- Conocimiento teórico de firewall (debe recordar)
- Clasificación de cortafuegos
- cortafuegos de filtrado de paquetes
Simplemente escriba la ACL en el enrutador
- cortafuegos proxy
Equivalente a una agencia de alquiler
Desventajas: lento
- Cortafuegos de inspección con estado
Después de que un paquete de datos llega al cortafuegos, si la política permite que pase, se le permitirá pasar. Y crea una entrada con estado.
Ventajas: procesamiento rápido de paquetes posteriores, alta seguridad
- modo cortafuegos
- patrón de enrutamiento
- modo transparente
- modo de mezcla
- división regional
| tipo de zona de cortafuegos |
prioridad |
área conectada |
| DESCONFIAR |
5 |
Interfaz de red externa |
| CONFIANZA |
85 |
interfaz intranet |
| DMZ |
50 |
servidor |
| LOCAL |
100 |
tráfico a mi propio cortafuegos |
Entrante de menor a mayor
Saliente de mayor a menor
Nota: La prioridad varía de 1 a 100
- topología experimental
- Requisitos experimentales
- Configuración experimental
- Definir el tipo de zona del cortafuegos
<SRG>system-view // Entrar en la vista del sistema
[SRG] deshacer la habilitación del centro de información // Cerrar el comando de salida del centro
[SRG]sysname FW // El nombre es FW
[FW]firewall zone trust // Definir la zona de confianza
[FW-zone-trust]añadir interfaz g0/0/1 // añadir interfaz g0/0/1
[FW-zone-trust]salir
[FW]firewall zone dmz // Definir el área DMZ
[FW-zone-dmz]añadir interfaz g0/0/3 // añadir interfaz g0/0/3
[FW-zone-dmz]salir
[FW]firewall zone untrust // Definir una zona no confiable
[FW-zone-untrust]añadir interfaz g0/0/2 // añadir interfaz g0/0/2
[FW-zone-untrust]salir
- Configurar la dirección IP del cortafuegos
[FW]interfaz g0/0/1
[FW-GigabitEthernet0/0/1]dirección IP 172.16.2.1 24
[FW-GigabitEthernet0/0/1]salir
[FW]interfaz g0/0/3
[FW-GigabitEthernet0/0/3] dirección IP 172.16.1.1 24
[FW-GigabitEthernet0/0/3]salir
[FW]interfaz g0/0/2
[FW-GigabitEthernet0/0/2]dirección IP 100.1.1.1 24
[FW-GigabitEthernet0/0/2]salir
- Configurar la dirección IP del terminal
Configuración de la computadora de la habitación del hotel
Configuración del servidor web del hotel
Configuración de equipos de red externos
- Probar la conectividad de la red
El primer paso: si 172.16.2.2 puede acceder a 172.16.1.2
A través de la salida anterior, puede ver que no funciona y déjelo ejecutar el siguiente comando
[FW]permiso predeterminado del filtro de paquetes del cortafuegos entre zonas confianza desconfianza dirección saliente
// La prioridad de confianza es 85 y la prioridad de desconfianza es 5. Se llama salida de mayor a menor, por lo que se liberan los datos de confianza a desconfianza
[FW]permiso predeterminado del filtro de paquetes del cortafuegos dirección dmz de confianza entre zonas saliente
// La prioridad de confianza es 85 y la prioridad de DMZ es 50. Se llama salida de mayor a menor, por lo que se liberan los datos de confianza a DMZ.
Paso 2: Pruébalo de nuevo
Vemos que podemos acceder
- NAT
[FW]nat-policy interzone trust untrust outbound // La política NAT es de una zona de confianza a una zona que no es de confianza
[FW-nat-policy-interzone-trust-untrust-outbound]policy 1 //策略1
[FW-nat-policy-interzone-trust-untrust-outbound-1]policy source any // Todos los usuarios a continuación
[FW-nat-policy-interzone-trust-untrust-outbound-1]policy destino any // Acceder a todas las redes
[FW-nat-policy-interzone-trust-untrust-outbound-1]action source-nat //作NAT
[FW-nat-policy-interzone-trust-untrust-outbound-1]easy-ip GigabitEthernet 0/0/2 //用esay IP
[FW-nat-policy-interzone-trust-untrust-outbound-1]salir
[FW-nat-policy-interzone-trust-untrust-outbound]salir
Los estudiantes que quieran participar en el campo de entrenamiento del maestro Liu, agreguen VX al final del artículo,