~]# vim /etc/fstab
    [root@internet ~]# iso9660	defaults	0 0
    [root@internet ~]# mount -a
    

    #搭建yum仓库

    [root@internet ~]# cd /etc/yum.repos.d/
    [root@internet yum.repos.d]# mkdir back
    [root@internet yum.repos.d]# mv C* back/
    [root@internet yum.repos.d]# vim local.repo
    [centos]
    name=centos
    baseurl=file:///mnt
    gpgcheck=0
    enabled=1
    
    [root@internet yum.repos.d]# yum clean all
    [root@internet yum.repos.d]# yum makecache 
    

    #安装HTTP服务并启动

    [root@internet yum.repos.d]# yum -y install httpd 
    [root@internet yum.repos.d]# systemctl start httpd
    [root@internet yum.repos.d]# systemctl enable httpd
    

    2)访问测试

    ① web外网服务器访问测试http服务
    在这里插入图片描述

    ② 企业内部网站服务器访问外部web网站
    在这里插入图片描述
    ③ 企业内部访问测试
    在这里插入图片描述

    3)在网关服务器上查看是否开启伪装

    [root@gatway ~]# firewall-cmd --list-all --zone=external 
    

    在这里插入图片描述

    #网关服务器如何关闭伪装
    在这里插入图片描述
    重载防火墙则会重新启动伪装,external默认开启伪装

    4)在命令行启动伪装 192.168.1.0/24

    [root@gatway ~]# firewall-cmd --zone=external --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 masquerade'
    [root@gatway ~]# firewall-cmd --reload
    

    5)在企业内部网站上访问internet网站服务器100.1.1.20
    在这里插入图片描述
    不能访问。说明已经伪装生效

    4、外网web服务器访问企业内部网站服务器

    1)在网关服务器上配置端口转发,实现外网web服务器能访问企业内部网站服务器

    [root@gatway ~]# firewall-cmd --zone=external --add-forward-port=port=443:proto=tcp:toaddr=192.168.2.10 --permanent 
    [root@gatway ~]# firewall-cmd --reload 
    

    2)在internet外部服务器上访问测试,可以访问到内部网站服务器
    在这里插入图片描述

    三、总结

    凡是涉及到修改配置或者修改规则,一定要重启或重载服务

    此次实验遇到问题:

    一、企业内网无法访问网站服务器

    解决方法:

    1、检查各个IP地址是否冲突

    2、检查网关是否正常(企业内网网关与内网站网均分别指向网关服务器对应的接口)

    3、检查网关服务器的路由转发功能是否生效

    二、ssh登录测试失败

    1、检查端口是否正确

    2、检查sshd服务是否有启动 netstat -natp | grep 12345

    问题总结

    A服务器连接B服务器,连接某个功能模块连接不上?

    解决方案

    • 检查B服务器的,功能模块服务有没有启动

      检查环境–根据业务环境来

      检查配置文件–肉眼不一定看出来、建议使用比对工具比对配置文件

      重启服务服务–服务不要忘了重启,不重要的服务就重启,重要的的服务,重载下

      本地验证服务–ssh -p 端口号ip地址(环回口、接口的IP)

    • 检查B服务器的防火墙

      检查接口配置信息–看功能服务是否正常(多了就删除,少了就添加)

    • 检查A服务器的防火墙

      检查接口配置信息–看功能服务是否正常(防火墙关闭)

    windows检测端口是否启动:telnet IP地址 端口

    展开全文
  • ISA2004是企业中常用的防火墙软件,功能非常丰富,下面我们通过一个简单的实例来介绍一下ISA防火墙的一个最常用的功能。 下图是常见的一种网络结构,一个公司的服务器位于内部网络,ISA防火墙用于保护这些服务器...
    ISA2004是企业中常用的防火墙软件,功能非常丰富,下面我们通过一个简单的实例来介绍一下ISA防火墙的一个最常用的功能。
     
    下图是常见的一种网络结构,一个公司的服务器位于内部网络,ISA防火墙用于保护这些服务器免受***,并且将服务器发布到外网,使外网客户端能够访问服务器的资源。
     
    119570305912.JPG
     
    要实现这个功能,安装有 ISA Server 的主机需要安装有两块网卡,如下图所示,并且需要分别为两块网卡分配外部公网地址和内部网络的私有地址,在这个实验中,我们拥有两个外网IP地址,分别是202.0.0.10和202.0.0.20,内网地址我们选用的是10.1.1.0网段。
     
    119569861640.jpg
     
     
    一、首先我们需要安装ISA,ISA防火墙需要Windows 2000 Server SP3 ,Windows Server 2003,或者 Windows Server 2008。安装前首先要确认自己的系统支持ISA2004。
     
    安装时按照以下步骤即可。安装欢迎界面如下图。
     
    119569857809.jpg
     
    在安装过程中,需要指定内部网络的地址范围。如下图所示,单击“添加”
    119569858503.jpg
     
     
    输入内网地址范围后单击“添加”,可以同时添加多个内网范围的IP。也可以在右侧选中已存在的内网IP将其删除。
    119569859021.jpg
     
    输入以上信息以后,即可完成安装,安装完成之后,安装程序会自动建立ISA的程序组,在其中选择ISA管理器即可进入ISA的管理界面。管理界面如下图所示:
     
    119569859707.jpg
     
    在界面右侧单击“连接到本地和远程ISA服务”,默认会连接到本地的ISA服务。
     
     
    接下来我们要将内网的一台web服务器发布到外网,在本实验中,我们设定的内网web服务器的地址是10.1.1.100,发布到外网的服务器地址是202.0.0.10。
     
    在左侧本地ISA服务的窗口中,点击“防火墙策略”,并且在右侧常用的策略任务中选择“发布一个web服务器”,如下图所示,请注意红色区域:
    119571186412.jpg
     
     
    接下来系统会弹出“新建 web 发布规律向导”,如下图,在这里,我们可以给这个发布规则命名。合理的命名可以让我们在同时存在多个规则的时候很容易将它们区分开来。
     
    119569879865.jpg
     
     
    接下来按下图所示为新的规则选择条件满足的时候的响应方式,发布任何一种服务器时,我们都要选择“允许”
     
    119569880738.jpg
     
     
    在点击“下一步”以后,我们会看到“定义要发布的网站”的窗口,如下图,在这里,我们要设定要发布的服务器的内部IP地址,填入我们要发布的内网web服务器地址10.1.1.100,然后点击“下一步”。
     
    119571282351.jpg
     
     
    为发布的服务器设定侦听器,在接下来的窗口中,点击“新建”:
    119569884674.jpg
     
     
    该服务器针对外网发布,所以侦听范围要选择外网,在拥有多个外网IP时候,可以指定具体的某个IP地址给我们要发布的服务器,点击“地址”按钮来设定具体的外网IP。如下图:
    119569886246.jpg
     
     
     
    在可用的外网地址列表中选择一个外网IP,这个地址就是我们从外网访问该服务器所用的地址。
     
    119569885307.jpg
     
     
    给这个web侦听器指定端口,默认为80,同时可选择https的端口443
     
    119569888642.jpg
     
     
    点击“完成”,完成web侦听器的配置。
     
    119569890231.jpg
     
     
    在接下来的设置中,选择我们刚刚设定的web侦听器名称,点击下一步:
     
    119569891541.jpg
     
     
    接下来我们可以选择允许使用该服务器的用户,可以选择“所有用户”,也可以指定仅仅“外网用户”可以访问该服务器。
     
    119569892401.jpg
     
     
    然后我们就完成了这个web服务器的发布。
     
    119569893149.jpg
     

    转载于:https://blog.51cto.com/202119/194286

    展开全文
  • 防火墙配置NAT 多出口

    千次阅读 2019-11-13 21:32:02
    配置实例企业的网络拓扑如下 部门A:vlan11:192.168.11.1 /24 部门B:vlan12:192.168.12.1/24 两个部门均通过vlan10接入防火墙,从而访问外部网络。内部服务器开启了web服务以及ftp服务,外部客户端只能访问内部...

    防火墙配置NAT多出口

    配置实例

    某企业的网络拓扑如下

    部门A:vlan11:192.168.11.1 /24
    部门B:vlan12:192.168.12.1/24

    两个部门均通过vlan10接入防火墙,从而访问外部网络。内部服务器开启了web服务以及ftp服务,外部客户端只能访问内部的web服务和ftp服务。防火墙有联通和电信两个出口。

    网络topo

    设备配置

    防火墙配置

    interface GigabitEthernet0/0/2
     ip address 192.168.1.1 255.255.255.0 
     
    interface GigabitEthernet0/0/3
     ip address 192.168.10.2 255.255.255.0 
     
    interface GigabitEthernet0/0/7
    
     ip address 1.1.1.2 255.255.255.0 
    interface GigabitEthernet0/0/8
    
     ip address 8.8.8.2 255.255.255.0 
     
    firewall zone trust
     set priority 85
     add interface GigabitEthernet0/0/0
     add interface GigabitEthernet0/0/3
     
    firewall zone dmz
     set priority 50
     add interface GigabitEthernet0/0/2
     
    firewall zone name dx
     set priority 15
     add interface GigabitEthernet0/0/7
     
    firewall zone name lt
     set priority 20
     add interface GigabitEthernet0/0/8
     
    firewall interzone dmz dx
     detect ftp
     
    firewall interzone dmz lt
     detect ftp
     
     ip route-static 2.2.2.0 255.255.255.0 1.1.1.1 
     ip route-static 9.9.9.0 255.255.255.0 8.8.8.1 
     ip route-static 192.168.0.0 255.255.0.0 192.168.10.1 
     ###将内网的服务通过两个运营商的接口映射到外网
     nat server 0 zone dx protocol tcp global interface GigabitEthernet0/0/7 www inside 192.168.1.10 www
     nat server 1 zone dx protocol tcp global interface GigabitEthernet0/0/7 ftp inside 192.168.1.10 ftp
     nat server 2 zone lt protocol tcp global interface GigabitEthernet0/0/8 www inside 192.168.1.10 www
     nat server 3 zone lt protocol tcp global interface GigabitEthernet0/0/8 ftp inside 192.168.1.10 ftp
    
    policy interzone trust dx outbound
     policy 1 
      action permit 
      
    policy interzone trust lt outbound
     policy 1 
      action permit 
      
    policy interzone dmz dx inbound
     policy 1 
      action permit 
      policy service service-set http
      policy service service-set ftp
      policy destination 192.168.1.10 0
      
    policy interzone dmz lt inbound
     policy 1 
      action permit 
      policy service service-set http
      policy service service-set ftp
      policy destination 192.168.1.10 0
      
    nat-policy interzone trust dx outbound 
     policy 1 
      action source-nat 
      easy-ip GigabitEthernet0/0/7
      
    nat-policy interzone trust lt outbound 
     policy 1 
      action source-nat 
      easy-ip GigabitEthernet0/0/8
    

    S1交换机配置

    sysname S1
    vlan batch 10 to 12
    interface Vlanif10									#连接防火墙的接口
     ip address 192.168.10.1 255.255.255.0 
    interface Vlanif11
     ip address 192.168.11.1 255.255.255.0 
    interface Vlanif12
     ip address 192.168.12.1 255.255.255.0 
    interface GigabitEthernet0/0/1
     port link-type access
     port default vlan 10
    interface GigabitEthernet0/0/23
     port link-type access
     port default vlan 11
    interface GigabitEthernet0/0/24
     port link-type access
     port default vlan 12
     
    ip route-static 0.0.0.0 0.0.0.0 192.168.10.2
    
    

    S2交换机配置

    sysname S2
    vlan batch 11 to 12
    interface Vlanif11
     ip address 2.2.2.1 255.255.255.0 
    interface Vlanif12
     ip address 9.9.9.1 255.255.255.0 
    interface GigabitEthernet0/0/1
     port link-type access
     port default vlan 11
    interface GigabitEthernet0/0/2
     port link-type access
     port default vlan 12
    interface GigabitEthernet0/0/3
     port link-type access
     port default vlan 11
    interface GigabitEthernet0/0/4
     port link-type access
     port default vlan 12
     
    ip route-static 1.1.1.0 255.255.255.0 2.2.2.2
    ip route-static 8.8.8.0 255.255.255.0 9.9.9.2
    

    电信路由配置

    sysname dx
    interface GigabitEthernet0/0/0
     ip address 2.2.2.2 255.255.255.0 
    interface GigabitEthernet0/0/1
     ip address 1.1.1.1 255.255.255.0 
    ip route-static 0.0.0.0 0.0.0.0 2.2.2.1
    

    联通路由器配置

    sysname LT
    interface GigabitEthernet0/0/0
     ip address 9.9.9.2 255.255.255.0 
    interface GigabitEthernet0/0/1
     ip address 8.8.8.1 255.255.255.0 
    ip route-static 0.0.0.0 0.0.0.0 9.9.9.1
    

    测试连接

    内网访问公网的web服务

    在这里插入图片描述

    查看防火墙的会话详情

    在这里插入图片描述

    外部网络访问内部的服务

    外部访问内部的web服务

    在这里插入图片描述

    外部访问内部的ftp

    在这里插入图片描述

    查看防火墙的会话详情

    在这里插入图片描述

    展开全文
  • 2019独角兽企业重金招聘Python工程师标准>>> ...
  • 思科防火墙5510配置

    2010-04-29 15:49:47
    思科防火墙ASA5510的配置实例中文说明,以一个实际的简单例子来讲述企业简单组网的防火墙配置
  • 网关服务器安装3块千兆网卡,分别连接在Internet、企业内网、网站服务器。 要求如下: 网关服务器连接互联网卡ens33配置为公网IP地址,分配到firewall的external区域;连接内网网卡ens37地址为192.168.1.1,分配...
  • 环境如下图所示,网关服务器和网站服务器都采用centos 7操作系统,网关服务器安装3块千兆网卡,分别连接Internet、企业内网、网站服务器。 网关服务器连接互联网卡ens33配置为公网IP地址,分配到firewall的external...
  • 大多服务器都托管在阿里云或者腾讯云上,这些云服务也都提供杀毒软件和防火墙功能,如:阿里云盾。上述***大部分都已经被厂商提供的云安全拦截住了,但是毕竟没有绝对的安全。这里记录下我平时对服务器的安全配置,...
  • 大多服务器都托管在阿里云或者腾讯云上,这些云服务也都提供杀毒软件和防火墙功能,如:阿里云盾。上述攻击大部分都已经被厂商提供的云安全拦截住了,但是毕竟没有绝对的安全。 这里记录下我平时对服务器的安全配置...
  • 大多服务器都托管在阿里云或者腾讯云上,这些云服务也都提供杀毒软件和防火墙功能,如:阿里云盾。上述攻击大部分都已经被厂商提供的云安全拦截住了,但是毕竟没有绝对的安全。 这里记录下我平时对服务器的安全配置...
  • 博文大纲: 一、何为双机热备?...七、配置实例 八、总结 一、何为双机热备? 所谓的双机热备无非就是以7X24小时不中断的为企业提供服务为目的,各种双机热备的技术很多,那么华为使用了这个...
  • 2018-05-0413:34:19 命令及使用方法 iptables -nL 查看防火墙规则  -n 以数字形式显示IP  -L 列表 iptables -F 清空防火墙规则 ...配置语句实例 iptables -t Filter -A INPUT -p tcp --dport 52...
  • 配置完成防火墙可以ping通两端的主机但是两端的主机不能互通 在防火墙主机上执行命令 可实现两端互通 vi /etc/sysctl.conf net.ipv4.ip_forward = 1 #可通过sysctl -a |grep ip_forward查询 sysctl -p 实例1 企业...
  • 一、什么是rsync二、rsync的功能特性三、编译安装rsync软件四、rsync的应用模式五、rsync 借助ssh通道技术案例六、企业案例一:搭建远程容灾备份系统练习一推送文件方式同步并排除指定的目录和文件练习二测试主机...
  • 一、什么是rsync二、rsync的功能特性三、编译安装rsync软件四、rsync的应用模式五、rsync 借助ssh通道技术案例六、企业案例一:搭建远程容灾备份系统练习一推送文件方式同步并排除指定的目录和文件练习二测试主机...

空空如也

空空如也

1 2 3 4 5 ... 7
收藏数 122
精华内容 48
关键字:

企业防火墙配置实例