上圖是乙個具有三個區段的小型網路。
internet
區段的網路位址是
202.100.100.0
,掩碼是
255.255.255.0
;dmz
區段的網路位址是
172.16.1.0
,掩碼是
255.255.255.0
;內部網路區段的
網路位址是
192.168.1.0
,掩碼是
255.255.255.0。
fe1
的ip
位址是192.168.1.1
,掩碼是
255.255.255.0
;fe3
的ip
位址是172.16.1.1
,掩碼是
255.255.255.0
;fe4
的ip
位址是202.100.100.3
,掩碼是
255.255.255.0
。內部網路區段主機的
預設閘道器指向
fe1
的ip
位址192.168.1.1
;dmz
網路區段的主機的預設閘道器指向
fe3
的ip 地
址172.16.1.1
;防火牆的預設閘道器指向路由器的位址
202.100.100.1。
www
伺服器的位址是
172.16.1.10
,埠是80;
伺服器的位址是
172.16.1.11,端
口是25
和110
;ftp
伺服器的位址是
172.16.1.12
,埠是21。
安全策略的預設策略是禁止。允許內部網路區段訪問
dmz
網路區段和
internet
區段的http,smtp
,pop3
,ftp
服務;允許
internet
區段訪問
dmz
網路區段的伺服器。其他的訪問都
是禁止的。
5.1.2
配置步驟
1. 網路配置
>
網路裝置
>
:編輯物理裝置
fe1,將它的
ip 位址配置為
192.168.1.1
,掩碼是
255.255.255.0。
注意:fe1
預設是用於管理的裝置,如果改變了它的位址,就不能用原來的位址管理了。
而且預設的管理主機位址是
10.1.5.200
,如果沒有事先新增其它的管理主機位址,將會
導致防火牆再也不能被管理了(除非用串列埠登入上去新增新的管理主機位址)。其它設
備預設是不啟用的,所以配位址時要同時選擇啟用裝置。
2. 網路配置
>
網路裝置
>
:編輯物理裝置
fe3,將
ip 位址配置為
172.16.1.1
,掩碼是
255.255.255.0。
3. 網路配置
>
網路裝置
>
:編輯物理裝置
fe4,將
ip 位址配置為
202.100.100.3
,掩碼是
255.255.255.0。
4. 網路配置
>
靜態路由
>
:新增下一跳位址是
202.100.100.1
的預設路由。目的位址,掩碼 都是
0.0.0
.0,介面選擇
fe4。
注意:策略配置是基於資源的,所以在配置下面的策略時,請先定義如下的資源:
local_net
:網路位址
192.168.1.0
,掩碼255.255.255.0
dmz_net
:網路位址
172.16.1.0
,掩碼255.255.255.0
www_server
:主機位址
172.16.1.10
,掩碼是
255.255.255.255
mail_server
:主機位址
172.16.1.11
,掩碼是
255.255.255.255
ftp_server
:主機位址
172.16.1.12
,掩碼是
255.255.255.255
5. 策略配置
>
安全規則
>
:新增源位址是
local_net
,目的位址是
any,服務是
http,動
作是允許的包過濾規則。
6. 策略配置
>
安全規則
>
:新增源位址是
local_net
,目的位址是
any,服務是
smtp,動
作是允許的包過率規則。
7. 策略配置
>
安全規則
>
:新增源位址是
local_net
,目的位址是
any,服務是
pop3,
動作是允許的包過濾規則。
8. 策略配置
>
安全規則
>
:新增源位址是
local_net
,目的位址是
any,服務是
ftp,動
作是允許的包過濾規則。
9. 策略配置
>
安全規則
>
:新增源位址是
local_net
,目的位址是
any,服務是
any 的
nat
規則。
10.
策略配置
>
安全規則
>
:新增源位址是
any,目的位址
172.16.1.10
,服務是
,動作是
允許的包過濾規則。
11.
策略配置
>
安全規則
>
:新增源位址是
any,目的位址
172.16.1.11
,服務是
smtp
,動作是
允許的包過濾規則。
12.
策略配置
>
安全規則
>
:新增源位址是
any,目的位址
172.16.1.11
,服務是
pop3
,動作是
允許的包過濾規則。
13.
策略配置
>
安全策略
>
:新增源位址是
any,目的位址
172.16.1.12
,服務是
ftp,動作是
允許的包過濾規則。
14.
策略配置
>
安全策略
>
:新增公開位址是
202.100.100.3
,對外服務是
,內部位址是
www_server
,內部服務是
的埠對映規則。
15.
策略配置
>
安全策略
>
:新增公開位址是
202.100.100.3
,對外服務是
smtp
,內部位址是
mail_server
,內部服務是
smtp
的埠對映規則。
16.
策略配置
>
安全策略
>
:新增公開位址是
202.100.100.3
,對外服務是
pop3
,內部位址是
mail_server
,內部服務是
pop3
的埠對映規則。
17.
策略配置
>
安全策略
>
:新增公開位址是
202.100.100.3
,對外服務是
ftp,內部位址是
ftp_server
,內部服務是
ftp
的埠對映規則。
防火牆設定
目錄導航 一 iptables防火牆 二 firewall防火牆 centos7 的防火牆配置跟以前版本有很大區別,centos7這個版本的防火牆預設使用的是firewall,與之前的版本centos 6.x使用iptables不一樣 目錄導航 一 iptables防火牆 1 基本操作 servic...
防火牆設定
防火牆設定 firewall cmd zone public add port 80 tcp permanent 新增埠 firewall cmd zone public query port 80 tcp 查詢80埠是否開啟 firewall cmd zone public list ports ...
suse 防火牆設定
suse 防火牆設定 suse預設的防火牆設定為禁止所有外來聯結。如果你想開放某個埠的話,就得修改防火牆設定開放這個埠。本文介紹了怎麼修改suse的防火牆設定以開放某指定埠。手動修改 vi etc sysconfig susefirewall2 tcp埠的情況 fw services ext tcp...