ルータ/ファイアウォールの原理3

免責事項：この記事はブロガーオリジナル記事です、続くBY-SAのCC 4.0を著作権契約、複製、元のソースのリンクと、この文を添付してください。

このリンク： https://blog.csdn.net/qq_30787727/article/details/100060393

日本に、長く、忍耐力は、リモートに達しありません！ジンXiaxinは、良い姿勢を維持
=====================================
ポートミラーリング：レビュー
          ARPスプーフィングの原則を         

1、ルータとして----- ON /転送
     ファイアウォール制御動作----- /予防

2、開発ファイアウォールの歴史

     UTMファイアウォールを検出するパケットフィルタリングエージェントは----- ------ ------発生状態------

3、ファイアウォール製品
      USG2000 
      USG5000 ---- UTMの
      USG6000 ----次世代ファイアウォール
      USG9500 ---- ----ハイエンド政府、オプトエレクトロニクス

4、ファイアウォールのテスト環境：
           - ENSP（防護壁のインポートパッケージ） - 2文字のパスワード8以上
           - IP int型BRIインターフェース情報はDISファイアウォールの確認  
           管理インターフェイスG0 / 0/0デフォルトIP 192.168 - 。 0.1     
           - G0 / 0/0アドレス競合しない、独自の仮想コンピュータのネットワークカードIPファイアウォールを表示して行う 
  
           （例えばVM1の両方として）同じで添加ネットワーククラウドVMの仮想NICとKALIシステム-
              G0テストKALIシステムとファイアウォール管理インターフェイス相互運用性/ 0/0  

           - KALIシステムでは---- ---- Firefoxブラウザ、https://192.168.0.1入力します：8443
                                                                       デフォルトのユーザー名：管理者
                                                                       デフォルトパスワード：123 @管理者
                                                               123 @ ADMIN：パスワードを変更することをお勧め    
     
5、セキュリティゾーンを：
      地元のローカルエリア自体---- ------ファイアウォールのセキュリティレベル100
     信託の信託エリア--- ------------ことにより、ネットワーク85内のセキュリティのレベル
     DMZ非武装地帯-サーバエリア-----セキュリティレベル50
     のUntrust非信頼ゾーン-インターネット交通安全レベル5 ------

     デフォルトでは、異なるセキュリティゾーンは通信できません！
＃
ファイアウォールTrustゾーン
 SET優先85
 GigabitEthernet0インターフェースを追加/ 0/0
 追加インターフェイスギガビット/ 0/1
＃
ファイアウォールゾーンUntrust
 SET優先5
 の追加インターフェイスギガビット/ 0/2
＃

図6は、実験：信頼ネットワークアクセス外部ネットワークからuntrustを達成するために 
                      IPアドレスを設定し、追加のセキュリティゾーンインターフェースに対応---
                      ---異なるセキュリティゾーンは、セキュリティポリシーを通信するように配置されました-----

7、NATネットワークアドレス変換
               、静的 
               、動的：簡単にIP（パブリックアドレス）インターフェースに基づいてアドレス変換の
                            NAPTアドレスプールのアドレス変換に基づきます     

        
実験2：簡単-IP
  1）、セキュリティポリシーを設定し、異なるセキュリティゾーンの相互運用性を実装
＃
セキュリティポリシー
 ルール名をOUT
  ソース・ゾーンTrustは、
  あなたがしたいゾーンをんのUntrust
  許可でアクション
＃
  2）、ネットワークプライベートアドレスと外部以内に達成するためにNATの戦略を設定しますパブリックネットワークアドレス変換 
  3）、外部ネットワークインタフェースキャプチャテスト   
＃
NAT-ポリシー
 ルール名EasyIP
  ソース-Trustゾーンが
  したい-のUntrustゾーンん
  アクションNAT-IP簡単
＃

     五重：送信元IP送信先IP送信元ポート宛先ポートプロトコル番号

PATに基づいて8、NAPTアドレスプール

  第三の実験NAPT
  1）、セキュリティポリシー、インターワーキング異なるセキュリティゾーンを実装する。
  2）、アドレスプール、NATポリシー、プライベートアドレス変換ネットワークと外部ネットワークのパブリックアドレス実装 
  ）3を、テストキャプチャする外部ネットワークインタフェース 
＃を
NAT-ポリシー
 ルール名NAPT
  ソース-Trustゾーン
  あなたがしたい-ゾーンUntrust
  アクショングループNATアドレスプール
＃

＃の
NATアドレス-0グループプール
 MODE PATの
 セクション0 200.1.1.250 200.1.1.250
＃
9、実験4サーバーリリース

   1）、異なるセキュリティゾーンがExchange実装、セキュリティポリシーを設定する
   にuntrustアクセスDMZサーバ達成するために、サーバーのマッピング--- NATポリシーを設定し、）2を
   テスト/内部ネットワークインターフェイスパケットキャプチャテストをキャプチャする）3を、外部ネットワークインタフェース