欢迎来到天天文库
浏览记录
ID:20923017
大小:60.00 KB
页数:4页
时间:2018-10-17
《防火墙配置和注释》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、网络安全等业务的详细设计(防火墙方面)根据业务和管理的安全性需求,科讯企业的网络安全要求是非常高的!由于公司是做软件开发,所以安全需求如下:l内部员工可以访问DMZ区域的FTP服务器进行资料下载,且可以访问外网。lDMZ区域服务器资料尤为重要,且需对外提供服务,虽做有一定安全措施,但为做到万无一失,所以在内网部分须有一服务器对DMZ区域的所有资源进行备份。l外网可以正常访问DMZ区域服务器。l外网不能直接访问内网。l除了DMZ区域所提供的服务之外,所有的其他一切无关端口均需关闭。这些策略主要在防火
2、墙设置。做这一步之前,先将内网的拓扑全部架设完成,再将防火墙置于与外网相接的位置,完成内网与外网的互联。另外在本企业网设计中为了更简洁方便使用,没有过多安装软件,所以没有只能完成基本的防火墙设置。防火墙是必不可少的安全设备,由于cisco路由器提供强大的ios系统,可以在cisco的路由器上实施基于包过滤的防火墙,防火墙主要是为了防止外部不法用户对内部网络实施攻击,它对可疑的流量直接进行删除或丢包,以保证企业内部环境的安全可靠。包过滤的防火墙是基于访问列表的,然后在对应的接口应用。以下为防火墙的配
3、置清单及模拟拓扑图(showrun结果)::Saved:PIXVersion8.0(2)!hostnamepixfirewallenablepassword8Ry2YjIyt7RRXU24encryptednames!interfaceEthernet0//配置inside接口nameifinsidesecurity-level100ipaddress192.168.2.1255.255.255.0!interfaceEthernet1//配置dmz接口nameifdmzsecurity-leve
4、l50ipaddress192.168.4.1255.255.255.0!interfaceEthernet2//配置outside接口nameifoutsidesecurity-level0ipaddress58.242.1.1255.255.255.0!interfaceEthernet3shutdownnonameifnosecurity-levelnoimpaddress!interfaceEthernet4shutdownnonameifnosecurity-levelnoimpaddr
5、ess!passwd2KFQnbNIdI.2KYOUencryptedftpmodepassiveaccess-list100extendedpermiticmpanyany//放行任何icmpaccess-list200extendedpermiticmpanyhost4.4.4.4//放行任何到4.4.4.4的icmpaccess-list200extendedpermittcpanyhost4.4.4.4eqtelnet//放行任何用户到4.4.4.4的telnet服务pagerlines2
6、4mtuinside1500mtudmz1500mtuoutside1500icmpunreachablerate-limit1burst-size1noasdmhistoryenablearptimeout14400global(outside)158.242.1.10-58.242.1.20netmask255.255.255.0nat(inside)1192.168.0.0255.255.0.0static(dmz,outside)58.242.1.44.4.4.4netmask255.25
7、5.255.255access-group100ininterfacedmz//把相应的ACL在接口调用access-group200ininterfaceoutsiderouteoutside0.0.0.00.0.0.058.242.1.21//默认路由指向外网出接口routedmz4.4.4.0255.255.255.0192.168.4.41//到4.4.4.0网段的下一跳给到192.168.4.4从dmz接口出去routeinside192.168.0.0255.255.0.0192.16
8、8.2.2541//到192.168.0.0网段的从inside接口出去,下一跳是192.168.2.254timeoutxlate1:00:00timeoutconn1:00:00half-closed0:10:00udp0:02:00icmp0:00:02timeoutsunrpc0:10:00h3230:05:00h2251:00:00mgcp0:05:00mgcp-pat0:05:00timeoutsip0:30:00sip_media0:02:00sip-invite0:
此文档下载收益归作者所有