码迷,mamicode.com
首页 > 其他好文 > 详细

某公司防火墙配置-2

时间:2018-02-06 18:09:01      阅读:186      评论:0      收藏:0      [点我收藏+]

标签:配置   images   访问   发布   icmp   isp   col   默认   des   

好的,接着昨天的配置,我们需要发布公司的服务器供internet上的用户访问,拓扑图如下:

技术分享图片

由于为了防止病毒攻击,我们不能放开untrust区域和dmz区域之间的策略:

[SRG]display firewall packet-filter default all

技术分享图片

状态为deny。

接下来我们来做一些策略让internet上的用户可以访问服务器上的http、ping通、ftp

首先先创建一个服务集toserver:

[SRG]ip service-set toserver type object    

 然后把icmp、www(80)、ftp(21)放入服务集中:

[SRG-object-service-set-toserver]service 0 protocol icmp

[SRG-object-service-set-toserver]service 1 protocol tcp destination-port 80

[SRG-object-service-set-toserver]service 2 protocol tcp destination-port 21


接着我们开启策略:

[SRG]policy interzone untrust dmz inbound 

[SRG-policy-interzone-dmz-untrust-inbound]policy 10 

[SRG-policy-interzone-dmz-untrust-inbound-10]policy service service-set toserver

[SRG-policy-interzone-dmz-untrust-inbound-10]policy destination 10.1.3.10 0

[SRG-policy-interzone-dmz-untrust-inbound-10]action permit


接着我们配置服务器:

技术分享图片

最后我们验证一下:

1、用untrust区域中的client9ping服务器地址:


技术分享图片

2、访问服务器的http的功能:

技术分享图片


由于ftp有双通道概念,防火墙默认是关闭双通道的所以我们要开启ftp双通道:

[SRG]firewall interzone untrust dmz

[SRG-interzone-dmz-untrust]detect ftp

然后验证ftp:

技术分享图片

如果不开启双通道模式是无法访问ftp的,大家可以验证一下。

某公司防火墙配置-2

标签:配置   images   访问   发布   icmp   isp   col   默认   des   

原文地址:http://blog.51cto.com/13568842/2069501

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!