Router>en
Router#conft
Enterconfiguration commands, one per line. End with CNTL/Z.
Router(config)#access-list111 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.2
Router(config)#class-maptype inspect match-all trust-dmz-http
Router(config-cmap)#matchaccess-group 111
Router(config-cmap)#matchprotocol http
Router(config-cmap)#exit
Router(config)#policy-maptype inspect trust-dmz
Router(config-pmap)#classtype inspect trust-dmz-http
Router(config-pmap-c)#inspect
%Nospecific protocol configured in class trust-dmz-http for inspection. Allprotocols will be inspected
Router(config-pmap-c)#exit
Router(config)#access-list121 permit tcp 192.1.1.0 0.0.0.255 host 192.1.3.2
Router(config)#class-maptype inspect match-all trust-notrust
Router(config-cmap)#matchaccess-group 121
Router(config-cmap)#matchprotocol http
Router(config-cmap)#exit
Router(config)#policy-maptype inspect trust-notrust
Router(config-pmap)#classtype inspect trust-notrust
Router(config-pmap-c)#inspect
%Nospecific protocol configured in class trust-notrust for inspection. Allprotocols will be inspected
Router(config-pmap-c)#exit
Router(config-pmap)#exit
Router(config)#access-list131 permit tcp 192.1.2.0 0.0.0.255 host192.1.3.2
Router(config)#class-maptype inspect match-all dmz-notrust
Router(config-cmap)#matchaccess-group 131
Router(config-cmap)#matchprotocol http
Router(config-cmap)#exit
Router(config)#policy-maptype inspect dmz-notrust
Router(config-pmap)#classtype inspect dmz-notrust
Router(config-pmap-c)#inspect
%Nospecific protocol configured in class dmz-notrust for inspection. All protocolswill be inspected
Router(config-pmap-c)#exit
Router(config-pmap)#exit
Router(config)#access-list141 permit tcp 192.1.3.0 0.0.0.255 host192.1.2.2
Router(config)#class-maptype inspect match-all notrust-dmz
Router(config-cmap)#matchaccess-group 141
Router(config-cmap)#matchprotocol http
Router(config-cmap)#exit
Router(config-pmap)#policy-maptype inspect notrust-dmz
Router(config-pmap)#classtype inspect notrust-dmz
Router(config-pmap-c)#inspect
%Nospecific protocol configured in class notrust-dmz for inspection. All protocolswill be inspected
Router(config-pmap-c)#exit
Router(config-pmap)#exit
Router(config)#zonesecurity trust
Router(config-sec-zone)#exit
Router(config)#zonesecurity notrust
Router(config-sec-zone)#exit
Router(config)#zonesecurity dmz
Router(config-sec-zone)#exit
Router(config)#interfacefa 0/0
Router(config-if)#zone-membersecurity trust
Router(config-if)#exit
Router(config)#interfacefa 0/1
Router(config-if)#zone-membersecurity notrust
Router(config-if)#exit
Router(config)#interfacefa 1/0
Router(config-if)#zone-membersecurity dmz
Router(config-if)#exit
Router(config)#zone-pairsecurity trust-dmz source trust destination dmz
Router(config-sec-zone-pair)#service-policytype inspect trust-dmz
Router(config-sec-zone-pair)#exit
Router(config)#zone-pairsecurity trust-notrust source trust destination notrust
Router(config-sec-zone-pair)#service-policytype inspect trust-notrust
Router(config-sec-zone-pair)#exit
Router(config)#zone-pairsecurity notrust-dmz source notrust destination dmz
Router(config-sec-zone-pair)#service-policytype inspect notrust-dmz
Router(config-sec-zone-pair)#exit
Router(config)#zone-pairsecurity dmz-notrust source dmz destination notrust
Router(config-sec-zone-pair)#service-policytype inspect dmz-notrust
Router(config-sec-zone-pair)#exit
Router(config)#
在配置zone安全策略是信任区无法访问dmz区和非信任区??
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
分享- 邀请回答
-
1条回答 默认 最新
whizer 2013-11-29 05:45关注DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
网络安全中首先定义的区域是trust区域和untrust区域,简单说就是一个是内网(trust),是安全可信任的区域,一个是internet,是不安全不可信的区域。防火墙默认情况下是阻止对trust的访问,当有服务器在trust区域的时候,一旦出现需要对外提供服务的时候就比较麻烦。
所以定义出一个DMZ的非军事区域,让trust和untrust都可以访问的一个区域,即不是绝对的安全,也不是绝对的不安全,这就是设计DMZ区域的核心思想。本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报 分享
悬赏问题
- ¥15 关于#python#的问题:求帮写python代码
- ¥15 LiBeAs的带隙等于0.997eV,计算阴离子的N和P
- ¥15 关于#windows#的问题:怎么用WIN 11系统的电脑 克隆WIN NT3.51-4.0系统的硬盘
- ¥15 来真人,不要ai!matlab有关常微分方程的问题求解决,
- ¥15 perl MISA分析p3_in脚本出错
- ¥15 k8s部署jupyterlab,jupyterlab保存不了文件
- ¥15 ubuntu虚拟机打包apk错误
- ¥199 rust编程架构设计的方案 有偿
- ¥15 回答4f系统的像差计算
- ¥15 java如何提取出pdf里的文字?