当前位置：首页 > article >正文

【网络安全-防火墙配置】

article 2026/4/22 23:13:36

网络安全-防火墙配置一、概念二、区域策略配置三、NAT配置一、概念控制谁能访问谁、允许什么流量、拒绝什么流量负责访问控制允许 / 拒绝、NAT地址转换内网访问外网、安全策略端口、协议、时间段。二、区域策略配置1.区域划分Zone防火墙会把接口分成不同安全区域默认规则高安全区内→ 低安全区外默认允许低安全区外 → 高安全区内默认拒绝。常见区域Trust信任区内网、办公网安全级别高Untrust非信任区互联网安全级别低DMZ隔离区服务器区如 Web、邮件。2.安全策略Policy源区域源IP 目的区域目的IP 服务/端口动作允许/拒绝举例1允许某IP段允许内网192.168.1.0/24访问外网所有地址security-policy下发安全策略rule name trust-to-untrust-all设定规则名称是trust-to-untrust-allsource-zone trust源区域是信任区域destination-zone untrust目标区域是非信任区域source-address 192.168.1.0 24源IP段是192.168.1.0 24action permit动作是允许。举例2禁止某服务拒绝外网访问内网3389端口RDPsecurity-policy下发安全策略rule name untrust-to-trust-rdp-deny设定规则名称是untrust-to-trust-rdp-denysource-zone untrust源区域是非信任区域destination-zone trust目标区域是信任区域service rdp服务是rdp服务action deny动作是拒绝举例3允许某服务允许外网访问DMZ区80/443端口security-policy下发安全策略rule name untrust-to-dmz-http-https设定规则名称是untrust-to-dmz-http-httpssource-zone untrust源区域是非信任区域destination-zone dmz目标区域是dmz区域service http https服务是http、https服务action permit动作是允许三、NAT配置1.源NATSNAT内网访问互联网时把内网IP换成公网IP常用Easy IP。2.目的NATDNAT / 端口映射外网访问内网服务器时把公网IP 端口映射到内网服务器。3.接口与路由给接口配IP写默认路由指向运营商内网网段静态路由。举例1配置内网口TrustIP网关地址接口GigabitEthernet 0/0/1内网网关192.168.10.1 24加入安全区域trust。interface GigabitEthernet 0/0/1ip address 192.168.10.1 255.255.255.0设置GE0/0/1口地址service-manage all permit允许别人访问防火墙自己的管理功能quitfirewall zone trust设定信任区域add interface GigabitEthernet 0/0/1将GE0/0/1口加入到信任区域中quit举例2配置外网口Untrust公网 IP接口GigabitEthernet 0/0/0运营商给的公网IP202.100.1.2 30对端运营商网关202.100.1.1加入安全区域untrust。interface GigabitEthernet 0/0/0ip address 202.100.1.2 255.255.255.252设置GE0/0/0口地址quitfirewall zone untrust设定位非信任区域add interface GigabitEthernet 0/0/0将GE0/0/0口加入到非信任区域中quit举例3配置SNAT使内网PC能够访问互联网内网网段192.168.10.0 24。nat-policy设定nat策略rule name trust-to-untrust-snat规则名称是trust-to-untrust-snatsource-zone trust源区域是信任区域destination-zone untrust目标区域是非信任区域source-address 192.168.10.0 24设定源地址段action nat easy-ip用接口本身IPquit举例4配置 DNAT端口映射外网访问内网服务器公网口 IP202.100.1.2外网访问202.100.1.2:8080映射到内网服务器192.168.10.100:80外网用户访问的8080端口时映射到本地服务器80端口。nat server protocol tcp global 202.100.1.2 8080 inside 192.168.10.100 80nat server代表内网服务器对外发布protocol tcp代表tcp协议global 202.100.1.2 8080代表外网的地址和端口inside 192.168.10.100 80代表访问的内网的地址和端口security-policy设定nat策略rule name untrust-to-server-http规则名称是untrust-to-server-httpsource-zone untrust源区域是非信任区域destination-zone trust目标区域是信任区域destination-address 192.168.10.100 32表明内网服务器的地址service http访问的服务是httpaction permit规则是允许举例5外网RDP远程桌面进内网电脑公网 IP123.1.1.1内网电脑192.168.1.100端口3389nat server protocol rdp global 123.1.1.1 3389 inside 192.168.1.100 3389nat server代表内网服务器对外发布protocol rdp代表rdp协议global 123.1.1.1 3389代表外网的地址和端口inside 192.168.1.100 3389代表访问的内网的地址和端口security-policy设定nat策略rule name untrust-to-trust-rdp-permit规则名称是untrust-to-trust-rdp-permitsource-zone untrust源区域是非信任区域destination-zone trust目标区域是信任区域destination-address 192.168.1.100 32表明内网服务器的地址service rdp访问的服务是rdpaction permit规则是允许nat server protocol tcp global 123.1.1.1 3389 inside 192.168.1.100 3389security-policyrule name untrust-to-serversource-zone untrustdestination-zone trustdestination-address 192.168.100.100 32service tcp 80action permit

【网络安全-防火墙配置】

相关文章：

【网络安全-防火墙配置】

还在手动运营Twitter？这套自动化玩法，正在悄悄拉开差距（赛博云推）

Proteus 8.13 + STM32F103R6：5分钟搞定LED闪烁仿真（附完整工程文件）

【网络安全-病毒】

从Kaggle到Colab：我的AI学习双核引擎搭建心得与避坑指南

# 用AI写代码的人越来越多，但能判断AI对不对的人没多几个

第 6 篇 Agent Skills 完全指南：从入门到进阶，手把手教你打造 Claude Skills

别再只调sklearn了！用mlxtend给你的机器学习项目加个‘瑞士军刀’（附实战代码）

Neo4j 超详细入门

撕下“全能模型”的伪装：Anthropic 官方揭秘长周期 Agent 的“脚手架工程”与抗焦虑指南

生成式AI如何革新汽车软件测试？

告别“面霸”与“误筛”：国内主流十大AI面试产品谁才是真正的“火眼金睛”？

租赁商城小程序源码｜ThinkPHP+UniApp双端开发｜含手机租赁系统与完整部署教程

《识质存在（PRAGMATA）》v1.0 十二项修改器

【紧急预警】Docker CE 24.0+已不兼容部分国产OS内核！信创项目必须在72小时内完成的5步降级与加固配置

论文AI率太高怎么降？2026年4月最有效的5种降AI率方法

Python爬虫实战：用requests搭配免费代理IP绕过反爬，保姆级配置教程

独立开发工具站 - ToolAdd：更新4 个新工具

深度解析三大 Agent 上下文工程：Claude Code、OpenClaw、Hermes 的设计哲学

2026年4款主流降AI率工具横评：嘎嘎降AI性价比碾压同行

【开发者福利】免费行政区划API实战：从adcode到城市树，构建你的地理数据核心

如何免费获取VMware Workstation Pro 17许可证密钥：终极激活指南

别再傻傻分不清了！QA、QE、QC到底谁负责啥？一张图帮你理清软件测试岗位分工

基于python租房房源数据分析可视化系统租房大数据房屋信息 Hadoop 房源信息分析

GHelper：华硕笔记本终极优化指南 - 3步实现性能翻倍的免费神器

Python实现移动平均平滑技术的时间序列分析

无人机飞控、游戏角色旋转：聊聊卡尔丹角顺序（Yaw-Pitch-Roll）的那些坑

岭回归原理与Python实战：解决多重共线性问题

Windows API实战：从局部热键到全局钩子，构建键盘鼠标监控系统

Python机器学习优化技术：从基础到实践