FW防火墙的配置
FW工作原理与路由器配置上的区别:FW接口配IP地址 + 接口加入到安全区域默认防火墙接口不属于任何安全区域防火墙安全区域类型:Trust:信任区域,优先级85,常用于连接内网设备Untrust:非信任区域,优先级5,常用于连接外网DMZ:非军事管理区,优先级50,用于连接服务器的接口Local:本地区域,默认优先级100,代表防火墙本身防火墙安全区域之间默认动作是禁止访问的防火墙同一个安全区域下
FW工作原理与路由器配置上的区别:
-
FW接口配IP地址 + 接口加入到安全区域
默认防火墙接口不属于任何安全区域
防火墙安全区域类型:
Trust:信任区域,优先级85,常用于连接内网设备
Untrust:非信任区域,优先级5,常用于连接外网
DMZ:非军事管理区,优先级50,用于连接服务器的接口
Local:本地区域,默认优先级100,代表防火墙本身
用户名:admin
密码:Admin@123
防火墙安全区域之间默认动作是禁止访问的
防火墙同一个安全区域下,默认是允许访问的
防火墙接口默认是禁止ping、telnet、http
防火墙 FW 当前关键配置:
接口配置:
interface GigabitEthernet1/0/0 // 市场部
ip address 192.168.1.254 255.255.255.0
service-manage ping permit
interface GigabitEthernet1/0/1 // 生产部
ip address 192.168.2.254 255.255.255.0
service-manage ping permit
interface GigabitEthernet1/0/2 // 服务器区
ip address 172.16.1.254 255.255.255.0-
全安区域:把“市场部 / 生产部”两个内网口加入 trust (优先级 85)
把“服务器”口加入 dmz(优先级 50)
-
firewall zone trust add interface GigabitEthernet1/0/0 add interface GigabitEthernet1/0/1 firewall zone dmz add interface GigabitEthernet1/0/2
-
安全策略:
-
方向:trust → dmz(inbound,默认拒绝,必须显式放行)。
-
源地址:192.168.1.0/24、192.168.2.0/24(市场+生产)。
-
目的地址:172.16.1.1/32(Server1)。
-
服务:http(80)、icmp(ping)。
-
动作:permit。
-
security-policy rule name t_d_icmp source-zone trust destination-zone dmz source-address 192.168.1.0 24 source-address 192.168.2.0 24 destination-address 172.16.1.1 32 service http service icmp action permit
[Fw]display current-configuration configuration
zone
[Fw]display current-configuration configuration policy-security
-
display current-configuration configuration zone
把当前配置里所有“zone(安全区域)”的定义一次性列出来,方便查看哪些接口已经划到 Trust/Untrust/DMZ 等区域,以及各区域下绑定的优先级、描述等信息。 -
display current-configuration configuration policy-security
把当前配置里所有“policy-security(安全策略)”规则一次性列出来,也就是源区域、目的区域、源地址、目的地址、服务、动作(permit/deny)等策略条目,用于快速审计或排错。
腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。
更多推荐
9
0- 0
已为社区贡献2条内容
所有评论(0)