- 浏览: 80135 次
- 性别:
- 来自: 杭州
最新评论
-
isaiahzhong:
不对啊,我在hosts.allow下面什么都不配 ...
linux远程访问权限控制(hosts.allow和hosts.deny)
CCNA实验三十八 ZFW(区域防火墙)
环境:Windows XP 、Packet Tracert5.3
目的:了解ZFW的原理与基本配置
说明:
ZFW(Zone-Based Policy Firewall),是一种基于区域的防火墙,基于区域的防火墙配置的防火墙策略都是在数据从一个区域发到另外一个区域时才生效,在同一个区域内的数据是不会应用任何策略的,所以我们就可以将需要使用策略的接口划入不同的区域,这样就可以应用我们想要的策略。但是,有时某些接口之间可能不需要彼此使用策略,那么这样的接口只要划入同一个区域,它们之间就可以任意互访了。Zone是应用防火墙策略的最小单位,一个zone中可以包含一个接口,也可以包含多个接口。
区域之间的所有数据默认是全部被丢弃的,所以必须配置相应的策略来允许某些数据的通过。要注意,同区域的接口是不需要配置策略的,因为他们默认就是可以自由访问的,我们只需要在区域与区域之间配置策略,而配置这样的区域与区域之间的策略,必须定义从哪个区域到哪个区域,即必须配置方向,比如配置从Zone1到Zone2的数据全部被放行。可以看出,Zone1是源区域,Zone2是目的区域。配置一个包含源区域和目的区域的一组策略,这样的一个区域组,被称为Zone-Pairs。因此可以看出,一个Zone-Pairs,就表示了从一个区域到另一个区域的策略,而配置一个区域到另一个区域的策略,就必须配置一个Zone-Pairs,并加入策略。 当配置了一个区域到另一个区域的策略后,如果策略动作是inspect,则并不需要再为返回的数据配置策略,因为返回的数据是默认被允许的,如果策略动作时pass或drop则不会有返回流量或被直接被掉弃。如果有两个zone,并且希望在两个方向上都应用策略,比如zone1到 zone2 或zone2 到 zone1,就必须配置两个zone-pairs ,就是每个方向一个zone-pairs。
步骤:
使用Packet Tracert5.3.创建如下拓扑:
配置R1路由器:
Router>en
Router#conf t
Router(config)#host R1
R1(config)#int fa0/0
R1(config-if)#ip add 192.168.0.1 255.255.255.0
R1(config-if)#no sh
R1(config)#ip rou 0.0.0.0 0.0.0.0 192.168.0.2
配置FireWall路由器:
Router>en
Router#conf t
Router(config)#host FireWall
FireWall(config)#class-map type inspect match-any Private-To-Internet //创建私有网络到Internet网络的匹配条件名为Private-To-Internet
FireWall(config-cmap)#match protocol http //定义匹配http流量条件
FireWall(config-cmap)#match protocol icmp //定义匹配icmp流量条件
FireWall(config-cmap)#match protocol tcp //定义匹配tcp流量条件
FireWall(config-cmap)#match protocol udp //定义匹配udp流量条件
FireWall(config-cmap)#match protocol telnet //定义匹配telnet流量条件
FireWall(config-cmap)#match protocol ftp //定义匹配ftp流量条件
FireWall(config-cmap)#match protocol dhcp //定义匹配dhcp流量条件
FireWall(config-cmap)#match protocol dns //定义匹配dns流量条件
FireWall(config-cmap)#match protocol h323 //定义匹配h323流量条件
FireWall(config-cmap)#match protocol ip //定义匹配ip流量条件
FireWall(config-cmap)#match protocol ipsec //定义匹配ipsec流量条件
FireWall(config-cmap)#match protocol ipv6 //定义匹配ipsec流量条件
FireWall(config-cmap)#match protocol pop3 //定义匹配pop3流量条件
FireWall(config-cmap)#match protocol smtp //定义匹配smtp流量条件
FireWall(config-cmap)#match protocol rtp //定义匹配rtp流量条件
FireWall(config-cmap)#match protocol arp //定义匹配arp流量条件
FireWall(config-cmap)#match protocol ntp //定义匹配ntp流量条件
FireWall(config-cmap)#exit //退出
FireWall(config)#class-map type inspect match-any Internet-To-DMZ //创建Internet网络到DMZ网络的匹配条件名为Internet-To-DMZ
FireWall(config-cmap)#match protocol http //定义匹配http流量条件
FireWall(config-cmap)#match protocol tcp //定义匹配tcp流量条件
FireWall(config-cmap)#exit //退出
FireWall(config)#policy-map type inspect 1 //创建策略1
FireWall(config-pmap)#class type inspect Private-To-Internet //在策略中使用匹配条件Private-To-Internet
FireWall(config-pmap-c)#inspect //定义满足条件时的行为inspect
FireWall(config-pmap-c)#class type inspect class-default //配置默认
FireWall(config-pmap-c)#end //退出
FireWall#conf t
FireWall(config)#policy-map type inspect 2 //创建策略2
FireWall(config-pmap)#class type inspect Internet-To-DMZ //在策略中使用匹配条件Internet-To-DMZ
FireWall(config-pmap-c)#inspect //定义满足条件时的行为inspect
FireWall(config-pmap-c)#class type inspect class-default //配置默认
FireWall(config-pmap-c)#end
FireWall#conf t
FireWall(config-pmap)#zone security PrivateZone //创建安全区域 PrivateZone(私有网络)
FireWall(config-sec-zone)#exit //退出
FireWall(config)#zone security DMZZone //创建安全区域 DMZZone(DMZ网络)
FireWall(config-sec-zone)#exit
FireWall(config)#zone security InternetZone //创建外部安全区域InternetZone
FireWall(config-sec-zone)#exit
FireWall(config)#zone-pair security Private-Internet source PrivateZone destination InternetZone //创建从私有网络到Internet区域之间的区域策略
FireWall(config-sec-zone-pair)#service-policy type inspect 1 //定义区域间的策略应用策略1
FireWall(config-sec-zone-pair)#exit //退出
FireWall(config)#zone-pair security Private-DMZ source PrivateZone destination DMZZone //创建从私有网络到DMZ区域之间的区域策略
FireWall(config-sec-zone-pair)#service-policy type inspect 1 //定义区域间的策略应用策略1
FireWall(config-sec-zone-pair)#exit //退出
FireWall(config)#zone-pair security Internet-DMZ source InternetZone destination DMZZone
//创建从Internet到DMZ区域之间的区域策略
FireWall(config-sec-zone-pair)#service-policy type inspect 2 ////定义区域间的策略应用策略2
FireWall(config-sec-zone-pair)#exit //退出
FireWall(config)#int fa0/0 //进入接口fa0/0
FireWall(config-if)#ip add 192.168.0.2 255.255.255.0 //配置IP
FireWall(config-if)#zone-member security PrivateZone //把接口划入私有网络区域
FireWall(config-sec-zone-pair)#exit //退出
FireWall(config-if)#no sh //开启接口
FireWall(config-if)#exit //退出
FireWall(config)#int fa0/1 //进入接口fa0/1
FireWall(config-if)#ip add 192.168.1.254 255.255.255.0 //配置IP
FireWall(config-if)#zone-member security DMZZone //把接口划入DMZ网络区域
FireWall(config-if)#no sh //开启接口
FireWall(config-if)#exit //退出
FireWall(config)#int s0/0/0 //进入接口s0/0/0
FireWall(config-if)#ip add 1.1.1.1 255.255.255.0 //配置IP
FireWall(config-if)#zone-member security InternetZone //把接口划入Internet网络区域
FireWall(config-if)#no sh //开启接口
FireWall(config-if)#exit //退出
FireWall(config)#ip rou 0.0.0.0 0.0.0.0 1.1.1.2 //配置默认路由
配置R2路由器:
Router>en
Router#conf t
Router(config)#host R2
R2(config)#int s0/0/0
R2(config-if)#ip add 1.1.1.2 255.255.255.0
R2(config-if)#clock rate 64000
R2(config-if)#no sh
R2(config)#int fa0/0
R2(config-if)#ip add 192.168.2.254 255.255.255.0
R2(config-if)#no sh
R2(config-if)#exit
R2(config)#ip rou 0.0.0.0 0.0.0.0 1.1.1.1
测试网络:
通过配置基于区域的防火墙,可以达到保护内部网络不受外部入侵的要求,可以讲ZFW 是CBAC 的增强版,它的配置更灵活简单,只要合理运用会是一个不错的安全解决方案。
发表评论
-
CCNA实验十四 STP之冗余备份链路(EtherChannel)
2010-11-21 16:13 1352CCNA实验十四 STP之冗余备份链路(EtherChann ... -
java 编程浅谈
2009-11-17 15:12 0学习java 编程是一个漫长而且艰苦的过程,大家学习java ... -
j2me 手机屏幕保护程序开发
2009-11-19 13:26 0import javax.microedition.midle ... -
浅谈系统从I386文件夹到longhorn封装
2010-10-17 12:19 0Windows XP是一个不错而且深受大家喜爱的个人系统。它是 ... -
以Longhorn形式重新包装“Windows XP“的安装(WIM系统封装)
2010-10-17 21:35 0以Longhorn形式重新包装“Windows XP“的安装( ... -
实现GNS的模拟路由器连接Internet
2010-10-20 15:58 1921实现GNS的模拟路由器连接Internet 1、环境: ... -
Vmware 虚拟机通过GNS的模拟路由器连接Internet
2010-10-20 18:11 1541Vmware 虚拟机通过GNS的模拟路由器连接Interne ... -
Windows磁盘管理工具Diskpart之一 管理基本磁盘
2010-10-22 15:49 0Windows磁盘管理工具Diskpa ... -
Windows磁盘管理工具Diskpart之二 管理动态磁盘
2010-10-25 13:59 0Windows磁盘管理工具Diskpart之二 管理动态磁盘 ... -
CCNA实验一 登陆设备控制台
2010-10-25 16:33 604CCNA实验一 登陆设备控制台 环境: Wind ... -
CCNA实验二 路由基本配置
2010-10-26 13:56 754CCNA实验二 路由基本配置 环境: Windos X ... -
CCNA实验三 把路由器配置成PC
2010-10-26 15:43 808CCNA实验三 把路由器配置成PC 环境:Wind ... -
实现GNS虚拟路由进行ADSL外网拨号
2010-10-26 19:06 979实现GNS虚拟路由进行ADSL外网拨号 环境:Wind ... -
CCNA实验四 开启路由器的WEB管理服务
2010-10-30 17:02 769CCNA实验四 开启路由器的WEB管理服务 ... -
CCNA实验五 配置路由器为DHCP服务器
2010-10-31 09:55 778CCNA实验五 配置路由器为DHCP服务器 环境: W ... -
CCNA实验六 创建和应用VLAN
2010-10-31 15:41 749CCNA实六 创建和应用VLAN 环境:Window ... -
CCNA实验七 跨交换机间的vlan
2010-11-01 15:00 768CCNA实验七 跨交换机间的vlan 环境:Window ... -
CCNA实验八 使用VTP管理vlan
2010-11-02 16:50 639CCNA实验八 使用VTP管理vlan 环境: Wind ... -
CCNA实验九 通过三层交换机实现vlan间路由
2010-11-02 18:22 937CCNA实验九 通过三层交换机实现vlan间路由 环 ... -
CCNA实验十 通过路由器实现vlan间路由(单臂路由)
2010-11-02 20:01 950CCNA实验十 通过路由器实现vlan间路由(单臂路由) ...
相关推荐
CCNA实验教程CCNA实验教程CCNA实验教程CCNA实验教程
CCNA实验手册chp18多区域OSPFCCNA实验手册chp18多区域OSPF
Cisco初学者必备的一本书<思科网络实验室CCNA实验指南.pdf>
CCNA实验手册chp06单区域OSPFCCNA实验手册chp06单区域OSPF
70页详细版本CCNA实验手册
CCNA实验报告 总共七个实验 有ppp、帧中继、单臂路由和三层交换机、vlan基本配置、stp等等
本实验手册共精心收集了16个CCNA实验,涵概了CCNA所有知识点,很不错的哦。
红茶三杯ccna实验题红茶三杯ccna实验题红茶三杯ccna实验题红茶三杯ccna实验题红茶三杯ccna实验题
CCNA实验(PDF).rar CCNA实验(PDF).rar CCNA实验(PDF).rar
CCNA实验大全,内容包括: 实验一 交换机基本配置 实验二 路由器基本配置 实验三 路由协议 实验四 广域网协议 实验五 访问控制列表及地址转换 实验六 DDR、ISDN原理及配置 实验七 备份中心原理 实验八 HSRP协议原理及...
CCNA
红头发CCNA实验,里面有详细的CCNA实验配置步骤,次教程是根据红头发CCNA教程编写的。红头发CCNA实验,里面有详细的CCNA实验配置步骤,次教程是根据红头发CCNA教程编写的。
ccna配置实验详解,不用再为实验题担心
CCNA实验考试真题,包含EIGRP 和 ACL实验题。适合需要直接考试人员
CCNA实验资料,CCNA实验资料,CCNA实验资料
CCNA实验(标准教程)05_单区域OSPF
CCNA实验手册超级详细版 从零开始学习cisco技术ccna的实验
CCNA的实验。有助于你配置路由器交换机
CCNA实验教程(354页)
CCNA实验手册V3.0+By+红茶三杯,非常详细的实验教程,分享