标签:配置 images 访问 发布 icmp isp col 默认 des
好的,接着昨天的配置,我们需要发布公司的服务器供internet上的用户访问,拓扑图如下:由于为了防止病毒攻击,我们不能放开untrust区域和dmz区域之间的策略:
[SRG]display firewall packet-filter default all
状态为deny。
接下来我们来做一些策略让internet上的用户可以访问服务器上的http、ping通、ftp
首先先创建一个服务集toserver:
[SRG]ip service-set toserver type object
然后把icmp、www(80)、ftp(21)放入服务集中:
[SRG-object-service-set-toserver]service 0 protocol icmp
[SRG-object-service-set-toserver]service 1 protocol tcp destination-port 80
[SRG-object-service-set-toserver]service 2 protocol tcp destination-port 21
接着我们开启策略:
[SRG]policy interzone untrust dmz inbound
[SRG-policy-interzone-dmz-untrust-inbound]policy 10
[SRG-policy-interzone-dmz-untrust-inbound-10]policy service service-set toserver
[SRG-policy-interzone-dmz-untrust-inbound-10]policy destination 10.1.3.10 0
[SRG-policy-interzone-dmz-untrust-inbound-10]action permit
接着我们配置服务器:
最后我们验证一下:
1、用untrust区域中的client9ping服务器地址:
2、访问服务器的http的功能:
由于ftp有双通道概念,防火墙默认是关闭双通道的所以我们要开启ftp双通道:
[SRG]firewall interzone untrust dmz
[SRG-interzone-dmz-untrust]detect ftp
然后验证ftp:
如果不开启双通道模式是无法访问ftp的,大家可以验证一下。
标签:配置 images 访问 发布 icmp isp col 默认 des
原文地址:http://blog.51cto.com/13568842/2069501