十年网站开发经验 + 多家企业客户 + 靠谱的建站团队
量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决
1、首先登录防火墙后台,找的源nat选项新建一条源NAT策略。
我们一直强调成都网站设计、网站制作、外贸营销网站建设对于企业的重要性,如果您也觉得重要,那么就需要我们慎重对待,选择一个安全靠谱的网站建设公司,企业网站我们建议是要么不做,要么就做好,让网站能真正成为企业发展过程中的有力推手。专业网站建设公司不一定是大公司,创新互联作为专业的网络公司选择我们就是放心。
2、名字这里是Trust2Trust,源安全区域和目的安全区域都选择trust。
3、然后可以设置转换前的适配规则。这一步也可以不要,默认允许所有源访问所有目的IP的所有端口;考虑到安全性可以指定某个/些源访问某个/些目的地址的某个/些端口。
4、转换后的地址选择出接口地址。
5、然后确认,这样内网就能正常通过防火墙公网IP访问内部服务了。
安全
【ensp】防火墙概述与命令总结
云归959
原创
关注
4点赞·6380人阅读
防火墙概述与命令总结
0713 防火墙的基本概述:
安全策略:
0714 防火墙的NAT策略:
server nat:
pat与no-pat做法:
域内nat做法:
0715 防火墙的双机热备:
在防火墙上配置VGMP:
0717 防火墙的GRE封装:
gre在防火墙上应用:
防火墙中的telnet配置:
防火墙中ssh配置:
0713 防火墙的基本概述:
防火墙分为:
框式防火墙
盒式防火墙
软件防火墙(公有云、私有云)
我们目前学习的是状态检测防火墙:
通过检查首包的五元组,来保证出入数据包的安全
隔离不同的网络区域
通常用于两个网络之间,有选择性针对性的隔离流量
阻断外网主动访问内网,但回包不算主动访问
安全区域(security zone):被简称为区域(zone),是防火墙的重要概念,缺省时有4个区域:
local:本地区域,所有IP都属于这个区域
trust:受信任的区域
DMZ:是介于管制和不管制区域之间的区域,一般放置服务器
untrust:一般连接Internet和不属于内网的部分
ps:每个接口都需要加入安全区域,不然防火墙会显示接口未激活,无法工作
firewall zone [区域名] //进入安全区域
add interface GigabitEthernet [接口号] //添加接口到此区域
display zone //查看区域划分情况
复制
安全策略:
与ACL类似,动作只有两种:permit和deny
每一个想要通过防火墙的数据包都需要被安全策略检查,如果不写安全策略,ping都经过不了防火墙
如何去写安全策略:
security-policy
rule name [策略名]
source-zone [区域名]
source-address [源地址] [掩码] //此条可以略
destination-zone [区域名]
destination-address [源地址] [掩码] //此条可以略
service [协议名] //需要放行的协议
action permit //此条策略的动作是放行
复制
防火墙策略命中即转发
一些今天的名词:
ddos攻击防范:ddos攻击就是通过伪造大量不同的mac地址让交换机学习,让交换机无法正常处理其他事情
SPU:防火墙特有的,用于实现防火墙的安全功能
五元组:源/目地址、源/目端口号、协议
ASPF技术:应用包过滤技术,可以根据协议推出应用包内容,根据内容提前生成server-map表项,在流量没有匹配会话表时,可以匹配server-map来处理
ftp无论是主动模式还是被动模式都是client先主动向server发起控制通道连接
ftp的主动模式(port):server主动向client发起数据通道的连接
ftp被动模式(pasv):server等待client发起数据通道的连接
0714 防火墙的NAT策略:
NAT转换有两种转换:
源NAT:
no-pat //1对1转化,不节约公网地址,同一时间内只能有一个人上网
pat //指定一个或多个公网地址使PC机可以通过这个公网地址的不同端口进行访问
ease-ip //使用接口的IP作为NAT地址,使PC机可以通过这个公网地址的不同端口进行访问
目标NAT:
server nat //服务器映射
值得注意的是:
如果在防火墙上的是源NAT转换,则防火墙先匹配安全策略,再匹配NAT策略
如果在防火墙上的是目标NAT转换,则防火墙先匹配NAT策略,再匹配安全策略
实验总结概述:
如何做nat:
server nat:
nat server protocol [协议] global [公网地址] [端口] inside [服务器地址] [端口]
复制
pat与no-pat做法:
nat address-group [地址组名]
mode pat
section [初始地址] [结束地址]
nat-policy //进入nat策略,将前一步的地址池应用在nat策略中
source-zone [区域名]
source-address [源地址] [掩码]
destination-zone [区域名]
destination-address [源地址] [掩码] //此步规定什么样的地址允许做NAT转换
action source-nat address-group NAT //应用地址组
//之后就是看需要写安全策略
复制
域内nat做法:
访问需要通过公网地址访问
第一步:将接口划分好所属区域,做好基础配置
第二步:创建一个nat地址池,将地址池的范围规划好,(默认为PAT)
nat server 0 protocol tcp global 204.1.1.1 www inside 172.16.1.2 www
//此步为服务器映射
nat address-group NAT
mode pat
section 0 205.1.1.1 205.1.1.1
第三步:进入nat策略,将前一步的地址池应用在nat策略中
nat-policy
rule name NAT
source-zone dmz
destination-zone dmz
source-address 172.16.1.1 mask 255.255.255.255
destination-address 172.16.1.2 mask 255.255.255.255
//此步规定什么样的地址允许做NAT转换
action source-nat address-group NAT
第四步:设置安全策略,允许地址通过,并说明区域
security-policy
default packet-filter intrazone enable
//设置防火墙区域间流量也检查
rule name NAT
source-zone dmz
destination-zone dmz
source-address 172.16.1.1 mask 255.255.255.255
destination-address 172.16.1.2 mask 255.255.255.255
service http
service tcp
action permit
复制
可以从网络接入端点的安全控制入手,结合认证服务器,安全策略服务器、补丁服务器和网络设备,以及第三方软件系统(防病毒)等,对用户接入行为的控制,完成对接入终端用户的强制认证和安全策略应用,从而保障网络安全。
端口映射是NAT的一种,功能是把在公网的地址转翻译成私有地址。也是将外网主机的IP地址的一个端口映射到内网中一台机器,提供相应的服务。当用户访问该IP的这个端口时,服务器自动将请求映射到对应局域网内部的机器上。端口映射有动态和静态之分。1、
端口映射是华为防火墙中的一个常用功能,举个例子就是你内网有一台服务器,想让外网的访问者能够直接访问到这台服务器。但你的内网服务器配置的是内网地址在公网是找不到的,怎么办?这时既可以把一个公网IP地址映射到这个内网地址上,可以单独映射一个端口,也可以做全映射。今天主要说的就是服务器的端口映射。
2、端口映射在防火墙内属于一个策略。所以我们登录到防火墙后找到策略、NAT策略、服务器映射。
3、在服务器映射列表中,我们看到有一个新建选项。做端口映射需要新建一个映射策略。
4、名称随意填写,类型一般填写为“静态映射”,安全区域根据自己的网络结构进行配置。公网地址填写需要映射的公网地址,私网地址填写服务器的地址。允许端口转换如果为全映射不需要都选,如果为单独端口映射需要勾选。
5、当让图形界面看着比较容易操作,如果想用命令配置界面的也可以。只需要输入nat server 来画SSH2 protocol tcp global 公网IP 2222 inside 私网IP 22 no-reverse
6、设置完之后,我们也可以做一个简单的验证,打开windows的cmd窗口。在里边输入Telnet+公网IP+端口 看看是否连同。