收藏
下载资源

基于区域的策略防火墙zfw配置

上传人:第*** 文档编号:37976175 上传时间:2018-04-25 格式:DOC 页数:13 大小:1.31MB
返回 下载 相关 举报
基于区域的策略防火墙zfw配置_第1页
第1页 / 共13页
基于区域的策略防火墙zfw配置_第2页
第2页 / 共13页
基于区域的策略防火墙zfw配置_第3页
第3页 / 共13页
基于区域的策略防火墙zfw配置_第4页
第4页 / 共13页
基于区域的策略防火墙zfw配置_第5页
第5页 / 共13页
点击查看更多>>
资源描述

《基于区域的策略防火墙zfw配置》由会员分享,可在线阅读,更多相关《基于区域的策略防火墙zfw配置(13页珍藏版)》请在金锄头文库上搜索。

1、 多听多问多实验 实验出真知 Copyright 2011 ps 风月 Co., Ltd.1基于区域的策略防火墙 ZFW 配置步骤使用 Cisco Packet Tracer 5.3 创建如下拓扑图:实验要求 1:保证全网互通配置 R1 路由器:RouterenRouter#conf tRouter(config)#hostname R1R1(config)#int fa0/0R1(config-if)#ip add 192.168.0.1 255.255.255.0R1(config-if)#no shR1(config)#ip route 0.0.0.0 0.0.0.0 192.168.0

2、.2配置 FireWall 路由器:RouterenRouter#conf t多听多问多实验 实验出真知 Copyright 2011 ps 风月 Co., Ltd.2Router(config)#hostname FireWallFireWall(config)#int fa0/0 FireWall(config-if)#ip add 192.168.0.2 255.255.255.0 FireWall (config-if)#no shFireWall(config)#int fa1/0 FireWall(config-if)#ip add 192.168.1.254 255.255.25

3、5.0 FireWall(config-if)#no shFireWall(config)#int f0/1 FireWall(config-if)#ip add 1.1.1.1 255.255.255.0 FireWall(config-if)#no shFireWall(config-if)#exit FireWall(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2配置 R2 路由器:RouterenRouter#conf tRouter(config)#hostname R2R2(config)#int f/0R2(config-if)#ip add 1

4、.1.1.2 255.255.255.0R2(config-if)#no shR2(config)#int fa0/1R2(config-if)#ip add 192.168.2.254 255.255.255.0R2(config-if)#no shR2(config-if)#exitR2(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.1由 R1 ping 各路由器接口R1 ping DMZ 区域服务器R1#ping 192.168.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos

5、to 192.168.1.1, timeout is 2 多听多问多实验 实验出真知 Copyright 2011 ps 风月 Co., Ltd.3seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 50/60/63 msR1 Ping 外网主机R1#ping 192.168.2.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:!Success rate is

6、100 percent (5/5), round-trip min/avg/max = 78/90/94 ms实现了全网互通实验要求 2:内网 R1 能 ping 通 Internet 跟 DMZ 区域DMZ 区域不能访问 Internet 和内网Internet 不能 ping 通内网和 DMZ 区域,但是 Internet 可以访问 DMZ 区域的 HTTP 服务1 创建 zone/关联 zone 到接口FireWall (config)#zone security Private/创建安全区域 Private(私有网络)FireWall (config-sec-zone)#exiFire

7、Wall (config)#zone security Internet/创建外部安全区域 Internet FireWall (config-sec-zone)#exiFireWall (config)#zone security DMZ/创建安全区域 DMZ (DMZ 网络)FireWall (config-sec-zone)#exiFireWall (config)#int f0/0FireWall (config-if)#zone-member security Private/关联 zone 到接口FireWall (config-if)#int f0/1FireWall (conf

8、ig-if)#zone-member security Internet多听多问多实验 实验出真知 Copyright 2011 ps 风月 Co., Ltd.4FireWall (config-if)#int f1/0FireWall (config-if)#zone-member security DMZ2 配置 class-map 匹配流量FireWall(config)#class-map type inspect match-any Private-To-Internet /创建私有网络到 Internet 网络的匹配条件名为 Private-To-InternetFireWall(

9、config-cmap)#match protocol http FireWall(config-cmap)#match protocol icmp FireWall(config-cmap)#match protocol tcp FireWall(config-cmap)#match protocol udpFireWall(config-cmap)#match protocol telnet FireWall(config-cmap)#match protocol ip FireWall(config-cmap)#match protocol ntp FireWall(config-cma

10、p)#exit FireWall(config)#class-map type inspect match-any Internet-To-DMZ /创建 Internet 网络到 DMZ 网络的匹配条件名为 Internet-To-DMZFireWall(config-cmap)#match protocol http FireWall(config-cmap)#match protocol tcp FireWall(config-cmap)#exit 3 配置 parameter-map(Cisco PacketTracer5.3 不支持此项配置)R1(config)#parameter-

11、map type inspect Private-To-Internet.paFireWall(config-profile)#max-incomplete low 800FireWall(config-profile)#max-incomplete high 1000FireWall(config-profile)#tcp synwait-time 5FireWall(config-profile)#tcp finwait-time 5FireWall(config-profile)#tcp idle-time 5FireWall(config-profile)#exiFireWall(co

12、nfig)#parameter-map type inspect Internet-To-DMZ.paFireWall(config-profile)#max-incomplete low 800FireWall(config-profile)#max-incomplete high 1000FireWall(config-profile)#tcp synwait-time 5多听多问多实验 实验出真知 Copyright 2011 ps 风月 Co., Ltd.5FireWall(config-profile)#tcp finwait-time 5FireWall(config-profil

13、e)#tcp idle-time 5FireWall(config-profile)#exi4 配置 policy-mapFireWall(config)#policy-map type inspect 1 /创建策略 1FireWall(config-pmap)#class type inspect Private-To-Internet /在策略中使用匹配条件 Private-To-InternetFireWall(config-pmap-c)#inspect /定义满足条件时的行为 inspectFireWall(config-pmap-c)#class type inspect cla

14、ss-default /配置默认FireWall(config-pmap-c)#end FireWall#conf tFireWall(config)#policy-map type inspect 2 /创建策略 2FireWall(config-pmap)#class type inspect Internet-To-DMZ /在策略中使用匹配条件 Internet-To-DMZFireWall(config-pmap-c)#inspect /定义满足条件时的行为 inspectFireWall(config-pmap-c)#class type inspect class-default

15、 /配置默认FireWall(config-pmap-c)#end5 运用 policy-map 到 zone-pairsFireWall(config)#zone-pair security Private-Internet source Private destination Internet/创建从私有网络到 Internet 区域之间的区域策略FireWall(config-sec-zone-pair)#service-policy type inspect 1 /定义区域间的策略应用策略 1FireWall(config-sec-zone-pair)#exit FireWall(co

16、nfig)#zone-pair security Private-DMZ source Private destination DMZ/创建从私有网络到 DMZ 区域之间的区域策略FireWall(config-sec-zone-pair)#service-policy type inspect 1 /定义区域间的策略应用策略 1FireWall(config-sec-zone-pair)#exit FireWall(config)#zone-pair security Internet-DMZ source Internet destination DMZ/创建从 Internet 到 DMZ 区域之间的区域策略多听多问多实验 实验出真知 Copyright 2011 ps 风月 Co., Ltd.6FireWall(config-sec-zone-

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号