juniper防火牆劃分三個埠:
1.e0/0連線內網網路,網段是172.16.1.0/24,e0/0的埠ip位址是172.16.1.1,作為內網網路的閘道器
2.e0/1連線dmz區域,網段是172.16.2.0/24,e0/1的埠ip位址是172.16.2.1,作為dmz的閘道器
3.e0/2連線外網區域,網段是202.202.202.0/24,e0/2的埠ip位址是202.202.202.202,同時配置預設路由,指向202.202.202.1
劃分為三個不同區域,策略如下:
1.e0/0是trust區域,trust區域能夠訪問dmz和untrust區域
2.e0/1是dmz區域,dmz區域能夠訪問trust和untrust區域
3.e0/2是untrust區域,untrust區域能夠訪問dmz區域
pc連線到交換機上,交換機的有個埠連線到juniper防火牆的e0/0埠,pc的ip位址是172.16.1.5,閘道器是172.16.1.1,伺服器連線到交換機上,交換機的有個埠連線到juniper防火牆的e0/1埠,伺服器的ip位址是172.16.2.5,閘道器是172.16.2.1配置完成後,出現了以下問題:
1.pc能夠ping通172.16.1.1,也能夠ping通202.202.202.202,也能夠上網,但是不能ping通172.16.2.1
2.伺服器也能夠ping通172.16.2.1,也能夠ping通202.202.202.202,也能夠上網,但是不能ping通172.16.1.1
為了找出問題所在,在策略裡面增加日誌記錄功能,發現和dmz區域通訊時,相應的策略並沒有任何的日誌記錄,判斷資料並沒有到達juniper或者juniper對資料進行了過濾。
後來發現是pc的掩碼配置錯誤,應該為255.255.255.0,配置錯誤為255.255.0.0。和dmz區域(172.16.2.0/24)通訊時誤以為和自己是乙個網段的,所以會arp廣播查詢mac位址,但是廣播包無法通過juniper的三層口。即使有mac位址,172.16.1.5和172.16.2.5通訊時,二層源mac位址是172.16.1.5的mac位址,目的mac位址是172.16.2.5的mac位址。這個包發給交換機後,由於沒有該mac位址對應的埠,會從所有埠洪氾此包,到達juniper後,發現目的mac位址並不屬於自己的,會進行丟棄處理,所以通訊仍不能建立。
防火牆學習筆記之防火牆概述
1 邏輯區域過濾器,將網路區域分成兩大部分,被防火牆保護的區域 信任區,另外乙個區域為非信任區 2 隱藏內網網路結構 3 自身安全保障 4 主動防禦攻擊 根據訪問控制方式,可以分為包過濾防火牆,防火牆,狀態監測防火牆,前兩種已經被淘汰,1 包過濾防火牆 根據五元組 源目ip 源目埠號 協議 通過在防...
防火牆之危
電影名 防火牆 導演 理查德 隆克瑞恩 編劇 joe forte 主演 哈里森 福特 保羅 貝坦尼 維吉妮婭 馬德森 卡莉 許洛德 吉公尺 本內特 型別 驚悚 犯罪 官方 製片國家 地區 美國 澳大利亞 語言 英語 上映日期 2006 02 02 片長 105 分鐘 又名 錯誤元素 影片講述了乙個年...
ubuntu之ufw防火牆
ufw 是ubuntu下的乙個主機端的iptables類防火牆配置工具 底層呼叫iptables來處理 這個工具的目的是提供給使用者乙個可以輕鬆駕馭的介面,就像包整合和動態檢測開放的埠一樣。雖然功能較簡單,但對桌面型應用來說比較實用,基本常用功能都有,使用也較為容易。1.在 ubuntu 中安裝uf...