安全防御
- 一、防火墙接口以及模式配置
-
* 1、untrust区域- 2、trust区域
- 3、DMZ区域
- 4、接口对演示
- 二、防火墙的策略
-
* 1、定义与原理- 2、防火墙策略配置
-
* 2.1 安全策略工作流程- 2.2 查询和创建会话
- 3、实验策略配置
-
* 3.1 trust-to-untrust- 3.2 trust-to-dmz
- 3.3 untrust-to-dmz
- 三、防火墙的区域
一、防火墙接口以及模式配置
我们使用实验进行讲解:
1、untrust区域
首先我们自行完成安全防御一,进入到如下界面:
这里我们的ENSP拓扑依旧是简单拓扑:
在这里呢,我们经常会发现时常超时,重连,虽然我们不建议配置永不超时,但是我们在实验界面就没那么多硬性要求:
我们可以通过如下命令配置永不超时:
首先我们进入到系统视图:
user-interface console 0
idle-timeout 0 0
这里会弹出一个警告,不用管。
好的,下面我们将这个拓扑图完善来供我们学习:
这里我们可以看到我们在这里预计划分三个区域:trust以及untrust、DMZ区域三个区域。
下面我们进入Web界面点击网络,查看网络板块内容:
这里我们可以看到有六个口,也可看到模式,防火墙既可以做交换也可以做路由,这里默认为路由,点进去我们也可看到:
这里我们可以修改接口模式类型,当我们修改为交换,那么这个口就会变成2层口。
这里我们也可看到有其他种类型,旁路检测以及接口对:
如果使用旁路检测,那么交换机就会像PC一样,挂在交换机旁边一样。比较少见。
接口对我们之后再讲,先将路由以及交换搞清楚。
下面我们继续完善拓扑,使其可以进行模拟访问:
我们将PC的网关以及Server网关都分别放在交换机SW1以及SW2上,剩下的我们直接做互联即可。
下面我们将网段进行规划:
对G1/0/0进行配置:
这里我们可以看到有很多选项,虚拟系统这里不要动,如果改为defult,那么它将会和之前那个口在一起了。
安全区域我们将它放在untrust,接口模式为路由,这里我们将IP地址改为100.1.1.1/24:
下面不用管,这里有个启动接口访问,我们将它点掉,这里是不允许访问的。
同时,我们也可看到接口带宽有入方向带宽以及出方向带宽两种。一般运营商会拉互联网线路,如果是20M,那就选入方向与出方向选择20M,推荐运营商给多少,放多少。企业级是一样的,拨号式不一样,这里我们进行做实验,就不写了。
这里我们可以看到已经配置完毕,下面我们对R1进行配置:
[r1]sys ISP
[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip address 100.1.1.2 24
[ISP-GigabitEthernet0/0/0]quit
[ISP]
这里我们在R1旁边放一个服务器,真实一些:
并给服务器配置IP地址:
这里开启HTTP,随便挂一个目录。
再对R1进行网关接口配置:
[ISP]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip address 200.1.1.1 24
[ISP-GigabitEthernet0/0/1]quit
[ISP]
这里我们已经将untrust配置完毕,我们进行测试:
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
