防火墻基礎知識.doc_第1頁
防火墻基礎知識.doc_第2頁
防火墻基礎知識.doc_第3頁
防火墻基礎知識.doc_第4頁
防火墻基礎知識.doc_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

防火墻基礎知識一、防火墻與路由器的異同:1、 防火墻的登陸管理方式及基本配置是一樣,有的防火墻多一個DMZ端口。2、 路由器只能簡單的路由策略,防火墻具備強大的訪問控制:分組對象。3、 路由器是默認的端口是開放的,防火墻的端口默認的常見端口外都是關閉的。二、防火墻的登陸方式: 1、console口,路由器的登陸方式一樣 2、telnet登陸,需要設置 3、SSH登陸,同telnet登陸一樣三、防火墻的用戶模式: 1、用戶模式: PIX525 2、特權模式 PIX525# 3、全局配置模式 PIX525(config)# 4、局部配置模式 PIX525(config-if)#四、防火墻基本配置 1、接口配置 防火墻PIX525默認的的有3個端口,外網(wǎng)口、內(nèi)網(wǎng)口、DMZ端口,主要配置ip地址、工作模式、速度、接口名字、安全級別 interface Ethernet0 nameif outside security-level 0 ip address 7 duplex full2、訪問控制列表 access-list acl_out extended permit icmp any any access-list acl_out extended permit tcp any host 9 object-group DMZaccess-list allownet extended permit ip host 23 object-group msn3、 設置網(wǎng)關地址route outside 10 外網(wǎng)口網(wǎng)關route inside 內(nèi)網(wǎng)口網(wǎng)關路由的網(wǎng)關設置 Ip route 104、 端口重定向 PIX525(config)# object-group service word TCP PIX525(config-if) port-object eq 8866 先在服務的對象分組中開放一個端口,在全局模式下static (inside,outside) tcp 00 8866 7 8866 netmask 555、 地址轉(zhuǎn)換:global (outside) 1 interface /使用interface outside的地址做NAT的global地址global (DMZ) 1 00nat (inside) 0 access-list nat0nat (inside) 1 nat (DMZ) 1 五、對象分組: 對象分組提供了一種將一些相似類型的對象進行分組的方法,這樣可以將一個單一的ACL應用到組中的所有對象上??梢詣?chuàng)建以下幾種類型的對象分組:網(wǎng)絡客戶端主機、服務器主機或子網(wǎng)。協(xié)議多種協(xié)議??梢酝ㄟ^相應的關鍵字例如:icmp、ip、tcp或者udp來指定相關的協(xié)議,還可以在1到254的整數(shù)范圍內(nèi)選擇相應的IP協(xié)議號來指定相關的協(xié)議。如果使用關鍵字ip則表示匹配任何的Internet協(xié)議,包括ICMP、TCP和UDP。服務被分配到不同服務上的TCP或UDP端口號。ICMP類型允許或拒絕訪問的ICMP消息類型。no object-group object-type grp-idnetwork對象類型:(config)#object-group network netserver 設定分組名稱(config-network)#description Public web servers 分組描述(config-network)#network-object 2 55 !添加分組對象 protocol 對象類型:進入對象配置接口:object-group protocol grp-id(config-protocol)#protocol-object tcp !添加分組成員service對象類型:進入對象配置接口:object-group service obj_grp_id tcp | udp | tcp-udp(config)#object-group service mis_service tcp(config-service)#port-object eq ftp 將一個單獨的端口號加入(config-service)#port-object range 5000 6000 !range begin end 將一組端口加入icmp-type對象類型:進入對象配置接口:object-group icmp-type icmp_test(config-icmp-type)#icmp-object 0常見的應用:1、控制外網(wǎng): PIX525(config)#object-group network netserver PIX525(config-network)#network-object 5 55或 PIX525(config-network)#network-object host 5 access-list allownet extended permit ip object-group netserver any nat (inside) 1 global (outside) 1 interface2、開MSN:object-group network msn network-object 7 55 network-object 04 55 network-object 49 55 network-object network-object 9 55 network-object network-object 53 55 network-object network-object network-object network-object network-object access-list allownet extended permit ip host 2 object-group msn nat (inside) 1 global (outside) 1 interface3、給OA服務器做映射見端口重定向六、 其他的管理設置PIX525(config)#hostname PIX525 telnet 1 55 inside ,只有網(wǎng)管電腦可以登陸防火墻enable pass

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論