特训营第二天项目实战案例

卓应2023-08-18 16:43
  • 防火墙理论知识(一定要记得)
  1. 防火墙的分类
  1. 包过滤防火墙

就是在路由器上写ACL

  1. 代理防火墙

相当于租房中介

缺点:速度慢

  1. 状态检测防火墙

一个数据包到达防火墙以后,如果策略允许通过,则放行。并建立状态化表项。

优点:处理后续的包速度快、安全性高

  1. 防火墙的模式

  2. 路由模式

  3. 透明模式

  4. 混合模式

  5. 区域划分

|-------------|---------|-------------|
| 防火墙区域类型 | 优先级 | 所连区域 |
| UNTRUST | 5 | 外网接口 |
| TRUST | 85 | 内网接口 |
| DMZ | 50 | 服务器 |
| LOCAL | 100 | 访问我防火墙本身的流量 |

Inbound 由低到高

Outbound 由高到低

注意:优先级范围为1-100

  • 实验拓扑

  • 实验需求

  • 实验配置

  1. 定义防火墙的区域类型

<SRG>system-view //进入到系统视图

[SRG]undo info-center enable //关闭中心输出命令

[SRG]sysname FW //名字叫FW

[FW]firewall zone trust // 定义信任区域

[FW-zone-trust]add interface g0/0/1 //把接口g0/0/1加入进去

[FW-zone-trust]quit

[FW]firewall zone dmz //定义DMZ区域

[FW-zone-dmz]add interface g0/0/3 //把接口g0/0/3加入进去

[FW-zone-dmz]quit

[FW]firewall zone untrust //定义非信任区域

[FW-zone-untrust]add interface g0/0/2 //把接口g0/0/2加入进去

[FW-zone-untrust]quit

  1. 配置防火墙的IP地址

[FW]interface g0/0/1

[FW-GigabitEthernet0/0/1]ip address 172.16.2.1 24

[FW-GigabitEthernet0/0/1]quit

[FW]interface g0/0/3

[FW-GigabitEthernet0/0/3]ip address 172.16.1.1 24

[FW-GigabitEthernet0/0/3]quit

[FW]interface g0/0/2

[FW-GigabitEthernet0/0/2]ip address 100.1.1.1 24

[FW-GigabitEthernet0/0/2]quit

  1. 配置终端的IP地址

酒店客房电脑的配置

酒店网页服务器的配置

外网设备的配置

  1. 测试网络连通性

第一步:172.16.2.2是否可以访问172.16.1.2

通过以上输出可以看到不通,通过以下的命令放行

[FW]firewall packet-filter default permit interzone trust untrust direction outbound

// trust的优先级为 85 untrust优先级为5 由高到低叫outbound 所以放行的是从trust到untrust的数据

[FW]firewall packet-filter default permit interzone trust dmz direction outbound

// trust的优先级为 85 DMZ优先级为50 由高到低叫outbound 所以放行的是从trust到DMZ的数据

第二步:再测试一下

我们可以看到可以访问了

  1. NAT

[FW]nat-policy interzone trust untrust outbound //NAT策略是从信任区域到非信任区域

[FW-nat-policy-interzone-trust-untrust-outbound]policy 1 //策略1

[FW-nat-policy-interzone-trust-untrust-outbound-1]policy source any //下面所有的用户

[FW-nat-policy-interzone-trust-untrust-outbound-1]policy destination any //访问所有的网络

[FW-nat-policy-interzone-trust-untrust-outbound-1]action source-nat //作NAT

[FW-nat-policy-interzone-trust-untrust-outbound-1]easy-ip GigabitEthernet 0/0/2 //用esay IP

[FW-nat-policy-interzone-trust-untrust-outbound-1]quit

[FW-nat-policy-interzone-trust-untrust-outbound]quit

想要参加刘老师训练营的同学请加文章下方的VX,

相关推荐
小松学前端2 小时前
第六章 7.0 LinkList
java·开发语言·网络
城南vision2 小时前
计算机网络——TCP篇
网络·tcp/ip·计算机网络
Ciderw2 小时前
块存储、文件存储和对象存储详细介绍
网络·数据库·nvme·对象存储·存储·块存储·文件存储
Tony聊跨境3 小时前
独立站SEO类型及优化:来检查这些方面你有没有落下
网络·人工智能·tcp/ip·ip
2403_875736874 小时前
道品科技智慧农业中的自动气象检测站
网络·人工智能·智慧城市
Tassel_YUE6 小时前
网络自动化04:python实现ACL匹配信息(主机与主机信息)
网络·python·自动化
Diamond技术流6 小时前
从0开始学习Linux——网络配置
linux·运维·网络·学习·安全·centos
Spring_java_gg6 小时前
如何抵御 Linux 服务器黑客威胁和攻击
linux·服务器·网络·安全·web安全
方方怪7 小时前
与IP网络规划相关的知识点
服务器·网络·tcp/ip
weixin_442643428 小时前
推荐FileLink数据跨网摆渡系统 — 安全、高效的数据传输解决方案
服务器·网络·安全·filelink数据摆渡系统
热门推荐
01如何才能让手机厂商主动拥抱华为,接入鸿蒙系统?02【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总03组基轨迹建模 GBTM的介绍与实现(Stata 或 R)04基于YOLOv10深度学习的CT扫描图像肾结石智能检测系统【python源码+Pyqt5界面+数据集+训练代码】深度学习实战、目标检测05(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明06【经验分享】Ubuntu22.04安装微信(linux官方版)07【TC3xx芯片】TC3xx芯片电源管理系统PMS详解08全面解析:构建基于深度学习的安全帽检测系统(UI界面+YOLO代码+数据集)09RAG 实践- Ollama+RagFlow 部署本地知识库10你还在傻傻的打开页面输用户名和密码?来我教你实现自动化