防火墙
1.配置防火墙:
int g1/0/3
ip add 192.168.3.2
service-manage enable
service-manage all permit
把接口画进zone区域:
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface gig1/0/3
此时防火墙起来:
6.dmz区域内测试,不能ping通
g1/0/0和g1/0/1接口划入dmz区域 并开启功能
[USG6000V1-GigabitEthernet1/0/0]dis this
2019-08-28 12:37:32.860
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 19.16.1.1 255.255.255.0
service-manage enable
service-manage all permit
interface GigabitEthernet1/0/1
undo shutdown
ip address 20.16.1.1 255.255.255.0
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]dis this
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/0
add interface GigabitEthernet1/0/1
#
此时pc1和 service 1 2 是通的
做策略:
[USG6000V1-policy-security-rule-permit_dmz_dmz]dis this
2019-08-28 12:46:46.920
#
rule name permit_dmz_dmz
source-zone dmz
destination-zone dmz
source-address 19.16.1.0 mask 255.255.255.0
destination-address 20.16.1.0 mask 255.255.255.0
service icmp
action deny
此时pc1和 service 1 2 是不通的
1.trust访问DMZ的http
[USG6000V1-GigabitEthernet1/0/2]dis this
2019-08-28 12:56:56.860
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 22.1.1.1 255.255.255.0
[USG6000V1-zone-trust]dis this
2019-08-28 12:57:23.740
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/2
add interface GigabitEthernet1/0/3
#
return
[USG6000V1-policy-security-rule-permit_trust_dmz]dis this
2019-08-28 12:56:21.860
#
rule name permit_trust_dmz
source-zone trust
destination-zone dmz
source-address 22.1.1.0 mask 255.255.255.0
destination-address 19.16.1.0 mask 255.255.255.0
destination-address 20.16.1.0 mask 255.255.255.0
service http
service icmp
action permit
2.untrust访问DMZ的http
配置静态,配置策略,防火墙 口的配置
交换机1:
interface Vlanif10
ip address 101.1.1.1 255.255.255.0
#
interface Vlanif20
ip address 202.1.1.1 255.255.255.0
#
interface Vlanif30
ip address 203.1.1.1 255.255.255.0
#
interface Vlanif100
ip address 33.1.1.1 255.255.255.0
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 30
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 100
ip route-static 0.0.0.0 0.0.0.0 33.1.1.2
ip route-static 19.16.1.0 255.255.255.0 33.1.1.2
ip route-static 20.16.1.0 255.255.255.0 33.1.1.2
ip route-static 22.1.1.0 255.255.255.0 33.1.1.2
#
user-interface con 0
user-interface vty 0 4
R1:
interface GigabitEthernet0/0/0
ip address 33.1.1.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 22.1.1.3 255.255.255.0
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
ip route-static 19.16.1.0 255.255.255.0 22.1.1.2
ip route-static 20.16.1.0 255.255.255.0 22.1.1.2
ip route-static 101.1.1.0 255.255.255.0 33.1.1.1
ip route-static 202.1.1.0 255.255.255.0 33.1.1.1
ip route-static 203.1.1.0 255.255.255.0 33.1.1.1
FW:
ip route-static 0.0.0.0 0.0.0.0 22.1.1.3
ip route-static 33.1.1.0 255.255.255.0 22.1.1.3
ip route-static 101.1.1.0 255.255.255.0 22.1.1.3
ip route-static 202.1.1.0 255.255.255.0 22.1.1.3
ip route-static 203.1.1.0 255.255.255.0 22.1.1.3
rule name permit_untrust_dmz
source-zone untrust
destination-zone dmz
source-address 101.1.1.100 mask 255.255.255.255
destination-address 19.16.1.2 mask 255.255.255.255
destination-address 20.16.1.0 mask 255.255.255.0
service http
service icmp
action permit
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/0
注意zone口的划分。
3.DMZ的PC2能够和VLAN10通信
rule name permit_dmz_untrust
source-zone dmz
destination-zone untrust
source-address 19.16.1.0 mask 255.255.255.0
destination-address 101.1.1.0 mask 255.255.255.0
service http
service icmp
action permit
策略不可以双向通;
要想防火墙通别人,写策略
4.防火墙能ping通trust的中client1
[USG6000V1-policy-security-rule-permit_local_trust]dis this
2019-08-29 08:45:08.510
#
rule name permit_local_trust
source-zone local
destination-zone trust
source-address 23.1.1.0 mask 255.255.255.0
destination-address 23.1.1.0 mask 255.255.255.0
service http
service icmp
action permit
#
return
源zone区域为local
5.防火墙能够telnet到AR1
AR1:
做个aaa认证:
aaa
local-user qqq password cipher %$%$&LR6E7OJzVkDhT&/8=5UEmdJ%$%$
local-user qqq privilege level 15
local-user qqq service-type telnet
调用:
user-interface vty 0 4
authentication-mode aaa
protocol inbound all
.防火墙:
rule name permit_local_untrust
source-zone local
destination-zone untrust
service icmp
service telnet
action permit
7.trust client1能够FTP到dmz的serve2
开启ftp服务:
[USG6000V1-policy-security-rule-permit_trust_dmz]dis thi
2019-08-29 09:37:08.820
#
rule name permit_trust_dmz
source-zone trust
destination-zone dmz
source-address 23.1.1.0 mask 255.255.255.0
destination-address 19.16.1.0 mask 255.255.255.0
destination-address 20.16.1.0 mask 255.255.255.0
service ftp
service http
service icmp
action permit
#
return
---恢复内容结束---
原文地址:https://www.cnblogs.com/mqqq/p/11430913.html
- WordPress中借助.htaccess屏蔽某个IP或某个IP段(防垃圾评论)
- ASP.NET 调味品:AJAX
- CTreeCtrl 控件使用总结
- 高盛成立交易部门,涉足比特币和加密货币交易
- WordPress主题开发:添加主题更新提醒功能
- WordPress主题开发:添加主题更新提醒功能
- ASP.NET2.0应用中定制安全凭证之实践篇
- Kaggle大神带你上榜单Top2%:点击预测大赛纪实(下)
- WordPress主题后台选项开发框架 Options Framework 介绍
- vc++ 在程序中运行另一个程序的方法
- 为Options Framework主题后台框架添加后台侧边栏
- ClistCtrl用法及总结(由怎样隐藏ListCtrl列表头的排序小三角形这个bug学习到的知识)
- 弹出式模态窗体选择文本控件
- zookeeper 分布式锁服务
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- TS 4.1 新特性实现 Vuex 无限层级命名空间的 dispatch 类型推断。
- egg.js踩坑记录(一)开始篇
- VUI创建日志(二)——防抖节流组件的实现
- 为你的VuePress博客添加GitTalk评论
- Go 中 Set 的实现方式
- Go 译文之词法分析与解析 Part Three
- React-Native踩坑记
- 【译】成为优秀程序员(和人类)的101个技巧
- 谈谈ES6语法(汇总中篇)
- 谈谈ES6语法(汇总下篇)
- [译] JS 中 service workers 的简介
- 【译】如何大大简化你的Vuex Store
- 挑选 npm 模块很费事?掌握这些技巧就能事半功倍!
- 【译】前端 VS 后端
- 【译】9个强大的JavaScript技巧