防火牆簡單實驗

2021-10-24 20:09:39 字數 4138 閱讀 1790

總結

# ar1


int g0/0/0


ip ad 172.16.1.254 24


int g0/0/2


ip ad 192.168.1.254 24


int g0/0/1


ip ad 10.1.12.1 24


# fw


int g0/0/0


ip ad 192.168.43.3 24 //這裡配置與橋接的網絡卡的位址同乙個網段的ip


int g1/0/0


ip ad 10.1.12.2 24


int g1/0/1


ip ad 12.1.1.1 24


int g1/0/2


ip ad 13.1.1.1 24


# ar2


int g0/0/0


ip ad 12.1.1.2 24


int g0/0/1


ip ad 2.2.2.254 24


int g0/0/2


ip ad 2.2.1.254 24
如果需要使用web管理介面管理,需要在防火牆的g0/0/0介面下開啟web管理service-manage all permit

# ar1


ip route-static 0.0.0.0 0 10.1.12.2 //配置預設路由,也可以寫明細路由


# ar2


ip route-static 0.0.0.0 0 12.1.1.1


# ar3


ip route-static 0.0.0.0 0 13.1.1.1


# fw


ip route-static 3.3.3.0 24 13.1.1.3


ip route-static 2.2.0.0 22 12.1.1.2


ip route-static 192.168.1.0 24 10.1.12.1


ip route-static 172.16.1.0 24 10.1.12.1


# fw


firewall zone trust


add int g 1/0/0


qfirewall zone untrust


add int g 1/0/2


qfirewall zone dmz


add int g 1/0/1


q
# fw


security-policy


rule name tr_un


source-zone trust


destination-zone untrust


source-address 172.16.1.0 24 //也可以精確匹配


source-address 192.168.1.0 24


action permit


rule name tr_dmz


source-zone trust


destination-zone dmz


source-address 172.16.1.0 24


source-address 192.168.1.0 24


action permit


rule name un_dmz


source-zone untrust


destination-zone dmz


source-address 3.3.3.0 24


action permit


rule name dmz_tr


source-zone dmz


destination-zone trust


source-address 2.2.0.0 22


action permit


rule name dmz_un


source-zone dmz


destination-zone untrust


source-address 2.2.0.0 22


action permit


# fw


nat address-group 1


mode no-pat local //不使用一對一對映,不做埠轉換


route enable


section 0 100.1.1.1 100.1.1.10 //公網對映的位址範圍


# fw


nat-policy


rule name 1


source-zone trust


destination-zone untrust


source-address 172.16.1.0 24 //可以寫精確位址


source-address 192.168.1.0 24


destination-address 3.3.3.0 24


action source-nat address-group 1 //對源做nat位址轉換


action source-nat easy-ip //使用easy-ip 做位址轉換
通過命令dis firewall session table檢視位址轉換的表項

通過抓包檢視

destination-address 2.2.1.0 24 //可以配置精確位址也可以不配置

action permit

配置server 1的ftp服務,使用給client 2訪問

檢視防火牆上的會話表資訊dis firewall session table

配置http相同的配置nat server

拓展

檢查路由器以及防火牆的路由表dis ip routing-table檢視是否有去往目的網段的路由,沒有則檢查靜態路由配置

有路由,檢查防火牆的安全策略以及介面的區域規劃

檢查在ar3上是否配置了回防火牆的靜態路由

可以通過dis firewall session table檢視地列表會話址轉換

如果無法訪問server端的服務,檢查server端的服務是否啟動

以上內容均屬原創,如有不詳或錯誤,敬請指出。
壞壞

防火牆簡單實驗

總結 ar1 int g0 0 0 ip ad 172.16.1.254 24 int g0 0 2 ip ad 192.168.1.254 24 int g0 0 1 ip ad 10.1.12.1 24 fw int g0 0 0 ip ad 192.168.43.3 24 這裡配置與橋接的網絡...

虛擬防火牆簡單實驗

熟悉雙機熱備原理 雙機熱備組網規劃 pc1訪問外網 防火牆配置介面加區域,注意 給虛擬防火牆的介面會被初始化,所以不用配 inte ce gigabitethernet1 0 0ip address 200.1 1.1 255.255 255 240 firewall zone trust 左邊介面...

防火牆 防火牆安全

作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...