防火墙常规配置

发布时间:2019年06月19日 阅读:645 次

五个域:

常规外部端口加入untrust

untrust(不信任域):

低级安全区域,安全优先级为5

通常用来定义Internet等不安全的网络,用于网络入口线的接入。


dmz(隔离区):

中级安全区域,安全优先级为50

通常用来定义内部服务器所在网络

作用是把WEB,E-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。


trust(信任域):

高级级安全区域,安全优先级为85

通常用来定义内部用户所在的网络,也可以理解为应该是防护最严密的地区。


local(本地):

顶级安全区域,安全优先级为100

local就是防火墙本身的区域,比如ping指令等网际控制协议的回复,需要local域的权限

凡是由防火墙主动发出的报文均可认为是从Local区域中发出

凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local区域接收


management(管理):

顶级安全区域,安全优先级为100

除了console控制接口对设备进行配置,如果防火墙设备可以通过web界面配置的话,需要一根双绞线连接到管理接口,键入用户名和密码进行配置。


三种工作模式:

无非就是防火墙各接口是路由模式还是交换模式的差别

安全策略:

      互联网(从内往外):源安全域(trust)目的安全域(untrust)行为(允许)

      防护(从外往内):源安全域(untrust)目的安全域(trust)行为(拒绝)

SNAT转换:

     any到any转换后匹配公网IP地址

静态路由:

    0.0.0.0 0.0.0.0 到公网地址网关

    内部地址网段 内部地址掩码 到下级设备级联口IP

Tag:
相关文章