設計要求:1.只允許外部網路訪問web伺服器
2.允許web伺服器訪問應用資料伺服器
3. 應用伺服器只響應web伺服器的請求
4. 允許應用伺服器向資料庫伺服器傳送請求
5. 資料庫伺服器只響應應用伺服器
6.內部網路只可以訪問web服務
fw-1外部介面的 in方向
access-list 101 permit tcp any host 192.0.2.53 eq 80
access-list 101 permit tcp any host 192.0.2.53 eq 443
access-list 101 deny tcp any any eq 80
access-list 101 deny tcp any any eq 443
fw-1邊界介面 in 方向
access-list 102 permit tcp host 192.0.2.53 host 192.0.3.3 eq 80
access-list 102 deny tcp any any any eq 80
access-list 102 deny tcp any any any eq 443
fw-1內部邊界介面的in方向
access-list 103 permit tcp host 192.0.3.3 host 192.0.2.53 eq 80
access-list 103 deny tcp any any eq 80
access-list 103 deny tcp any any eq 80
access-list 104 permit tcp host 192.0.3.3 host 192.0.4.25 eq 80
access-list 104 permit tcp host 192.0.3.3 host 192.0.4.25 eq 443
access-list 104 deny tcp any any eq 80
access-list 104 deny tcp any any eq 443
fw-2邊界介面的in方向
access-list 105 permit tcp host 192.0.4.25 host 192.0.3.3 eq 80
access-list 105 permit tcp host 192.0.4.25 host 192.0.3.3 eq 443
access-list 105 deny tcp any any eq 80
access-list 105 deny tcp any any eq 443
fw-2內部介面的in方向
access-list 106 permit tcp 10.0.2.0 0.0.0.255 host 192.0.2.5. eq 80
access-list 106 permit tcp 10.0.2.0 0.0.0.255 host 192.0.2.5. eq 443
access-list 106 deny tcp any any eq 80
access-list 106 deny tcp any any eq 443
由於防火牆的自適應性我們在fw-1內部介面,fw-2的外部介面只需打上
access-list 10*deny tcp any any eq 80
access-list 10* deny tcp any any eq 443
上面兩個例子只是對http安全的一些設定乙個公司或者乙個網路不可能只有一台伺服器,還有郵件伺服器,dns伺服器等,我們只需記住這個方法明白我們需要設定的目的,極其我們需要開設那些服務為那些使用者。列出目的條目,我們可以編寫出相應的安全策略,這點是作為網路安全工程師所必備的!
網路安全策略和網路安全機制
考研初試專業課中的乙個題目,考的是有關安全機制和安全策略有關的方面,在專業課教材裡翻了好久沒有找到相關的內容,拿到複試的教材後發現才裡面有提到 於是今天拿出來總結一下好了安全策略是指在乙個特定的環境裡,為保證提供一定安全級別的安全保護所必須遵守的規則。主要包括以下內容 隨著應用環境的不同 實施客體的...
網路安全 PKI
網路安全 pki 我們都知道,計算機網路上沒有絕對的安全,所以為咯實現資料安全傳輸,只有通過各種加密傳輸盡可能保證資料完整性和真實性。常見的加密演算法有單向加密,對稱加密,非對稱加密。單向加密一般用於資料完整性 提取特徵碼 對稱加密速度快,一般用於資料加密 非對稱加密速度慢,一般只用於身份驗證。現在...
關於網路安全
如何查詢自己的 網路身份證 開始 執行 輸入cmd 確定 在彈出的視窗中輸入ipconfig all,回車即可檢視自己的計算機名,ip位址。地區級的網際網路序號產生器構 arin 北美 ripe 歐洲 apnic 亞太 本地級的網際網路序號產生器構 cnnic 中國 警惕網路上各種窺探 網路探測器 ...