继上次的配置之后,这次终于要直接配置防火墙了
防火墙配置
此时实验的网络拓扑图:
防火墙拦截外网数据,内网可向外网通信
首先要连接端口:
A18对应的是内网的g0/1,A23对应的是外网的g0/2
操作的代码如下:
1 | Zone name Trust //设置内网 |
(Zone)域基本分为:local、trust、dmz、untrust这四个是系统自带不能删除,除了这四个域之外,还可以自定义域。域之间如果不进行策略的设置的话,那么域和域之间是不能沟通的。
优先级为:local>trust>dmz>untrust
首先,通过zone设置内网(Trust),并且让当前的端口g0/1设置在内网;同理我们也可以设置外网以及关联端口,然后用NAT路由转发协议完成内网地址到外网地址的路由转发,从而让内网的ip与外网ip能够互相沟通。最后,通过设置这个outbound,trust(优先级高)能够往untrust(优先级低)方向进行数据转发,于是就能够实现外网不能向内网发送数据包,而内网数据包可以向外网发送。
结果如下:
本机地址:129.38.1.2
让指定的外网能够和内网沟通
刚刚通过设置优先级的方式,实现了内网与外网的沟通限制,但是有时候我们也需要实现部分内容允许反向沟通,也就是某些场景下,外网的主机也要能够访问内网。这个场景下,我们就需要设置额外对象,代码配置如下:
1 | // 配置可通过的防火墙 |
Interzone通过设置source和destination,能够设置策略让UnTrust的数据包往Trust发送,从而能够打通一个通道,让Trust和UnTrust实现某些协议实现沟通。
最终的实现结果如下:
本机地址:202.38.160.2