弱电工程设计、施工、培训、运维一站式服务商
全国服务热线: 021-52045910

24小时热线:13122207030

“网络工程师培训”基础教程:防火墙基本配置任务列表


防火墙基本配置任务

防火墙基本配置任务


前面我们零星的介绍了Quidway 系列路由器配置防火墙的相关内容,本页所示为完成防火墙配置的步骤。

在实际的使用中,还可能用到以下的扩展应用:

1.设置防火墙的缺省过滤模式;

2.允许或禁止时间段;

3.设定时间段;

4.允许日志主机;

5.指定日志主机;

6.显示配置状况。

其中,2 和4 均在配置访问列表中设置,1、3、5 和6 由专门的命令完成。

防火墙的属性配置命令

防火墙的属性配置命令


属性命令中,首先是打开防火墙的操作:

firewall {enable | disable}允许/ 禁止防火墙过滤;

其次,是设置防火墙的缺省过滤模式的操作:

firewall default {permit | disable } 缺省方式是禁止还是允许;

缺省过滤模式用以定义对访问列表控制以外的 IP 或者 TCP 等数据包的处理,

Quidway 系列路由器防火墙的默认过滤模式是允许。

用 show firewall 命令可以显示防火墙状态信息。

时间段包过滤

时间段包过滤


基于时间段,用户可以指定一天 24 小时中的任意时间段为特殊时间段(可以是多个),不在任何特殊时间段的其他时间称为普通时间段。用户在定义访问列表时,可以指定该规则是在特殊时间段还是在普通时间段生效。

时间段包过滤(续)

时间段包过滤(续)


timerange { enable|disable } 允许 | 禁止时间段

Quidway防火墙默认为禁止时间段。

settr begin-time end-time [ begin-time end-time ...... ] 设置特殊时间段

show isintr 显示当前时间是否在特殊时间段内

show timerange显示配置的时间段

日志功能

日志功能


日志功能用以记录下所有来犯防火墙的操作信息,在访问列表允许日志功能后,需再配置如下一条命令,以指定日志主机的位置,日志主机可以是一台普通的网络工作站,也可以是专用的服务器,它们之上需运行标准的日志程序,以接收路由器发回的日志记录。

loghost ip-address指定日志主机的IP地址。

用 show loghost 命令可以显示当前日志主机状况。

防火墙配置举例

组网图

组网图


某公司通过一台 Quidway 2501路由器的接口Serial0 访问 Internet ,公司内部对外提供 www、ftp 和 telnet 服务,公司内部子网为129.38.1.0,其中,内部 ftp 服务器地址为129.38.1.1,内部 telnet 服务器地址为129.38.1.2,内部 www 服务器地址为129.38.1.3,公司对外地202.38.160.1。在路由器上配置了地址转换,这样内部特定 PC 机(129.38.1.4)可以访问Internet ,外部PC可以访问内部服务器。通过配置防火墙,希望实现以下要求:

外部网络只有特定用户可以访问内部服务器。

内部网络只有特定主机可以访问外部网络。

假定外部特定用户的 IP 地址为202.39.2.3 。

组网需求与配置

组网需求与配置


参考配置如下:

允许防火墙:

Quidway(config)# firewall enable

设置防火墙缺省过滤方式为允许包通过:

Quidway(config)# firewall default permit

配置访问规则禁止所有包通过:

Quidway(config)# access-list 100 deny ip any any

配置规则允许特定主机(129.38.1.4)访问外部网,允许内部服务器访问外部网:

Quidway(config)# access-list 101 permit ip 129.38.1.4 0 any

Quidway(config)# access-list 101 permit ip 129.38.1.1 0 any

Quidway(config)# access-list 101 permit ip 129.38.1.2 0 any

Quidway(config)# access-list 101 permit ip 129.38.1.3 0 any

配置规则允许特定用户从外部网访问内部服务器:

Quidway(config)# access-list 102 permit tcp 202.39.2.3 0 202.38.160.1 0

配置规则允许特定用户从外部网取得数据(只允许端口号大于1024的包):

Quidway(config) # access-list 102 permit tcp any 202.38.160.1 0 gt 1024

Quidway(config) # access-list normal 102 deny ip any any

将规则100 作用于从接口 Ethernet0 进入的包:

Quidway(config)# interface ethernet 0

Quidway(config-if-Ethernet0)# ip access-group 100 in

将规则101 作用于从接口 Ethernet0 进入的包:

Quidway(config-if-Ethernet0)#ip access-group 101 in

将规则102 作用于从接口 Serial0 进入的包:

Quidway(config-if-Serial0)# ip access-group 102 in

在接口 Serial0上作地址转换:

Quidway(config-if-Serial0)# nat enable

在全局模式下配置 Nat server :

natserver ftphost 129.38.1.1

natserver telnethost 129.38.1.2

natserver wwwhost 129.38.1.3

其他内容如各端口 IP 地址,封装协议等这里不再赘述。


全心服务内容

网络综合布线
网络综合布线

为办公室电脑、各类智能设备提供高速稳定的千兆有线网络连接服务

无线网络覆盖
无线网络覆盖

适用于办公室、酒店、公寓、仓库、商业环境智能WiFi网络覆盖搭建

AI智能高清监控
AI智能高清监控

基于AI智能新一代数字高清监控系统,相比传统安防系统更加智能化

智能楼宇对讲
智能楼宇对讲

新建小区、老旧小区改造、智能化公寓,结合APP应用更方便更智能

数字多媒体系统
数字多媒体系统

工厂、酒店、会议室多场景数字多媒体系统,会议、影音更灵活便捷

人脸识别门禁道闸
人脸识别门禁道闸

基于人脸识别技术,办公室、门禁、考勤、通道闸机等多种应用场景

联系我们

021-52045910/13122207030

上海市金沙江西路1075号万达商务广场8号楼3楼

周一到周五 8:00 - 18:00