服务器映射安全区域 服务器映射到外网安全隐患

如何通过公网IP经过防火墙访问内网服务器

1、首先登录防火墙后台,找的源nat选项新建一条源NAT策略。

我们一直强调成都网站设计、网站制作、外贸营销网站建设对于企业的重要性,如果您也觉得重要,那么就需要我们慎重对待,选择一个安全靠谱的网站建设公司,企业网站我们建议是要么不做,要么就做好,让网站能真正成为企业发展过程中的有力推手。专业网站建设公司不一定是大公司,创新互联作为专业的网络公司选择我们就是放心。

2、名字这里是Trust2Trust,源安全区域和目的安全区域都选择trust。

3、然后可以设置转换前的适配规则。这一步也可以不要,默认允许所有源访问所有目的IP的所有端口;考虑到安全性可以指定某个/些源访问某个/些目的地址的某个/些端口。

4、转换后的地址选择出接口地址。

5、然后确认,这样内网就能正常通过防火墙公网IP访问内部服务了。

ensp查看防火墙网关命令

安全

【ensp】防火墙概述与命令总结

云归959

原创

关注

4点赞·6380人阅读

防火墙概述与命令总结

0713 防火墙的基本概述:

安全策略:

0714 防火墙的NAT策略:

server nat:

pat与no-pat做法:

域内nat做法:

0715 防火墙的双机热备:

在防火墙上配置VGMP:

0717 防火墙的GRE封装:

gre在防火墙上应用:

防火墙中的telnet配置:

防火墙中ssh配置:

0713 防火墙的基本概述:

防火墙分为:

框式防火墙

盒式防火墙

软件防火墙(公有云、私有云)

我们目前学习的是状态检测防火墙:

通过检查首包的五元组,来保证出入数据包的安全

隔离不同的网络区域

通常用于两个网络之间,有选择性针对性的隔离流量

阻断外网主动访问内网,但回包不算主动访问

安全区域(security zone):被简称为区域(zone),是防火墙的重要概念,缺省时有4个区域:

local:本地区域,所有IP都属于这个区域

trust:受信任的区域

DMZ:是介于管制和不管制区域之间的区域,一般放置服务器

untrust:一般连接Internet和不属于内网的部分

ps:每个接口都需要加入安全区域,不然防火墙会显示接口未激活,无法工作

firewall zone [区域名] //进入安全区域

add interface GigabitEthernet [接口号] //添加接口到此区域

display zone //查看区域划分情况

复制

安全策略:

与ACL类似,动作只有两种:permit和deny

每一个想要通过防火墙的数据包都需要被安全策略检查,如果不写安全策略,ping都经过不了防火墙

如何去写安全策略:

security-policy

rule name [策略名]

source-zone [区域名]

source-address [源地址] [掩码] //此条可以略

destination-zone [区域名]

destination-address [源地址] [掩码] //此条可以略

service [协议名] //需要放行的协议

action permit //此条策略的动作是放行

复制

防火墙策略命中即转发

一些今天的名词:

ddos攻击防范:ddos攻击就是通过伪造大量不同的mac地址让交换机学习,让交换机无法正常处理其他事情

SPU:防火墙特有的,用于实现防火墙的安全功能

五元组:源/目地址、源/目端口号、协议

ASPF技术:应用包过滤技术,可以根据协议推出应用包内容,根据内容提前生成server-map表项,在流量没有匹配会话表时,可以匹配server-map来处理

ftp无论是主动模式还是被动模式都是client先主动向server发起控制通道连接

ftp的主动模式(port):server主动向client发起数据通道的连接

ftp被动模式(pasv):server等待client发起数据通道的连接

0714 防火墙的NAT策略:

NAT转换有两种转换:

源NAT:

no-pat //1对1转化,不节约公网地址,同一时间内只能有一个人上网

pat //指定一个或多个公网地址使PC机可以通过这个公网地址的不同端口进行访问

ease-ip //使用接口的IP作为NAT地址,使PC机可以通过这个公网地址的不同端口进行访问

目标NAT:

server nat //服务器映射

值得注意的是:

如果在防火墙上的是源NAT转换,则防火墙先匹配安全策略,再匹配NAT策略

如果在防火墙上的是目标NAT转换,则防火墙先匹配NAT策略,再匹配安全策略

实验总结概述:

如何做nat:

server nat:

nat server protocol [协议] global [公网地址] [端口] inside [服务器地址] [端口]

复制

pat与no-pat做法:

nat address-group [地址组名]

mode pat

section [初始地址] [结束地址]

nat-policy //进入nat策略,将前一步的地址池应用在nat策略中

source-zone [区域名]

source-address [源地址] [掩码]

destination-zone [区域名]

destination-address [源地址] [掩码] //此步规定什么样的地址允许做NAT转换

action source-nat address-group NAT //应用地址组

//之后就是看需要写安全策略

复制

域内nat做法:

访问需要通过公网地址访问

第一步:将接口划分好所属区域,做好基础配置

第二步:创建一个nat地址池,将地址池的范围规划好,(默认为PAT)

nat server 0 protocol tcp global 204.1.1.1 www inside 172.16.1.2 www

//此步为服务器映射

nat address-group NAT

mode pat

section 0 205.1.1.1 205.1.1.1

第三步:进入nat策略,将前一步的地址池应用在nat策略中

nat-policy

rule name NAT

source-zone dmz

destination-zone dmz

source-address 172.16.1.1 mask 255.255.255.255

destination-address 172.16.1.2 mask 255.255.255.255

//此步规定什么样的地址允许做NAT转换

action source-nat address-group NAT

第四步:设置安全策略,允许地址通过,并说明区域

security-policy

default packet-filter intrazone enable

//设置防火墙区域间流量也检查

rule name NAT

source-zone dmz

destination-zone dmz

source-address 172.16.1.1 mask 255.255.255.255

destination-address 172.16.1.2 mask 255.255.255.255

service http

service tcp

action permit

复制

内网服务器映射到公网,怎么做好服务器安全工作?

可以从网络接入端点的安全控制入手,结合认证服务器,安全策略服务器、补丁服务器和网络设备,以及第三方软件系统(防病毒)等,对用户接入行为的控制,完成对接入终端用户的强制认证和安全策略应用,从而保障网络安全。

华为防火墙如何做端口映射?

端口映射是NAT的一种,功能是把在公网的地址转翻译成私有地址。也是将外网主机的IP地址的一个端口映射到内网中一台机器,提供相应的服务。当用户访问该IP的这个端口时,服务器自动将请求映射到对应局域网内部的机器上。端口映射有动态和静态之分。1、

端口映射是华为防火墙中的一个常用功能,举个例子就是你内网有一台服务器,想让外网的访问者能够直接访问到这台服务器。但你的内网服务器配置的是内网地址在公网是找不到的,怎么办?这时既可以把一个公网IP地址映射到这个内网地址上,可以单独映射一个端口,也可以做全映射。今天主要说的就是服务器的端口映射。

2、端口映射在防火墙内属于一个策略。所以我们登录到防火墙后找到策略、NAT策略、服务器映射。

3、在服务器映射列表中,我们看到有一个新建选项。做端口映射需要新建一个映射策略。

4、名称随意填写,类型一般填写为“静态映射”,安全区域根据自己的网络结构进行配置。公网地址填写需要映射的公网地址,私网地址填写服务器的地址。允许端口转换如果为全映射不需要都选,如果为单独端口映射需要勾选。

5、当让图形界面看着比较容易操作,如果想用命令配置界面的也可以。只需要输入nat server 来画SSH2 protocol tcp global 公网IP 2222 inside 私网IP 22 no-reverse

6、设置完之后,我们也可以做一个简单的验证,打开windows的cmd窗口。在里边输入Telnet+公网IP+端口 看看是否连同。


文章名称:服务器映射安全区域 服务器映射到外网安全隐患
文章地址:http://pwwzsj.com/article/ddcosos.html