CCNA实验三十八 ZFW(区域防火墙)
CCNA实验三十八 ZFW(区域防火墙)
环境:Windows XP 、Packet Tracert5.3
目的:了解ZFW的原理与基本配置
说明:
ZFW(Zone-Based Policy Firewall),是一种基于区域的防火墙,基于区域的防火墙配置的防火墙策略都是在数据从一个区域发到另外一个区域时才生效,在同一个区域内的数据是不会应用任何策略的,所以我们就可以将需要使用策略的接口划入不同的区域,这样就可以应用我们想要的策略。但是,有时某些接口之间可能不需要彼此使用策略,那么这样的接口只要划入同一个区域,它们之间就可以任意互访了。Zone是应用防火墙策略的最小单位,一个zone中可以包含一个接口,也可以包含多个接口。
区域之间的所有数据默认是全部被丢弃的,所以必须配置相应的策略来允许某些数据的通过。要注意,同区域的接口是不需要配置策略的,因为他们默认就是可以自由访问的,我们只需要在区域与区域之间配置策略,而配置这样的区域与区域之间的策略,必须定义从哪个区域到哪个区域,即必须配置方向,比如配置从Zone1到Zone2的数据全部被放行。可以看出,Zone1是源区域,Zone2是目的区域。配置一个包含源区域和目的区域的一组策略,这样的一个区域组,被称为Zone-Pairs。因此可以看出,一个Zone-Pairs,就表示了从一个区域到另一个区域的策略,而配置一个区域到另一个区域的策略,就必须配置一个Zone-Pairs,并加入策略。 当配置了一个区域到另一个区域的策略后,如果策略动作是inspect,则并不需要再为返回的数据配置策略,因为返回的数据是默认被允许的,如果策略动作时pass或drop则不会有返回流量或被直接被掉弃。如果有两个zone,并且希望在两个方向上都应用策略,比如zone1到 zone2 或zone2 到 zone1,就必须配置两个zone-pairs ,就是每个方向一个zone-pairs。
步骤:
使用Packet Tracert5.3.创建如下拓扑:
配置R1路由器:
Router>en
Router#conf t
Router(config)#host R1
R1(config)#int fa0/0
R1(config-if)#ip add 192.168.0.1 255.255.255.0
R1(config-if)#no sh
R1(config)#ip rou 0.0.0.0 0.0.0.0 192.168.0.2
配置FireWall路由器:
Router>en
Router#conf t
Router(config)#host FireWall
FireWall(config)#class-map type inspect match-any Private-To-Internet //创建私有网络到Internet网络的匹配条件名为Private-To-Internet
FireWall(config-cmap)#match protocol http //定义匹配http流量条件
FireWall(config-cmap)#match protocol icmp //定义匹配icmp流量条件
FireWall(config-cmap)#match protocol tcp //定义匹配tcp流量条件
FireWall(config-cmap)#match protocol udp //定义匹配udp流量条件
FireWall(config-cmap)#match protocol telnet //定义匹配telnet流量条件
FireWall(config-cmap)#match protocol ftp //定义匹配ftp流量条件
FireWall(config-cmap)#match protocol dhcp //定义匹配dhcp流量条件
FireWall(config-cmap)#match protocol dns //定义匹配dns流量条件
FireWall(config-cmap)#match protocol h323 //定义匹配h323流量条件
FireWall(config-cmap)#match protocol ip //定义匹配ip流量条件
FireWall(config-cmap)#match protocol ipsec //定义匹配ipsec流量条件
FireWall(config-cmap)#match protocol ipv6 //定义匹配ipsec流量条件
FireWall(config-cmap)#match protocol pop3 //定义匹配pop3流量条件
FireWall(config-cmap)#match protocol smtp //定义匹配smtp流量条件
FireWall(config-cmap)#match protocol rtp //定义匹配rtp流量条件
FireWall(config-cmap)#match protocol arp //定义匹配arp流量条件
FireWall(config-cmap)#match protocol ntp //定义匹配ntp流量条件
FireWall(config-cmap)#exit //退出
FireWall(config)#class-map type inspect match-any Internet-To-DMZ //创建Internet网络到DMZ网络的匹配条件名为Internet-To-DMZ
FireWall(config-cmap)#match protocol http //定义匹配http流量条件
FireWall(config-cmap)#match protocol tcp //定义匹配tcp流量条件
FireWall(config-cmap)#exit //退出
FireWall(config)#policy-map type inspect 1 //创建策略1
FireWall(config-pmap)#class type inspect Private-To-Internet //在策略中使用匹配条件Private-To-Internet
FireWall(config-pmap-c)#inspect //定义满足条件时的行为inspect
FireWall(config-pmap-c)#class type inspect class-default //配置默认
FireWall(config-pmap-c)#end //退出
FireWall#conf t
FireWall(config)#policy-map type inspect 2 //创建策略2
FireWall(config-pmap)#class type inspect Internet-To-DMZ //在策略中使用匹配条件Internet-To-DMZ
FireWall(config-pmap-c)#inspect //定义满足条件时的行为inspect
FireWall(config-pmap-c)#class type inspect class-default //配置默认
FireWall(config-pmap-c)#end
FireWall#conf t
FireWall(config-pmap)#zone security PrivateZone //创建安全区域 PrivateZone(私有网络)
FireWall(config-sec-zone)#exit //退出
FireWall(config)#zone security DMZZone //创建安全区域 DMZZone(DMZ网络)
FireWall(config-sec-zone)#exit
FireWall(config)#zone security InternetZone //创建外部安全区域InternetZone
FireWall(config-sec-zone)#exit
FireWall(config)#zone-pair security Private-Internet source PrivateZone destination InternetZone //创建从私有网络到Internet区域之间的区域策略
FireWall(config-sec-zone-pair)#service-policy type inspect 1 //定义区域间的策略应用策略1
FireWall(config-sec-zone-pair)#exit //退出
FireWall(config)#zone-pair security Private-DMZ source PrivateZone destination DMZZone //创建从私有网络到DMZ区域之间的区域策略
FireWall(config-sec-zone-pair)#service-policy type inspect 1 //定义区域间的策略应用策略1
FireWall(config-sec-zone-pair)#exit //退出
FireWall(config)#zone-pair security Internet-DMZ source InternetZone destination DMZZone
//创建从Internet到DMZ区域之间的区域策略
FireWall(config-sec-zone-pair)#service-policy type inspect 2 定义区域间的策略应用策略2
FireWall(config-sec-zone-pair)#exit //退出
FireWall(config)#int fa0/0 //进入接口fa0/0
FireWall(config-if)#ip add 192.168.0.2 255.255.255.0 //配置IP
FireWall(config-if)#zone-member security PrivateZone //把接口划入私有网络区域
FireWall(config-sec-zone-pair)#exit //退出
FireWall(config-if)#no sh //开启接口
FireWall(config-if)#exit //退出
FireWall(config)#int fa0/1 //进入接口fa0/1
FireWall(config-if)#ip add 192.168.1.254 255.255.255.0 //配置IP
FireWall(config-if)#zone-member security DMZZone //把接口划入DMZ网络区域
FireWall(config-if)#no sh //开启接口
FireWall(config-if)#exit //退出
FireWall(config)#int s0/0/0 //进入接口s0/0/0
FireWall(config-if)#ip add 1.1.1.1 255.255.255.0 //配置IP
FireWall(config-if)#zone-member security InternetZone //把接口划入Internet网络区域
FireWall(config-if)#no sh //开启接口
FireWall(config-if)#exit //退出
FireWall(config)#ip rou 0.0.0.0 0.0.0.0 1.1.1.2 //配置默认路由
配置R2路由器:
Router>en
Router#conf t
Router(config)#host R2
R2(config)#int s0/0/0
R2(config-if)#ip add 1.1.1.2 255.255.255.0
R2(config-if)#clock rate 64000
R2(config-if)#no sh
R2(config)#int fa0/0
R2(config-if)#ip add 192.168.2.254 255.255.255.0
R2(config-if)#no sh
R2(config-if)#exit
R2(config)#ip rou 0.0.0.0 0.0.0.0 1.1.1.1
测试网络:
通过配置基于区域的防火墙,可以达到保护内部网络不受外部入侵的要求,可以讲ZFW 是CBAC 的增强版,它的配置更灵活简单,只要合理运用会是一个不错的安全解决方案。
CCNA实验三十八 ZFW(区域防火墙)相关推荐
- ArcGIS实验教程——实验三十八:基于ArcGIS的等高线、山体阴影、山顶点提取案例教程
ArcGIS实验视频教程合集:<ArcGIS实验教程从入门到精通>(附配套实验数据)> 文章目录 1. 加载DEM 2. 提取等高距为15m的等高线 3. 提取等高距为75m的等高线 ...
- 三十八、Fluent融化凝固模型参数设置依据
1. 融化凝固模型概述 1.1 模型原理 我们在Chapter37分享了Fluent融化凝固模型案例,前文只是介绍了Fluent中的操作过程. 不知道大家会不会觉得很奇怪,Fluent模拟融化和凝固, ...
- [Python从零到壹] 三十八.图像处理基础篇之图像几何变换(平移缩放旋转)
欢迎大家来到"Python从零到壹",在这里我将分享约200篇Python系列文章,带大家一起去学习和玩耍,看看Python这个有趣的世界.所有文章都将结合案例.代码和作者的经验讲 ...
- 三十八载,Oracle伴我同行—记我的职业成长之路
2015年7月19日 三十八载 Oracle伴我同行 --记我的职业成长之路 2015,今年是Oracle公司38周年:2015,今年我已然38岁.在Oracle庆祝38岁生日之际,仅以此文作为回 ...
- 计算机网络 - 练习(一百三十八)
计算机网络 练习(一百三十八) 关于网络安全,以下说法中正确的是(). A. 使用无线传输可以防御网络监听 B. 木马是一种蠕虫病毒 C. 使用防火墙可以有效地防御病毒 D. 冲击波病毒利用 Wind ...
- 深度学习入门(三十八)计算性能——多GPU训练
深度学习入门(三十八)计算性能--多GPU训练 前言 计算性能--多GPU训练 课件 多GPU并行 数据并行VS模型并行 数据并行 总结 教材 1 问题拆分 2 数据并行性 3 简单网络 4 数据同步 ...
- OpenCV学习笔记(三十六)——Kalman滤波做运动目标跟踪 OpenCV学习笔记(三十七)——实用函数、系统函数、宏core OpenCV学习笔记(三十八)——显示当前FPS OpenC
OpenCV学习笔记(三十六)--Kalman滤波做运动目标跟踪 kalman滤波大家都很熟悉,其基本思想就是先不考虑输入信号和观测噪声的影响,得到状态变量和输出信号的估计值,再用输出信号的估计误差加 ...
- Android项目实战(三十八):2017最新 将AndroidLibrary提交到JCenter仓库(图文教程)...
Android项目实战(三十八):2017最新 将AndroidLibrary提交到JCenter仓库(图文教程) 原文:Android项目实战(三十八):2017最新 将AndroidLibrary ...
- JavaScript学习(三十八)—面向过程与面向对象
JavaScript学习(三十八)-面向过程与面向对象 一.程序设计语言中的两大编程思想:面向对象.面向过程 (一).面向过程 就是指完成某个需求的时候,先分析出完成该需求时所需要经历的步骤有哪些,然 ...
最新文章
- 王维嘉:神经网络的本质是在数据里面提取相关性
- 反向工程_反向工程:宾利精心复刻了1929 Blower车型
- Intel提供的面向机器学习和深度学习的优化工具和框架
- 我们生活在最好的时代
- python3-day4(装饰器)
- 欧拉函数 cojs 2181. 打表
- 平均年薪60.8万!拿下这个证书,算法岗直接起飞!
- IDEA控制台问题:At least one JAR was scanned for TLDs yet contained no TLD
- .Net控件Telerik全套下载:Telerik Controls 2010 Q2 (附加DLL文件+源码)
- 亲手制作:超级DOS工具+Vista+加强版WindowsXP Lite5.8集成
- 机器学习读书笔记之决策树
- 谷粒学院 Day12.登录页面模式、整合JWT、整合QQ邮箱、用户登录注册接口【后端】、用户登录注册【前端】
- 空间不足以提取VMware Tools解决方法
- 22.1.2是否存在三升序列
- 用c语言制作一个简单的答题系统
- 蓝牙BLE方案|伦茨科技-智能直播补光灯方案
- 2022-2028全球激光全息膜行业调研及趋势分析报告
- Workrave怎么用 Workrave使用方法, Workrave 健康计时器,预防电脑长期操作的职业病伤害...
- python基础教程:Python中利用sqrt()方法进行平方根计算的教程
- GMIC2013新风向:人人网与凡客强强联合力推优惠专区
热门文章
- 苹果Mac转用自研芯片,Intel没落,ARM席卷一切
- (六)统计学习方法 | 支持向量机
- 掌财社寒山:垄断阴影未除,失去左晖的贝壳还能走多远?
- 国产仪器 6914CA/6914DA/6914EA/6914CX/6914DX/6914EX数字示波器
- 中国石油大学(北京)-《石油加工工程》第三阶段在线作业
- 在c程序语言中aph,C 语言试题
- 【77 backtrader的一些高级技巧】如何使用backtrader更好的计算夏普率?
- 庞博 上海交大计算机系,上海交大电子信息与电气工程学院卢策吾团队在人工智能《自然》子刊提出时空概念提取算法...
- 难道真的忘记放洗衣粉了??
- 中秋快乐版二维码生成器实现