2 u010014980 u010014980 于 2013.11.18 15:29 提问

在配置zone安全策略是信任区无法访问dmz区和非信任区??

Router>en
Router#conft
Enterconfiguration commands, one per line. End with CNTL/Z.
Router(config)#access-list111 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.2
Router(config)#class-maptype inspect match-all trust-dmz-http
Router(config-cmap)#matchaccess-group 111
Router(config-cmap)#matchprotocol http
Router(config-cmap)#exit
Router(config)#policy-maptype inspect trust-dmz
Router(config-pmap)#classtype inspect trust-dmz-http
Router(config-pmap-c)#inspect
%Nospecific protocol configured in class trust-dmz-http for inspection. Allprotocols will be inspected
Router(config-pmap-c)#exit
Router(config)#access-list121 permit tcp 192.1.1.0 0.0.0.255 host 192.1.3.2
Router(config)#class-maptype inspect match-all trust-notrust
Router(config-cmap)#matchaccess-group 121
Router(config-cmap)#matchprotocol http
Router(config-cmap)#exit
Router(config)#policy-maptype inspect trust-notrust
Router(config-pmap)#classtype inspect trust-notrust
Router(config-pmap-c)#inspect
%Nospecific protocol configured in class trust-notrust for inspection. Allprotocols will be inspected
Router(config-pmap-c)#exit
Router(config-pmap)#exit
Router(config)#access-list131 permit tcp 192.1.2.0 0.0.0.255 host192.1.3.2
Router(config)#class-maptype inspect match-all dmz-notrust
Router(config-cmap)#matchaccess-group 131
Router(config-cmap)#matchprotocol http
Router(config-cmap)#exit
Router(config)#policy-maptype inspect dmz-notrust
Router(config-pmap)#classtype inspect dmz-notrust
Router(config-pmap-c)#inspect
%Nospecific protocol configured in class dmz-notrust for inspection. All protocolswill be inspected
Router(config-pmap-c)#exit
Router(config-pmap)#exit
Router(config)#access-list141 permit tcp 192.1.3.0 0.0.0.255 host192.1.2.2
Router(config)#class-maptype inspect match-all notrust-dmz
Router(config-cmap)#matchaccess-group 141
Router(config-cmap)#matchprotocol http
Router(config-cmap)#exit
Router(config-pmap)#policy-maptype inspect notrust-dmz
Router(config-pmap)#classtype inspect notrust-dmz
Router(config-pmap-c)#inspect
%Nospecific protocol configured in class notrust-dmz for inspection. All protocolswill be inspected
Router(config-pmap-c)#exit
Router(config-pmap)#exit
Router(config)#zonesecurity trust
Router(config-sec-zone)#exit
Router(config)#zonesecurity notrust
Router(config-sec-zone)#exit
Router(config)#zonesecurity dmz
Router(config-sec-zone)#exit
Router(config)#interfacefa 0/0
Router(config-if)#zone-membersecurity trust
Router(config-if)#exit
Router(config)#interfacefa 0/1
Router(config-if)#zone-membersecurity notrust
Router(config-if)#exit
Router(config)#interfacefa 1/0
Router(config-if)#zone-membersecurity dmz
Router(config-if)#exit
Router(config)#zone-pairsecurity trust-dmz source trust destination dmz
Router(config-sec-zone-pair)#service-policytype inspect trust-dmz
Router(config-sec-zone-pair)#exit
Router(config)#zone-pairsecurity trust-notrust source trust destination notrust
Router(config-sec-zone-pair)#service-policytype inspect trust-notrust
Router(config-sec-zone-pair)#exit
Router(config)#zone-pairsecurity notrust-dmz source notrust destination dmz
Router(config-sec-zone-pair)#service-policytype inspect notrust-dmz
Router(config-sec-zone-pair)#exit
Router(config)#zone-pairsecurity dmz-notrust source dmz destination notrust
Router(config-sec-zone-pair)#service-policytype inspect dmz-notrust
Router(config-sec-zone-pair)#exit
Router(config)#

1个回答

whizer
whizer   2013.11.29 13:45
已采纳

DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。

网络安全中首先定义的区域是trust区域和untrust区域,简单说就是一个是内网(trust),是安全可信任的区域,一个是internet,是不安全不可信的区域。防火墙默认情况下是阻止对trust的访问,当有服务器在trust区域的时候,一旦出现需要对外提供服务的时候就比较麻烦。
所以定义出一个DMZ的非军事区域,让trust和untrust都可以访问的一个区域,即不是绝对的安全,也不是绝对的不安全,这就是设计DMZ区域的核心思想。

u010014980
u010014980 完全没有技术含量的回答
3 年多之前 回复
Csdn user default icon
上传中...
上传图片
插入图片