如果有路由直接在WEB界面里 选防火墙----域间关系 ,加上一条原域服务器B所在的域 目的域内网域 源IP 服务器Bip 目的IP 内网IP 端口允许通过的端口 动作permit 然后使能,加一条原域内网域 到服务器 B 所在域 permit 的 就可以了USG5150HSR这个系列的防火墙我没用过,不过原理应该差不多。
原有链路所在端口设置为域network1,后租用链路设置为域network2。
现在针对你的目标:
1、在两条链路都通畅时,内网用户在访问外网58000/8这个网段的网站时,流量走原有的链路;当用户访问其他非58000/8这个网段的网站时,流量走后租用的这条链路。
---配置静态路由 ip static-route 58000 255000 10100101 //目的地址为58000/8的下一跳10100101。另外再配置一条缺省路由 ip static-route 0000 0000 172100101 //目的地址为非58000/8的,下一跳为172100101
2、 当两条链路中的任意一条链路出现故障断开时,用户访问外网的所有流量走没有故障的链路。
---这个可以通过配置静态路由优先级的做法来实现,静态路由默认优先级为60,可以加一条优先级为70的静态路由ip static-route 58000 255000 172100101 preference 70, ip static-route 0000 0000 10100101 preference 70。
假设内网服务器所连接的防火墙端口为域trust,然后设置trust域到network2域的域间nat outbound,做ACL为允许583000/24段放通,做nat转换,地址池为2192492392—2192492394。这样基本就完成你所需达到目标的配置了,当然我所说的这些指令是华为“一道门”系列防火墙的配置指令,USG5150HSR可能指令略有出入,但思路基本一样。
另外回答你的问题:
用户在访问外网时,是先根据数据包的源或目标地址在路由表中查找走哪一条链路,然后把数据发送到指定链路接口,并对用户地址做转换(NAT);还是在根据数据包的源或目标地址在路由表中查找路由的同时就把用户的IP地址做NAT转换,然后再把数据包发送到指定的链路接口。
---以上面的配置为例,trust域的服务器通过你后租用链路访问公网,首先数据包送到防火墙时,防火墙会根据你包的目的地址判断应该走的接口为network2域这个端口,因为跨域了,会去匹配域间规则,匹配顺序为先检测是否能够从trust域放通到network2域,如果通过,继续做nat规则匹配,如果匹配上nat规则,做nat转换后送往下一跳访问公网。
不知道我的答案说的是否明白?
不容易啊,给个好评吧 :)
1、打开Packet Tracer工具,通过下边的设备窗口添加一台二层交换机switch0,一台台式机PC0和一台笔记本PC1,如图所示。
2、通过选择工具里面的直连线,然后点击交换机switch0选择d出窗口的“fastEthernet0/1”端口;之后再点击台式机PC0,在d出的窗口中选择“fastEthernet0”,即表示交换机switch0的“fastEthernet0/1”端口连接到台式机的“fastEthernet0”端口,如图所示。
3、,同样用直连线,将交换机的switch0的“fastEthernet0/2”端口连接到笔记本PC1的“fastEthernet0/1”端口,如图所示。
4、物理链路连接成功,但是两台电脑是不通的,因为还没有给它们分配IP,同时图中使用的交换机switch0是一台二层交换机,不具备路由功能。
5、给台式电脑PC0分配静态IP地址:1020088,子网掩码:2552552550,网关:1020081,如图所示。
6、同样,给笔记本PC1也分配同一个网段的一个静态IP:1020089,子网掩码:2552552550,网关:1020081,如图所示。
7、通过测试,两台电脑可以实现互通,综合可知同一个网段可以直接通过交换机实现互通,不需要路由器。
不可以杀毒软件就可以推荐一个我自己用的杀毒软件组合不敢说最好
但现在我起码没试过中毒的
我用的是诺顿反病毒+AVAST+ZONE
ALARM防火墙+360安全卫士
值得注意的是诺顿反病毒2008+AVAST
PRO
47反病毒这两者并不冲突,诺顿霸道而AVAST比较含蓄,2者结合杀毒效果很好,这主要体现在诺顿的全盘杀毒扫描和AVAST的实时监控上
然后2者在配上世界排名第一的ZONE
ALARM防火墙就会很安全了
杀毒和防火墙最好不要用一个牌子的
你的机器如果可能的话可以再装金山毒霸2008,你把金山的实时监控和自动启动关闭就不会和诺顿冲突,你可以把金山当作专门负责下载文件的扫描的杀毒工具
而360对木马和恶意插件,有很好的清除效果对IE的修复功能也很强大
以上4套软件除了不能让金山随机启动外,别的可以,这样AVAST防毒诺顿杀毒ZONE
ALARM反木马金山查下载的文件360对恶意插件的监视,,你的机器会很安全的我的就是这样作的,我的配置是CPU
AMD
4000+
内存
2G
我的机器现在的速度也很快
(浪﹑
 ̄児
专利,复制BS)
附下载地址:
诺顿:
>需要。
防火墙支持多维一体化安全防护,可从用户、应用、时间、五元组等多个维度,对流量展开IPS、AV、DLP等一体化安全访问控制,能够有效的保证网络的安全;支持多种***业务,如L2TP ***、GRE *** 、IPSec ***和SSL ***等,与智能终端对接实现移动办公;提供丰富的路由能力,支持RIP/OSPF/BGP/路由策略及基于应用与URL的策略路由;支持IPv4/IPv6双协议栈同时,可实现针对IPV6的状态防护和攻击防范。
支持丰富的攻击防范功能。包括:Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范,还包括针对SYN Flood、UDP Flood、ICMP Flood、DNS Flood等常见DDoS攻击的检测防御。
最新支持SOP 1:N完全虚拟化。可在H3C SecPath F1000-AK1X5设备上划分多个逻辑的虚拟防火墙,基于容器化的虚拟化技术使得虚拟系统与实际物理系统特性一致,并且可以基于虚拟系统进行吞吐、并发、新建、策略等性能分配。
支持安全区域管理。可基于接口、VLAN划分安全区域。
支持包过滤。通过在安全区域间使用标准或扩展访问控制规则,借助报文中UDP或TCP端口等信息实现对数据包的过滤。此外,还可以按照时间段进行过滤。
支持基于应用、用户的访问控制,将应用与用户作为安全策略的基本元素,并结合深度防御实现下一代的访问控制功能。
支持应用层状态包过滤(ASPF)功能。通过检查应用层协议信息(如FTP、>
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)