2 u010014980 u010014980 于 2013.11.18 15:29 提问

在配置zone安全策略是信任区无法访问dmz区和非信任区??

Router>en
Router#conft
Enterconfiguration commands, one per line. End with CNTL/Z.
Router(config)#access-list111 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.2
Router(config)#class-maptype inspect match-all trust-dmz-http
Router(config-cmap)#matchaccess-group 111
Router(config-cmap)#matchprotocol http
Router(config-cmap)#exit
Router(config)#policy-maptype inspect trust-dmz
Router(config-pmap)#classtype inspect trust-dmz-http
Router(config-pmap-c)#inspect
%Nospecific protocol configured in class trust-dmz-http for inspection. Allprotocols will be inspected
Router(config-pmap-c)#exit
Router(config)#access-list121 permit tcp 192.1.1.0 0.0.0.255 host 192.1.3.2
Router(config)#class-maptype inspect match-all trust-notrust
Router(config-cmap)#matchaccess-group 121
Router(config-cmap)#matchprotocol http
Router(config-cmap)#exit
Router(config)#policy-maptype inspect trust-notrust
Router(config-pmap)#classtype inspect trust-notrust
Router(config-pmap-c)#inspect
%Nospecific protocol configured in class trust-notrust for inspection. Allprotocols will be inspected
Router(config-pmap-c)#exit
Router(config-pmap)#exit
Router(config)#access-list131 permit tcp 192.1.2.0 0.0.0.255 host192.1.3.2
Router(config)#class-maptype inspect match-all dmz-notrust
Router(config-cmap)#matchaccess-group 131
Router(config-cmap)#matchprotocol http
Router(config-cmap)#exit
Router(config)#policy-maptype inspect dmz-notrust
Router(config-pmap)#classtype inspect dmz-notrust
Router(config-pmap-c)#inspect
%Nospecific protocol configured in class dmz-notrust for inspection. All protocolswill be inspected
Router(config-pmap-c)#exit
Router(config-pmap)#exit
Router(config)#access-list141 permit tcp 192.1.3.0 0.0.0.255 host192.1.2.2
Router(config)#class-maptype inspect match-all notrust-dmz
Router(config-cmap)#matchaccess-group 141
Router(config-cmap)#matchprotocol http
Router(config-cmap)#exit
Router(config-pmap)#policy-maptype inspect notrust-dmz
Router(config-pmap)#classtype inspect notrust-dmz
Router(config-pmap-c)#inspect
%Nospecific protocol configured in class notrust-dmz for inspection. All protocolswill be inspected
Router(config-pmap-c)#exit
Router(config-pmap)#exit
Router(config)#zonesecurity trust
Router(config-sec-zone)#exit
Router(config)#zonesecurity notrust
Router(config-sec-zone)#exit
Router(config)#zonesecurity dmz
Router(config-sec-zone)#exit
Router(config)#interfacefa 0/0
Router(config-if)#zone-membersecurity trust
Router(config-if)#exit
Router(config)#interfacefa 0/1
Router(config-if)#zone-membersecurity notrust
Router(config-if)#exit
Router(config)#interfacefa 1/0
Router(config-if)#zone-membersecurity dmz
Router(config-if)#exit
Router(config)#zone-pairsecurity trust-dmz source trust destination dmz
Router(config-sec-zone-pair)#service-policytype inspect trust-dmz
Router(config-sec-zone-pair)#exit
Router(config)#zone-pairsecurity trust-notrust source trust destination notrust
Router(config-sec-zone-pair)#service-policytype inspect trust-notrust
Router(config-sec-zone-pair)#exit
Router(config)#zone-pairsecurity notrust-dmz source notrust destination dmz
Router(config-sec-zone-pair)#service-policytype inspect notrust-dmz
Router(config-sec-zone-pair)#exit
Router(config)#zone-pairsecurity dmz-notrust source dmz destination notrust
Router(config-sec-zone-pair)#service-policytype inspect dmz-notrust
Router(config-sec-zone-pair)#exit
Router(config)#

1个回答

whizer
whizer   2013.11.29 13:45
已采纳

DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。

网络安全中首先定义的区域是trust区域和untrust区域,简单说就是一个是内网(trust),是安全可信任的区域,一个是internet,是不安全不可信的区域。防火墙默认情况下是阻止对trust的访问,当有服务器在trust区域的时候,一旦出现需要对外提供服务的时候就比较麻烦。
所以定义出一个DMZ的非军事区域,让trust和untrust都可以访问的一个区域,即不是绝对的安全,也不是绝对的不安全,这就是设计DMZ区域的核心思想。

u010014980
u010014980 完全没有技术含量的回答
4 年多之前 回复
Csdn user default icon
上传中...
上传图片
插入图片
准确详细的回答,更有利于被提问者采纳,从而获得C币。复制、灌水、广告等回答会被删除,是时候展现真正的技术了!
其他相关推荐
DMZ区
DMZ是英文“Demilitarized Zone”的缩写,它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等,另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起
用nginx反向代理创建DMZ区,三层安全区划
DMZ区域及非军事管理区域,网络的三层架构。
DMZ的配置
进入公司的第一个任务就是配置一个DMZ,鉴于自己完全是个网络小白,接到这个任务的时候真是诚惶诚恐啊。。。 废话不多说,首先规划一下本文的行文思路: DMZ概念简介 在ubuntu环境下配置LAMP环境 使用apache2配置反向代理 使用到的一些教程链接以及遇到的一些bug DMZ DMZ为DeMilitarized Zone的缩写,中文直译为非军事化区域。作用是把WEB,E-ma
什么叫DMZ区?DMZ区有什么作用?应该怎样构建DMZ?
<br />百度百科:<br />DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了
dmz区域
.什么是DMZ?    DMZ是网络的一个区域,介于外网与内网之间的一个特殊区域,既然说他特殊,就有他的特殊性,也成隔离区,,在传统意义上,安装了防火墙后,外部网络是不能访问内部网络的,要不还要防火墙干啥,假如说外部网络想要访问内部网络,比如内部网络有台WEB主机,对外提供服务,就得解决安装防火墙之后的矛盾了,    DMZ防火墙方案为要保护的内部网络增加了一道安全防线,通常认为是非常安全的。
域控在dmz区域,防火墙需要开启的端口
域控在dmz区域,防火墙需要开启的端口 TCP/UDP 389TCP/UDP 3268TCP/UDP 3269 TCP/UDP 88TCP/UDP 464TCP/UDP 445TCP/UDP 53TCP/UDP 135TCP139UDP 123
DMZ区的介绍及连接图
DMZ称为“隔离区”,也称“非军事化区”。为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻
华为USG防火墙区域配置
USG防火墙区域配置学习目的掌握防火墙安全区域的配置方法掌握对安全区域的参数配置掌握在区域之间进行包过滤的方法拓扑图        650) this.width=650;" src="http://s3.51cto.com/wyfs02/M00/39/54/wKioL1O42nDTyC2gAAFgs2a2q0I647.jpg" title="USG防火墙区域实验图.jpg" alt="wKioL
防火墙术语详解:DMZ区
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有
DMZ及其设置相关
1.什么是DMZ? DMZ是网络的一个区域,介于外网与内网之间的一个特殊区域,既然说他特殊,就有他的特殊性,也成隔离区,,在传统意义上,安装了防火墙后,外部网络是不能访问内部网络的,要不还要防火墙干啥,假如说外部网络想要访问内部网络,比如内部网络有台WEB主机,对外提供服务,就得解决安装防火墙之后的矛盾了,一般情况下,外部网络访问内部网络有两种方法:一,主机放在内部网络LAN中,在路由器或者