ImageVerifierCode 换一换
格式:DOCX , 页数:6 ,大小:67.01KB ,
资源ID:20561412      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/20561412.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(防火墙技术在政府网站中的应用与方案设计附录Word格式.docx)为本站会员(b****6)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

防火墙技术在政府网站中的应用与方案设计附录Word格式.docx

1、Pix525(config-if)# no shutdown/启动接口Ethernet1Pix525(config)# interface Ethernet2/启动接口Ethernet2Pix525(config)# interface Ethernet3/启动接口Ethernet3将防火墙的内网接口命名为inside,外部网络接口命名为outside,与DMZ区相连的接口命名为DMZ,并指定它们的安全级别分别为100,0,50。即内网接口安全级别最高,DMZ口次之,外部网络接口最低。(2)为接口命名并指定安全级别Pix525(config-if)#nameif outsidePix525(c

2、onfig-if)#security-level 0/ ethernet0接口命名为outside并指定安全级别为0Pix525(config-if)#nameif inside1 Pix525(config-if)#security-level 100 / ethernet1接口命名为inside1并指定安全级别为100Pix525(config-if)#nameif dmz Pix525(config-if)#security-level 50/ ethernet2接口命名为dmz并指定安全级别为50Pix525(config-if)#nameif inside2 / ethernet3接

3、口命名为inside2并指定安全级别为100(3)配置内外网卡的IP地址(id address)Pix525(config-if)#ip address 209.165.201.3 255.255.255.252 /外部接口IP地址为209.165.201.3Pix525(config-if)#ip address 10.1.4.1 255.255.255.252/内部接口IP地址为10.1.4.1Pix525(config-if)#ip address 10.1.4.5 255.255.255.252/内部接口IP地址为10.1.4.5Pix525(config-if)# ip addres

4、s 10.1.4.9 255.255.255.252/dmz口IP地址为10.1.4.9在为接口配置了IP地址后用show ip命令将系统的运行情况显示出来。截图如图A1防火墙接口配置截图所示:图A1 防火墙接口配置截图附录B 静态路由配置PIX防火墙具有部分路由选择能力,静态路由条目告诉PIX防火墙把目的地址为某个特定网络的数据包,转发给指定的路由器或是与网桥类似的网关类设备。在配置静态路由时,指定到达某网络静态路由的下一跳路由IP地址。在本方案中,创建了一条到网络10.1.2.0和10.1.3. 0的静态路由,静态路由的下一条路由器IP地址都是10.1.4.2 。到网络10.1.1.0的静

5、态路由,静态路由的下一条路由IP地址是10.1.4.10。(1)静态路由配置Pix525(config)#route inside 10.1.2.0 255.255.255.0 10.1.4.2 1/到达网络10.1.2.0静态路由的下一条路由器IP地址为10.1.4.2Pix525(config)#route inside 10.1.3.0 255.255.255.0 10.1.4.6 1/到达网络10.1.3.0静态路由的下一条路由器IP地址为10.1.4.6Pix525(config)#route dmz 10.1.1.0 255.255.255.0 10.1.4.10 1/到网络10.

6、1.1.0的静态路由,静态路由的下一条路由器IP地址是10.1.4.10(2)静态IP地址翻译:pix525 (config)#static (dmz,outside) 209.165.201.3 ftp 10.1.1.27 ftp netmask 255.255.255.255/IP地址为10.1.1.27的FTP服务器,被翻译成209.165.201.3这个全局地址pix525 (config)#static (dmz,outside) 209.165.201.3 http 10.1.1.28 http netmask 255.255.255.255/IP地址为10.1.1.28的HTTP

7、服务器,被翻译成209.165.201.3这个全局地址pix525 (config)#static (dmz,outside) 209.165.201.3 smtp 10.1.1.29 smtp netmask 255.255.255.255/ IP地址为10.1.1.29的SMTP服务器,被翻译成209.165.201.3这个全局地址用show route将静态路由配置情况显示出来,截图如图B1静态路由配置截图所示: 图B1静态路由配置截图附录C 防火墙的ACL配置 pix525 (config)#access-list ACL_OUT permit tcp any host 209.165

8、.201.3 eq Web/允许任意主机对主机209.165.201.3进行Web 访问 pix525 (config)#access-list ACL_OUT permit tcp any host 209.165.201.3 eq FTP/允许任意主机对主机209.165.201.3进行FTP访问pix525 (config)#access-list ACL_OUT permit tcp any host 209.165.201.3 eq SMTP/允许任意主机对主机209.165.201.3进行SMTP访问pix525 (config)#access-group ACL_OUT in i

9、nterface outside/将名为ACL_OUT的ACL绑定到接口outside上pix525 (config)#access-list INSIDE permit ip any any/表示允许从任意源主机到任意目标从接口inside进入的IP流量。pix525 (config)#access-group INSIDE in interface inside/将名为INSIDE 的ACL绑定到接口inside上pix525 (config)#access-list 100 permit icmp any any/表示允许从任意源主机到任意目标进入的ICMP流量。pix525 (conf

10、ig)#access-group 100 in interface outside/将名为100的ACL绑定到接口outside上Pix525 (config)# show access-list 用show access-list命令将配置的ACL运行情况显示出来截图如图C1 ACL配置截图所示:图C1 ACL配置截图附录D 防火墙的NAT配置在本方案中,对DMZ区的IP地址进行了静态地址转换,而考虑到内部网络用户数量大,利用global命令定义一个地址池来对其IP地址进行动态NAT地址转换,将内部网络IP地址映射到不同的公网IP地址。其中将10.1.2.0网段的地址转换为209.165.2

11、02.3-209.165.202.10地址池中的一个地址。在第三章的图3.2中可以看到当10.1.2.0和10.1.3.0这两个网段的主机访问DMZ区的服务器的时候没有进行地址转换,原因是不进行NAT,可提高访问速度,因为它是访问DMZ区的服务器,所以也不存在IP地址暴露于Internet的危险。所以在进行配置的时候就要用到标识NAT。NAT 0命令可以关闭地址转换,当在内部网络中拥有一个公网的IP地址并且这个地址要被外部网络访问的时候就要使用这个特性。在本设计中主要是因为为提高访问速度,而不进行NAT转换。pix525 (config)#access-list NET1 permit ip

12、10.1.2.0 255.255.255.0 any / 建立一个ACL,允许10.1.2.0网段的主机访问外网pix525 (config)#global (outside) 1 209.165.202.3-209.165.202.10/指定外部地址范围为209.165.202.3-209.165.202.10pix525 (config)#nat (inside) 1 access-list NET1/将ACL中的10.1.2.0网段的地址转换为209.165.202.3-209.165.202.10地址池中的一个地址pix525 (config)#access-list NET2 per

13、mit ip 10.1.3.0 255.255.255.0 any/建立一个ACL,允许10.1.3.0网段的主机访问外网pix525 (config)#global (outside) 2 209.165.202.11-209.165.202.18/指定外部地址范围为209.165.202.11-209.165.202.18pix525 (config)#nat (inside) 2 access-list NET2/将ACL中的10.1.3.0网段的地址转换为209.165.202.11-209.165.202.18地址池中的一个地址pix525 (config)#access-list

14、EXEMPT permit ip 10.1.2.0 255.255.255.0 10.1.1.0 255.255.255.0/配置一条ACL规则,表示允许10.1.2.0网段进入到10.1.1.0的IP流量。pix525 (config)#access-list EXEMPT permit ip 10.1.3.0 255.255.255.0 10.1.1.0 255.255.255.0/配置一条ACL规则,表示允许10.1.3.0网段进入到10.1.1.0的IP流量。pix525 (config)#nat (inside) 0 access-list EXEMPT/对名为EXEMPT的ACL规则中的IP地址不进行NAT转换Pix525 (config)# show xlate用show xlate命令将系统运行的地址转换表显示出来,截图如图D1 NAT配置截图所示:图D1 NAT配置截图

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1