溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶(hù)服務(wù)條款》

windows防火墻的算法及基本配置

發(fā)布時(shí)間:2020-06-16 14:24:21 來(lái)源:網(wǎng)絡(luò) 閱讀:1310 作者:崔志磊 欄目:系統(tǒng)運(yùn)維

windows防火墻的算法及基本配置
要求:
DMZ發(fā)布Web服務(wù)器,Client2可以訪問(wèn)Server3
使用命令show conn detail查看Conn表
分別查看ASA和AR的路由表
配置ACL禁止Client3訪問(wèn)Server2
配置步驟及思路:
一.給客戶(hù)端和服務(wù)器配置ip
server1:
ip: 10.1.1.1
子網(wǎng)掩碼:255.255.255.0
網(wǎng)關(guān):10.1.1.254
Client1:
ip: 10.2.2.1
子網(wǎng)掩碼:255.255.255.0
網(wǎng)關(guān):10.2.2.254
server2:
ip: 192.168.8.100
子網(wǎng)掩碼:255.255.255.0
網(wǎng)關(guān):192.168.8.254
Client2:
ip: 192.168.8.1
子網(wǎng)掩碼:255.255.255.0
網(wǎng)關(guān):192.168.8.254
server3:
ip: 192.168.30.100
子網(wǎng)掩碼:255.255.255.0
網(wǎng)關(guān):192.168.3.254
Client3:
ip: 192.168.30.1
子網(wǎng)掩碼:255.255.255.0
網(wǎng)關(guān):192.168.30.254
二.在防火墻上配置區(qū)域
interface g0 進(jìn)入端口
nameif inside 配置接口的名稱(chēng)
ip address 192.168.1.254 255..255.255.0 配置網(wǎng)關(guān)
security-level 100 配置接口的安全級(jí)別(范圍是0-100)
interface g1 進(jìn)入端口
nameif outside 配置接口的名稱(chēng)
ip address 192.168.8.254 255..255.255.0 配置網(wǎng)關(guān)
security-level 0 配置接口的安全級(jí)別(范圍是0-100)
interface g2 進(jìn)入端口
nameif dmz 配置接口的名稱(chēng)
ip address 192.168.30.254 255..255.255.0 配置網(wǎng)關(guān)
security-level 50 配置接口的安全級(jí)別(范圍是0-100)
寫(xiě)一條acl使Client2可以訪問(wèn)Server3
access list 1 permit tcp any host 192.168.30.100 eq 80
access-group 1 in interface outside // 默認(rèn)防火墻的內(nèi)網(wǎng)安全等級(jí)為100 ,外網(wǎng)為0 .等級(jí)低的無(wú)法訪問(wèn)高級(jí)的所以要配置acl允許訪問(wèn)
驗(yàn)證,測(cè)試:
windows防火墻的算法及基本配置
三.配置可以去外網(wǎng)的路由
interface g0/0/0 進(jìn)入端口
ip address 10.1.1.254 255.255.255.0 配置網(wǎng)關(guān)
interface g0/0/1 進(jìn)入端口
ip address 10.2.2.254 255.255.255.0 配置網(wǎng)關(guān)
interface g0/0/2 進(jìn)入端口
ip address 192.168.1.1 255.255.255.0 配置ip
interface g0/0/2屬于192.168.1.0/24網(wǎng)段所以配置一個(gè)192.168.1.0網(wǎng)段的ip
在路由器上配置一條默認(rèn)路由交給下一跳192.168.1.254‘
ip route 0.0.0.0 0.0.0.0 192.168.1.254
在防火墻上配置回包路由交給下一跳192.168.1.1
route inside 10.1.1.0 255.255.255.0 192.168.1.1 要去的網(wǎng)段
route inside 10.2.2.0 255.255.255.0 192.168.1.1 要去的網(wǎng)段
display ip route table 查看路由表
windows防火墻的算法及基本配置
show route 查看asa防火墻
windows防火墻的算法及基本配置
驗(yàn)證,測(cè)試
如下圖可以訪問(wèn)外網(wǎng)ftp
windows防火墻的算法及基本配置

                    # 接下來(lái)可以查看 conn表
                        show conn detail  
                            ![](https://s1.51cto.com/images/blog/201801/31/9fa884862c16f6d2951f5d7fc5b76d27.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
        三.# 最后配置acl使clietn 2不能訪問(wèn)server1
               access-list  2(名字) deny tcp any host 192.168.8.100 eq 80 
                     access-group  2(名字) in interface DMAZ //在dmaz端口調(diào)用

測(cè)試:
windows防火墻的算法及基本配置

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI