news 2026/4/22 23:12:50

【网络安全-防火墙配置】

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
【网络安全-防火墙配置】

网络安全-防火墙配置

  • 一、概念
  • 二、区域策略配置
  • 三、NAT配置

一、概念

控制谁能访问谁、允许什么流量、拒绝什么流量,负责:访问控制(允许 / 拒绝)、NAT地址转换(内网访问外网)、安全策略(端口、协议、时间段)。

二、区域策略配置

1.区域划分(Zone):防火墙会把接口分成不同安全区域,默认规则高安全区(内)→ 低安全区(外)默认允许低安全区(外) → 高安全区(内)默认拒绝。常见区域:Trust(信任区):内网、办公网(安全级别高),Untrust(非信任区):互联网(安全级别低),DMZ(隔离区):服务器区(如 Web、邮件)。
2.安全策略Policy):源区域 + 源IP + 目的区域 + 目的IP + 服务/端口 + 动作(允许/拒绝)
举例1(允许某IP段),允许内网192.168.1.0/24访问外网所有地址:security-policy(下发安全策略),rule name trust-to-untrust-all(设定规则名称是trust-to-untrust-all),source-zone trust(源区域是信任区域),destination-zone untrust(目标区域是非信任区域),source-address 192.168.1.0 24(源IP段是192.168.1.0 24),action permit(动作是允许)。
举例2(禁止某服务):拒绝外网访问内网3389端口(RDP):security-policy(下发安全策略),rule name untrust-to-trust-rdp-deny(设定规则名称是untrust-to-trust-rdp-deny),source-zone untrust(源区域是非信任区域),destination-zone trust(目标区域是信任区域),service rdp(服务是rdp服务),action deny(动作是拒绝)
举例3(允许某服务):允许外网访问DMZ区80/443端口:security-policy(下发安全策略),rule name untrust-to-dmz-http-https(设定规则名称是untrust-to-dmz-http-https),source-zone untrust(源区域是非信任区域),destination-zone dmz(目标区域是dmz区域),service http https(服务是http、https服务),action permit(动作是允许)

三、NAT配置

1.源NAT(SNAT):内网访问互联网时,把内网IP换成公网IP,常用Easy IP
2.目的NAT(DNAT / 端口映射):外网访问内网服务器时,把公网IP +端口映射到内网服务器
3.接口与路由:给接口配IP,写默认路由指向运营商,内网网段静态路由。
举例1:配置内网口(Trust)IP(网关地址),接口:GigabitEthernet 0/0/1,内网网关:192.168.10.1 24,加入安全区域:trust。
interface GigabitEthernet 0/0/1,ip address 192.168.10.1 255.255.255.0(设置GE0/0/1口地址),service-manage all permit(允许别人访问防火墙自己的管理功能),quit,firewall zone trust(设定信任区域),add interface GigabitEthernet 0/0/1(将GE0/0/1口加入到信任区域中)quit
举例2:配置外网口(Untrust)公网 IP,接口:GigabitEthernet 0/0/0,运营商给的公网IP:202.100.1.2 30,对端运营商网关:202.100.1.1,加入安全区域:untrust。
interface GigabitEthernet 0/0/0,ip address 202.100.1.2 255.255.255.252(设置GE0/0/0口地址),quit,firewall zone untrust(设定位非信任区域),add interface GigabitEthernet 0/0/0(将GE0/0/0口加入到非信任区域中),quit
举例3配置SNAT,使内网PC能够访问互联网,内网网段:192.168.10.0 24。
nat-policy(设定nat策略),rule name trust-to-untrust-snat(规则名称是trust-to-untrust-snat),source-zone trust(源区域是信任区域),destination-zone untrust(目标区域是非信任区域),source-address 192.168.10.0 24(设定源地址段),action nat easy-ip(用接口本身IP),quit
举例4配置 DNAT端口映射,外网访问内网服务器),公网口 IP:202.100.1.2,外网访问:202.100.1.2:8080,映射到内网服务器:192.168.10.100:80(外网用户访问的8080端口时,映射到本地服务器80端口)。
nat server protocol tcp global 202.100.1.2 8080 inside 192.168.10.100 80(nat server代表内网服务器对外发布,protocol tcp代表tcp协议,global 202.100.1.2 8080代表外网的地址和端口,inside 192.168.10.100 80代表访问的内网的地址和端口),security-policy(设定nat策略),rule name untrust-to-server-http(规则名称是untrust-to-server-http),source-zone untrust(源区域是非信任区域),destination-zone trust(目标区域是信任区域),destination-address 192.168.10.100 32(表明内网服务器的地址),service http(访问的服务是http),action permit(规则是允许)
举例5:外网RDP远程桌面进内网电脑,公网 IP:123.1.1.1,内网电脑:192.168.1.100,端口:3389
nat server protocol rdp global 123.1.1.1 3389 inside 192.168.1.100 3389(nat server代表内网服务器对外发布,protocol rdp代表rdp协议,global 123.1.1.1 3389代表外网的地址和端口,inside 192.168.1.100 3389代表访问的内网的地址和端口),security-policy(设定nat策略),rule name untrust-to-trust-rdp-permit(规则名称是untrust-to-trust-rdp-permit),source-zone untrust(源区域是非信任区域),destination-zone trust(目标区域是信任区域),destination-address 192.168.1.100 32(表明内网服务器的地址),service rdp(访问的服务是rdp),action permit(规则是允许)

nat server protocol tcp global 123.1.1.1 3389 inside 192.168.1.100 3389

security-policy
rule name untrust-to-server
source-zone untrust
destination-zone trust
destination-address 192.168.100.100 32
service tcp 80
action permit

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/4/22 23:09:13

生成式AI如何革新汽车软件测试?

1. 汽车行业软件测试的范式转变在传统汽车制造时代,机械性能是核心竞争力,而今天这个指标已经变成了"代码行数"。现代高端智能汽车的代码量已突破1亿行,是波音787客机的16倍。这种软件爆炸式增长带来了一个关键痛点:如何…

作者头像 李华
网站建设 2026/4/22 23:07:34

198种组合算法+优化Transformer编码器+SHAP分析+新数据预测+多输出!深度学习可解释分析,强烈安利,粉丝必备!

基于粒子群算法(PSO)优化Transformer模型注意力头数的多输入多输出回归预测,并集成了模型评估、可视化及SHAP可解释性分析。1. 研究背景 随着深度学习在工业预测、金融分析等领域的广泛应用,Transformer模型凭借其自注意力机制在处…

作者头像 李华
网站建设 2026/4/22 23:07:01

论文AI率太高怎么降?2026年4月最有效的5种降AI率方法

论文AI率太高怎么降?2026年4月最有效的5种降AI率方法 前几天一个学妹半夜发消息,说她论文AI率检测出来78%,导师让她一周之内降到20%以下,不然直接毙掉答辩资格。这种情况我今年已经遇到第四个了。2026年这届毕业生最大的痛点不是…

作者头像 李华
网站建设 2026/4/22 23:07:00

openclaw入门笔记

参考文章,匹配b站视频看:https://ai.linbintalk.com/article/ytopenclaw

作者头像 李华