策略防火墙

最新推荐文章于 2024-01-14 19:32:06 发布
最新推荐文章于 2024-01-14 19:32:06 发布
阅读量276 收藏 1
点赞数
原文链接:http://www.cnblogs.com/zhujinwei/p/10946388.html
版权
  1. 拓扑

 

  1. 地址表

Device

interface

IP Address

Subnet mask

Default Gateway

R1

F 0/0

172.20.1.1

/24

N/A

S0/0/0

10.20.1.1

/24

N/A

R2

S0/0/0

10.20.1.2

/24

N/A

S0/0/1

10.20.2.2

/24

N/A

R3

F 0/0

172.20.1.1

/24

N/A

S0/0/1

10.20.2.1

/24

N/A

PC-A

Fa0

172.20.1.2

/24

172.20.1.1

PC-C

Fa0

172.20.2.2

/24

172.20.2.1

(1)console密码和Vty密码

Router(config)#username zhu1 password zjw1        //console 密码

Router(config)#aaa authentication login default local

Router(config)#lin

Router(config)#line console 0

Router(config-line)#login authentication default

 

Router(config)#aaa authentication login ZTE local    //vty 密码

Router(config)#line vty 0 4

Router(config-line)#login authentication ZTE

Router(config-line)#end

 

(2)接口配置

与上实验相同,这里省略

(3)静态路由

与上实验相同,这里省略

  1. 验证基本网络联通性

(1)PC-A ping PC-C

 

(2)PC-C telnet R2的s0/0/1口

 

说明:如上,基本网络联通性完好。

  1. R3 创建一个区域防火墙

1)创建一个内部区域

R3(config)#zone security IN-ZONE

 

2)创建一个外部区域

R3(config-sec-zone)#zone security OUT-ZONE

R3(config-sec-zone)#exi

  1. 定义一个流量级别和访问

(1)创建一个用来定义内部流量的ACL

R3(config)#access-list 101 permit ip 172.20.2.0 0.0.0.255 any

(2)创建一个涉及内部流量ACL的class map

R3(config)#class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)#match access-group 101

R3(config-cmap)#exi

  1. 指定防火墙策略

1)创建一个策略图来确定对匹配的流量

R3(config)#policy-map type inspect IN-2-OUT-PMAP

2)定义一个检测级别类型和参考策略图。

R3(config-pmap)#class type inspect IN-NET-CLASS-MAP

3)定义检测策略图

R3(config-pmap-c)# inspect

R3(config-pmap-c)#exi

R3(config-pmap)# exit

 

 

  1. 应用防火墙策略

(1)创建一对区域

R3(config)#zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

(2)定义策略图来控制两个区域的流量。

R3(config-sec-zone-pair)#service-policy type inspect IN-2-OUT-PMAP

R3(config-sec-zone-pair)# exit

 R3(config)#

(3)把端口调用到合适的安全区域。

在端口的全局模式用zone-member security来把F0/1调用到IN-ZONE ,把S0/0/1调用到OUT-ZONE

R3(config)# interface fa0/1

R3(config-if)# zone-member security IN-ZONE

R3(config-if)# exit

 

R3(config)# interface s0/0/1

R3(config-if)# zone-member security OUT-ZONE

R3(config-if)# exit

 

 

 

 

  1. 测试从IN-ZONE到OUT-ZONE的防火墙功能

(1)PC-C ping PC-A服务器

 

(2)PC-Ctelnet到R2的s0/0/1口

 

 

(3)R3输show policy-map type inspect zone-pair sessions看完成情况。

 

结论:如上,内部到外部的防火墙功能完整,内部能够访问外部。

  1. 第七步 测试外部区域到内部区域的防火墙功能

1)验证配置ZPF之后外部无法访问内部。

 

2)R2 ping PC-C也ping不通

 

结论:如上,外部区域到内部区域的防火墙功能完整,外部不能访问内部。

转载于:https://www.cnblogs.com/zhujinwei/p/10946388.html

自我修炼的小石头
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
天融信防火墙策略配置方法
06-15
天融信防火墙策略配置方法 cisco设备: 1.创建ACL规则 ip access-list extended 445 deny tcp any any eq 445 deny tcp any any eq 135 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any ...
配置区域策略防火墙.pkt
10-29
配置区域策略防火墙.pkt
Packet Tracer - 配置区域策略防火墙
傻傻的心动的博客
05-29 1853
Packet Tracer - 配置区域策略防火墙
第三组_16通信一班_085_防火墙技术
weixin_34228617的博客
05-21 319
实验一 实验环境 ENSP模拟器 实验拓扑 图1-1 IP地址规划 设备 接口 地址 掩码 网关 R1 GE0/0/0 172.16.85.1 255.255.255.0 N/A GE0/0/1...
防火墙开启指定端口,查询指定端口号是否被占用
zpf1813763637的博客
12-10 625
1,查看指定端口号被哪个进程占用了,注意是端口号而不是pid。例如MySQL默认占用端口号是3306 lsof -i:3306 #或者 netstat -tunlp | grep 3306 在配置远程连接阿里云上的MySQL时就遇到了个很坑的问题,之前我要么是关闭防火墙,要么是通过80端口部署的网站,操作网站数据,间接操作了MySQL。今天我既忘了关闭防火墙,又想直连MySQL,弄了一会一直连不上,才想起来端口没开放。 2,查询指定端口防火墙是否对外开放了,例如查看MySQL默认端口3306是否对外开
防火墙技术 配置基于区域策略防火墙
weixin_34275734的博客
05-24 554
配置基于区域策略防火墙 拓扑以及地址规划 实验前确保网络连通 service-0 ping通PC-0 创建一个内部区域。 R2(config)# zone security IN-ZONE R2(config-sec-zone)# zone security OUT-ZONE R2(config-sec-zone)# exit 创建一个用来定义内部流量的AC...
CCNA安全综合训练配置
yyrnmh的博客
07-16 5788
配置路由器基本安全 ·R1上配置如下内容: o密码最小长度为10个字符 R1(config)#security passwords min-length 10 o加密所有的明文密码 R1(config)#service password-encryption o特权模式密码为ciscoenapa55 R1(config)#enable secret ciscoenapa55 o控制台密码为ciscoconpa55,超时为15分钟. R1(config)#line con...
Packet Tracer - 配置基于区域的策略防火墙 (ZPF)
傻傻的心动的博客
05-08 5545
Packet Tracer - 配置基于区域的策略防火墙 (ZPF)
防火墙安全策略
weixin_49283635的博客
01-14 1352
Interface: GigabitEthernet1/0/2 NextHop: 10.1.3.2 MAC: 00e0-fcb0-3b49 // 流量的出接口,下一跳的IP地址、下一跳的mac地址。Zone: trust --> internet TTL: 00:00:20 Left: 00:00:13 //区域 TTL指的是该会话表的存活时间 ,left指的是存活的剩余时间。对于防火墙始发的或者抵达防火墙自身的OSPF/BGP/DHCP/IP-Link等流量,不受安全策略的限制。
防火墙策略
weixin_59280309的博客
04-04 5712
定义与原理: 防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以 进行合法的通信。 安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的 数据流进行检验,符合安全策略的合法数据流才能通过防火墙。 ...
防火墙策略
windy_12138的博客
09-09 4646
防火墙
防火墙NAT策略
sjsjshhs134654的博客
11-14 772
一个范围私网地址对应一个公网IP地址的多个端口(该公网地址是公司出口路由器IP地址)一个范围私网地址对应一个公网IP地址的多个端口(该公网非公司出口路由器公网IP)一个私网地址的一个端口对应一个公网地址的一个端口(一般用于外网访问内网服务器)一个范围私网地址对应一个范围的公网地址。一个私网地址对应一个公网地址。
超市局域网安全策略防火墙篇借鉴.pdf
03-02
超市局域网安全策略防火墙篇借鉴.pdf
基于区域的策略防火墙ZFW配置.pdf
11-20
基于区域的策略防火墙ZFW配置.pdf
华为防火墙安全策略基础
09-16
安全策略基础
python爬虫数据可视化-10-where条件语句-模糊查询.ev4.rar
05-31
python爬虫数据可视化-10-where条件语句-模糊查询.ev4.rar
train.csv
最新发布
05-31
train
Golang(Gin框架)+websocket 实现的多人聊天室+代码+详细文档
05-31
Golang(Gin框架)+websocket 实现的多人聊天室+代码+详细文档
用于艾默生、维蒂APM300等UPS主机管理设置软件
05-31
用于艾默生、维蒂APM300等UPS主机管理设置软件
天融信防火墙策略配置
07-28
天融信防火墙策略配置可以按照以下步骤进行: 1. 首先,在防火墙的管理界面中,进入防火墙的访问控制设置。 2. 在访问控制设置中,选择添加策略,并按照提供的图示填写一条策略。 3. 在填写策略的过程中,需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值