特训营第二天项目实战案例

卓应2023-08-18 16:43
  • 防火墙理论知识(一定要记得)
  1. 防火墙的分类
  1. 包过滤防火墙

就是在路由器上写ACL

  1. 代理防火墙

相当于租房中介

缺点:速度慢

  1. 状态检测防火墙

一个数据包到达防火墙以后,如果策略允许通过,则放行。并建立状态化表项。

优点:处理后续的包速度快、安全性高

  1. 防火墙的模式

  2. 路由模式

  3. 透明模式

  4. 混合模式

  5. 区域划分

|-------------|---------|-------------|
| 防火墙区域类型 | 优先级 | 所连区域 |
| UNTRUST | 5 | 外网接口 |
| TRUST | 85 | 内网接口 |
| DMZ | 50 | 服务器 |
| LOCAL | 100 | 访问我防火墙本身的流量 |

Inbound 由低到高

Outbound 由高到低

注意:优先级范围为1-100

  • 实验拓扑

  • 实验需求

  • 实验配置

  1. 定义防火墙的区域类型

<SRG>system-view //进入到系统视图

SRGundo info-center enable //关闭中心输出命令

SRGsysname FW //名字叫FW

FWfirewall zone trust // 定义信任区域

FW-zone-trustadd interface g0/0/1 //把接口g0/0/1加入进去

FW-zone-trustquit

FWfirewall zone dmz //定义DMZ区域

FW-zone-dmzadd interface g0/0/3 //把接口g0/0/3加入进去

FW-zone-dmzquit

FWfirewall zone untrust //定义非信任区域

FW-zone-untrustadd interface g0/0/2 //把接口g0/0/2加入进去

FW-zone-untrustquit

  1. 配置防火墙的IP地址

FWinterface g0/0/1

FW-GigabitEthernet0/0/1ip address 172.16.2.1 24

FW-GigabitEthernet0/0/1quit

FWinterface g0/0/3

FW-GigabitEthernet0/0/3ip address 172.16.1.1 24

FW-GigabitEthernet0/0/3quit

FWinterface g0/0/2

FW-GigabitEthernet0/0/2ip address 100.1.1.1 24

FW-GigabitEthernet0/0/2quit

  1. 配置终端的IP地址

酒店客房电脑的配置

酒店网页服务器的配置

外网设备的配置

  1. 测试网络连通性

第一步:172.16.2.2是否可以访问172.16.1.2

通过以上输出可以看到不通,通过以下的命令放行

FWfirewall packet-filter default permit interzone trust untrust direction outbound

// trust的优先级为 85 untrust优先级为5 由高到低叫outbound 所以放行的是从trust到untrust的数据

FWfirewall packet-filter default permit interzone trust dmz direction outbound

// trust的优先级为 85 DMZ优先级为50 由高到低叫outbound 所以放行的是从trust到DMZ的数据

第二步:再测试一下

我们可以看到可以访问了

  1. NAT

FWnat-policy interzone trust untrust outbound //NAT策略是从信任区域到非信任区域

FW-nat-policy-interzone-trust-untrust-outboundpolicy 1 //策略1

FW-nat-policy-interzone-trust-untrust-outbound-1policy source any //下面所有的用户

FW-nat-policy-interzone-trust-untrust-outbound-1policy destination any //访问所有的网络

FW-nat-policy-interzone-trust-untrust-outbound-1action source-nat //作NAT

FW-nat-policy-interzone-trust-untrust-outbound-1easy-ip GigabitEthernet 0/0/2 //用esay IP

FW-nat-policy-interzone-trust-untrust-outbound-1quit

FW-nat-policy-interzone-trust-untrust-outboundquit

想要参加刘老师训练营的同学请加文章下方的VX,

相关推荐
The Straggling Crow6 小时前
Network
网络
yyuuuzz6 小时前
独立站的技术基础与常见运维问题
大数据·运维·服务器·网络·数据库·aws
Oll Correct9 小时前
实验二十九:TCP的运输连接管理
网络·笔记
Cheng小攸11 小时前
综合实验2
网络·windows
Soari12 小时前
SSH 主机密钥冲突
运维·网络·ssh
且听风吟_xincell13 小时前
用 TypeScript 从零写一个 TCP 聊天室(上)—— 网络编程入门实战
网络·tcp/ip·typescript
万法若空14 小时前
Libevent C语言开发完全教程:从入门到实战
c语言·网络
鹿鸣天涯15 小时前
kali 2026.1 vmware虚拟机内看不见鼠标处理方法
网络·计算机外设
蜡笔婧萱15 小时前
网络服务综合大实验--包含NFS服务器,Web服务器,DNS域名服务器
linux·服务器·网络
汽车仪器仪表相关领域16 小时前
Kvaser Hybrid CAN/LIN 单通道三合一总线分析仪:高性价比CAN FD/LIN集成测试利器
运维·服务器·网络·数据挖掘·数据分析·单元测试·集成测试
热门推荐
01GitHub 镜像站点02【AI】2026 年具身智能模型和世界模型总结03【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法042026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf05Codex 接入 DeepSeek API 完整配置文档06裂开!ChatGPT 居然开始要手机号验证,附详细解决方法07CC-Switch & Claude 基于 Linux 服务器安装使用指南08Codex 下载安装指南:Windows 和 macOS 官方版下载09几个好用的ip纯净度检测网站10DeepSeek V4 + Claude Code thinking mode 400 错误修复方案