防火牆需要有如下幾個步驟:
1、配置介面ip,並劃到對應的安全域zone。
2、配置路由。
3、配置防火牆控制策略(這個一定要配置),如
policy from "l2-untrust" to "l2-trust"
rule id 2
action permit
src-addr "any"
dst-addr "any"
service "any"
4、配置防火牆nat(如果不訪問外網,可以不配置),如
snatrule id 1 from "any" to "any" eif ethernet0/4 trans-to eif-ip mode dynamicport
5、配置埠對映(如果沒有埠需要對映,可以不配置)。這裡有3個步驟,
5.1、新增服務簿,如
service "tcp_8088"
description "tcp_8088"
tcp dst-port 8088 src-port 0 65535 timeout 1800
5.2、新增位址簿,如
address "shuili_server"
reference-zone "trust"
description "shuili_server"
ip 10.45.163.67/32
5.3、防火牆nat中的目的nat
dnatrule id 1 from "any" to "ipv4.ethernet0/4" service "tcp_8088" trans-to "shuili_server" port 8088
注意細節:
1)防火牆控制策略:原則就是區域a要主動訪問區域b只需要單向放行就ok了(即策略放行區域a的源ip訪問區域b的目標ip),這就是防火牆功能強大的地方。例如只是讓trust(內部區域網)訪問untrust外網,即trust為源ip而untrust為目標ip,那麼只需要單向的把trust指向untrust的源ip段放行訪問任意目標ip就行,這樣就可以正常上網了,而外網(untrust)即使有可達內網(trust)的路由也不能訪問到內網trust的。如果要讓untrust作為源ip主動訪問trust為目標ip,那麼也只單向untrust到trust放行就可以(與trust有沒有放行到untrust無關),這untrusrt向trust放行在埠對映時很重要。
2)做埠對映時「新增服務簿」:這個服務簿其實是網路或者軟體協議而已,這此協議一般都有源埠和目標埠,(這個服務簿可以說明是防火牆規則最嚴密表現)。既然有源埠與目標埠,那麼配置時一定要小心了。一般遠端主機訪問伺服器時,其(遠端主機)的埠(即源埠)是隨機的,而目標埠就是伺服器中軟體要對映的埠了,所以配置時一定要將源埠為任意,目標埠為指定。
假如將源埠與目標埠都配置成一樣(如8088),那麼除非將遠端主機強制用8088訪問,否則遠端主機不可能訪問到伺服器的。
錯誤「新增服務簿」如下從而無法對映成功:
正確新增服務簿最後才對映成功。
配置防火牆
今天學了下如何配置網路防火牆,用於過濾乙個段的ip位址不能訪問路由器。第二步開啟防火牆 firewall enable 第三步設定預設,允許或者禁止 firewall default permit 第四步設定規則 acl number 2001 rule 1 deny source 192.168....
防火牆配置
一次在某個防火牆配置策略裡看到如下的 iptables a input p icmp icmp type 8 j accept iptables a forward p icmp icmp type 8 j accept iptables a input p icmp icmp type 11 j ...
防火牆配置
環境 ensp 防火牆usg6000v cloud web端登入 預設使用者名稱和密碼admin admin 123telnet登入 系統檢視下開啟telnet server sys usg6000v1 telnet server enable 建立vty下的策略 usg6000v1 user in...