特训营第二天项目实战案例

卓应2023-08-18 16:43
  • 防火墙理论知识(一定要记得)
  1. 防火墙的分类
  1. 包过滤防火墙

就是在路由器上写ACL

  1. 代理防火墙

相当于租房中介

缺点:速度慢

  1. 状态检测防火墙

一个数据包到达防火墙以后,如果策略允许通过,则放行。并建立状态化表项。

优点:处理后续的包速度快、安全性高

  1. 防火墙的模式

  2. 路由模式

  3. 透明模式

  4. 混合模式

  5. 区域划分

|-------------|---------|-------------|
| 防火墙区域类型 | 优先级 | 所连区域 |
| UNTRUST | 5 | 外网接口 |
| TRUST | 85 | 内网接口 |
| DMZ | 50 | 服务器 |
| LOCAL | 100 | 访问我防火墙本身的流量 |

Inbound 由低到高

Outbound 由高到低

注意:优先级范围为1-100

  • 实验拓扑

  • 实验需求

  • 实验配置

  1. 定义防火墙的区域类型

<SRG>system-view //进入到系统视图

SRG\]undo info-center enable //关闭中心输出命令 \[SRG\]sysname FW //名字叫FW \[FW\]firewall zone trust // 定义信任区域 \[FW-zone-trust\]add interface g0/0/1 //把接口g0/0/1加入进去 \[FW-zone-trust\]quit \[FW\]firewall zone dmz //定义DMZ区域 \[FW-zone-dmz\]add interface g0/0/3 //把接口g0/0/3加入进去 \[FW-zone-dmz\]quit \[FW\]firewall zone untrust //定义非信任区域 \[FW-zone-untrust\]add interface g0/0/2 //把接口g0/0/2加入进去 \[FW-zone-untrust\]quit 1. 配置防火墙的IP地址 \[FW\]interface g0/0/1 \[FW-GigabitEthernet0/0/1\]ip address 172.16.2.1 24 \[FW-GigabitEthernet0/0/1\]quit \[FW\]interface g0/0/3 \[FW-GigabitEthernet0/0/3\]ip address 172.16.1.1 24 \[FW-GigabitEthernet0/0/3\]quit \[FW\]interface g0/0/2 \[FW-GigabitEthernet0/0/2\]ip address 100.1.1.1 24 \[FW-GigabitEthernet0/0/2\]quit 1. 配置终端的IP地址 酒店客房电脑的配置 ![](https://file.jishuzhan.net/article/1692457154004389889/6e19fbc9fe2749ba9076785547c347cb.png) 酒店网页服务器的配置 ![](https://file.jishuzhan.net/article/1692457154004389889/72cf0724360d4de0814c9a441d82055a.png) 外网设备的配置 ![](https://file.jishuzhan.net/article/1692457154004389889/c63eeef3664a434380bf448203e82cfb.png) 1. 测试网络连通性 第一步:172.16.2.2是否可以访问172.16.1.2 ![](https://file.jishuzhan.net/article/1692457154004389889/0eac308ce2fb471dbc458f099a50de7f.png) 通过以上输出可以看到不通,通过以下的命令放行 \[FW\]firewall packet-filter default permit interzone trust untrust direction outbound // trust的优先级为 85 untrust优先级为5 由高到低叫outbound 所以放行的是从trust到untrust的数据 \[FW\]firewall packet-filter default permit interzone trust dmz direction outbound // trust的优先级为 85 DMZ优先级为50 由高到低叫outbound 所以放行的是从trust到DMZ的数据 第二步:再测试一下 ![](https://file.jishuzhan.net/article/1692457154004389889/72ba5070d1b841b7af253d8255ad687c.png) 我们可以看到可以访问了 1. NAT \[FW\]nat-policy interzone trust untrust outbound //NAT策略是从信任区域到非信任区域 \[FW-nat-policy-interzone-trust-untrust-outbound\]policy 1 //策略1 \[FW-nat-policy-interzone-trust-untrust-outbound-1\]policy source any //下面所有的用户 \[FW-nat-policy-interzone-trust-untrust-outbound-1\]policy destination any //访问所有的网络 \[FW-nat-policy-interzone-trust-untrust-outbound-1\]action source-nat //作NAT \[FW-nat-policy-interzone-trust-untrust-outbound-1\]easy-ip GigabitEthernet 0/0/2 //用esay IP \[FW-nat-policy-interzone-trust-untrust-outbound-1\]quit \[FW-nat-policy-interzone-trust-untrust-outbound\]quit 想要参加刘老师训练营的同学请加文章下方的VX,

相关推荐
嘻哈baby1 小时前
DDNS动态域名解析方案对比与实战配置
网络
捷米研发三部2 小时前
Profinet转ModbusTCP网关:实现西门子1200PLC与打标卡稳定通讯
网络
課代表3 小时前
Windows 系统中查看已保存的WiFi密码
网络·windows·wifi·路由·netsh·无线·命令提示符
猫天意4 小时前
【即插即用模块】AAAI2026 | MHCB+DPA:特征提取+双池化注意力,涨点必备,SCI保二争一!彻底疯狂!!!
网络·人工智能·深度学习·算法·yolo
她是太阳,好耀眼i4 小时前
配置FTP目录文件以http网址方式访问并下载
网络·网络协议·http
chenyuhao20244 小时前
Linux系统编程:Ext文件系统
linux·运维·服务器·开发语言·网络·c++·后端
忆_恒心4 小时前
eNSP仿真模拟之VLAN技术(下)
网络·计算机网络·vlan·虚拟局域网
毕设源码-郭学长4 小时前
【开题答辩全过程】以 基于微服务的网络运维管理系统设计与实现为例,包含答辩的问题和答案
运维·网络·微服务
sc.溯琛5 小时前
数据链路层复习总结
网络·网络协议·智能路由器
开开心心_Every5 小时前
Word转PDF工具,免费生成图片型文档
网络·笔记·pdf·word·powerpoint·excel·azure
热门推荐
01GitHub 镜像站点02【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)03【AutoGLM部署】本地私有化部署AI手机Agent04UV安装并设置国内源05Open-AutoGLM Windows 安装部署教程06Linux下V2Ray安装配置指南07BongoCat - 跨平台键盘猫动画工具08安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)09Cursor 又偷偷更新,这个功能太实用:Visual Editor for Cursor Browser10Windows 11 官方系统安装与重装完整教程(2025年最新版)