透明防火墙应用配置案例
实训要求:
1) 完成整个网络环境的搭建,完成好外网服务器及客户端IP信息的配置;
2) 完成FTP、Web服务器的配置;
3) 正确配置三层交换机、路由器;
4) 正确配置防火墙;
5) 使内网的客户端可以访问外网的任何服务(包括ping协议);
6) 内网中的客户端可以远程到防火墙对其进行管理。
SW的配置说明:
Switch#config terminal
Switch(config)#
Switch(config)#host SW
SW(config)#ip routing
SW(config)#int f0/2
SW(config-if)#switchport access vlan 2
SW(config-if)#exit
SW(config)#int f0/10
SW(config-if)#no switchport
SW(config-if)#ip add 192168102 2552552550
SW(config-if)#no sh
SW(config-if)#exit
SW(config)#int vlan 2
SW(config-if)#ip add 19216821 2552552550
SW(config-if)#no sh
SW(config)#ip route 1010100 2552552550 192168101
FW配置说明:
ciscoasa# conf t
ciscoasa(config)# firewall transparent ------------------设置防火墙为透明模式
ciscoasa(config)# host FW
FW(config)# int e0/0
FW(config-if)# switchport acc vlan 1 ------------------设置端口与VLAN1绑定
FW(config-if)# no sh
FW(config-if)# exit
FW(config)# int e0/1
FW(config-if)# switchport acc vlan 2 --------------设置端口与VLAN2绑定
FW(config-if)# no sh
FW(config-if)# exit
FW(config)# int vlan 1
FW(config-if)# nameif outside ---------------------对端口命名外端口
FW(config-if)# security-level 0 --------------------设置端口等级
FW(config-if)# no sh
FW(config-if)# exit
FW(config)# int vlan 2
FW(config-if)# nameif inside ---------------------对端口命名内端口
FW(config-if)# security-level 100 --------------------设置端口等级
FW(config-if)# no sh
FW(config)# ip address 1921681010 2552552550 ------------配置管理IP地址
FW(config)# access-list icmp extended permit icmp any any --------------设置ACL列表(允许ICMP全部通过)
FW(config)# access-list ip extended permit ip any any ------------------设置ACL列表(允许所有IP通过)
FW(config)# access-group icmp in interface outside
------------------------------------------------------------------设置ACL列表绑定到外端口
FW(config)# access-group icmp in interface inside
------------------------------------------------------------------设置ACL列表绑定到内端口
FW(config)# access-group ip in interface inside
FW(config)# access-group ip in interface outside
FW(config)# route outside 0000 0000 192168101 --------为管理地址配置网关
FW(config)# route inside 19216820 2552552550 192168102
----------------------------------------------------------------------为管理地址配置网关
FW (config)# telnet 0000 0000 inside ------------设置TELNET所有地址进入
R配置说明:
Router(config)#host R
R(config)#int f0/0
R(config-if)#ip add 192168101 2552552550
R(config-if)#no sh
R(config-if)#exit
R(config)#int f0/1
R(config-if)#ip add 1010101 2552552550
R(config-if)#no sh
R(config-if)#exit
R(config)#ip route 19216820 2552552550 192168102
R (config)#access-list 1 permit 19216800 00255255
-------------------------------------------定义内部网络中允许访问外部的访问控制列表
R(config)#ip nat inside source list 1 interface f0/1 overload
------------------------------------------------------------------------指定网络地址转换映射
R(config)#interface f0/1
R(config-if)#ip nat outside ---------------------------------在外部端口上启用NAT
R(config)#interface fastethernet 0/0
R(config-if)#ip nat inside ---------------------------------在内部端口上启用NAT就是为网站的服务器配置防火墙
就是配备硬件防火墙或者购买软件防火墙,但硬件防火墙价格昂贵,软件防火墙也价格不菲
不过WIN2003有自带防火墙
Windows 2003提供的防火墙称为Internet连接防火墙,通过允许安全的网络通信通过防火墙进入网络,同时拒绝不安全的通信进入,使网络免受外来威胁。Internet连接防火墙只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。
Internet连接防火墙的设置
在Windows 2003服务器上,对直接连接到 Internet 的计算机启用防火墙功能,支持网络适配器、DSL 适配器或者拨号调制解调器连接到 Internet。
1 启动/停止防火墙
(1)打开“网络连接”,右击要保护的连接,单击“属性”,出现“本地连接属性”对话框。
(2)单击“高级”选项卡,出现如图1所示启动/停止防火墙界面。如果要启用 Internet 连接防火墙,请选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框;如果要禁用Internet 连接防火墙,请清除以上选择。
2防火墙服务设置
Windows 2003 Internet连接防火墙能够管理服务端口,例如>不建议你使用DMZ。在防火墙上设置个端口映射就可以了。
具体:把防火墙的管理端口改成其它的端口比如9090或是9000
在防火墙里设置端口映射,将防火墙80端口映射到104324077的80端口就可以了。
可参照:
chain=dstnat action=dst-nat to-addresses=104324077 to-ports=80 protocol=tcp dst-address=公网IP dst-port=80这个Windows Server 2008中的内置防火墙现在“高级”了。这不仅仅是我说它高级,微软现在已经将其称为高级安全Windows防火墙(简称WFAS)。
以下是可以证明它这个新名字的新功能:
1、新的图形化界面。
现在通过一个管理控制台单元来配置这个高级防火墙。
2、双向保护。
对出站、入站通信进行过滤。
3、与IPSEC更好的配合。
具有高级安全性的Windows防火墙将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。
4、高级规则配置。
你可以针对Windows Server上的各种对象创建防火墙规则,配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。
传入数据包到达计算机时,具有高级安全性的Windows防火墙检查该数据包,并确定它是否符合防火墙规则中指 定的标准。如果数据包与规则中的标准匹配,则具有高级安全性的Windows防火墙执行规则中指定的 *** 作,即阻止连接或允许连接。如果数据包与规则中的标 准不匹配,则具有高级安全性的Windows防火墙丢弃该数据包,并在防火墙日志文件中创建条目(如果启用了日志记录)。
对规则进行配置时,可以从各种标准中进行选择:例如应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型(如网络适配器)、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的标准添加在一起;添加的标准越多,具有高级安全性的Windows防火墙匹配传入流量就越精细。
通过增加双向防护功能、一个更好的图形界面和高级的规则配置,这个高级安全Windows防火墙正在变得和传统的基于主机的防火墙一样强大,例如ZoneAlarm PRo等。
我知道任何服务器管理员在使用一个基于主机的防火墙时首先想到的是:它是否会影响这个关键服务器基 础应用的正常工作然而对于任何安全措施这都是一个可能存在的问题,Windows 2008高级安全防火墙会自动的为添加到这个服务器的任何新角色自动配置新的规则。但是,如果你在你的服务器上运行一个非微软的应用程序,而且它需要入站 网络连接的话,你将必须根据通信的类型来创建一个新的规则。
通过使用这个高级防火墙,你可以更好的加固你的服务器以免遭攻击,让你的服务器不被利用去攻击别人,以及真正确定什么数据在进出你的服务器。下面让我们看一下如何来实现这些目的。
了解配置Windows防火墙高级安全性的选择
在以前Windows Server中,你可以在去配置你的网络适配器或从控制面板中来配置Windows防火墙。这个配置是非常简单的。
对于Windows高级安全防火墙,大多数管理员可以或者从Windows服务器管理器配置它,或者从只有Windows高级安全防火墙MMC管理单元中配置它。以下是两个配置界面的截图:
我发现启动这个Windows高级安全防火墙的最简单最快速的方法是,在开始菜单的搜索框中键入‘防火墙’,如下图:
另外,你还可以用配置网络组件设置的命令行工具Netsh来配置Windows高级安全防火墙。使用 netsh advfirewall可以创建脚本,以便自动同时为IPv4和IPv6流量配置一组具有高级安全性的Windows防火墙设置。还可以使用netsh advfirewall命令显示具有高级安全性的Windows防火墙的配置和状态。
使用新的Windows高级安全防火墙MMC管理单元能配置什么
由于使用这个新的防火墙管理控制台你可以配置如此众多的功能,我不可能面面俱道的提到它们。如果你曾经看过Windows 2003内置防火墙的配置图形界面,你会迅速的发现在这个新的Windows高级安全防火墙中躲了如此众多的选项。下面让我选其中一些最常用的功能来介绍给大家。
默认情况下,当你第一次进入Windows高级安全防火墙管理控制台的时候,你将看到Windows高级安全防火墙默认开启,并且阻挡不匹配入站规则的入站连接。此外,这个新的出站防火墙默认被关闭。
你将注意的其他事情是,这个Windows高级安全防火墙还有多个配置文件供用户选择。
在这个Windows高级安全防火墙中有一个域配置文件、专用配置文件和公用配置文件。配置文件是一种分组设置的方法,如防火墙规则和连接安全规则,根据计算机连接的位置将其应用于该计算机。例如根据你的计算机是在企业局域网中还是在本地咖啡店中。
在我看来,在我们讨论过的Windows 2008高级安全防火墙的所有改进中,意义最重大的改进当属更复杂的防火墙规则。看一下在Windows Server 2003防火墙增加一个例外的选项,如下图:
再来对比一下Windows 2008 Server中的配置窗口。
注意协议和端口标签只是这个多标签窗口中的一小部分。你还可以将规则应用到用户及计算机、程序和服务以及IP地址范围。通过这种复杂的防火墙规则配置,微软已经将Windows高级安全防火墙朝着微软的IAS Server发展。
Windows高级安全防火墙所提供的默认规则的数量也是令人吃惊的。在Windows 2003 Server中,只有三个默认的例外规则。而Windows 2008高级安全防火墙提供了大约90个默认入站防火墙规则和至少40个默认外出规则。
那么你如何使用这个新的Windows高级防火墙创建一个规则呢让我们接下来看一下。
如何创建一个定制的入站规则?
假如说你已经在你的Windows 2008 Server上安装了Windows版的Apache网站服务器。如果你已经使用了Windows内置的IIS网站服务器,这个端口自动会为你打开。但是,由于你现在使用一个来自第三方的网站服务器,而且你打开了入站防火墙,你必须手动的打开这个窗口。
以下是步骤:
·识别你要屏蔽的协议-在我们的例子中,它是TCP/IP(与之对应的则是UDP/IP或ICMP)。
·识别源IP地址、源端口号、目的IP地址和目的端口。我们进行的Web通信是来自于任何IP地址和任何端口号并流向这个服务器80端口的数据通信。(注意,你可以为一个特定的程序创建一条规则,诸如这儿的apache >
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)