ensp查看防火墙网关命令

安全
ensp防火墙概述与命令总结
云归959
原创
关注
4点赞·6380人阅读
防火墙概述与命令总结
0713 防火墙的基本概述：
安全策略：
0714 防火墙的NAT策略：
server nat：
pat与no-pat做法：
域内nat做法：
0715 防火墙的双机热备：
在防火墙上配置VGMP：
0717 防火墙的GRE封装：
gre在防火墙上应用：
防火墙中的telnet配置：
防火墙中ssh配置:
0713 防火墙的基本概述：
防火墙分为：
框式防火墙
盒式防火墙
软件防火墙（公有云、私有云）
我们目前学习的是状态检测防火墙：
通过检查首包的五元组，来保证出入数据包的安全
隔离不同的网络区域
通常用于两个网络之间，有选择性针对性的隔离流量
阻断外网主动访问内网，但回包不算主动访问
安全区域（security zone）：被简称为区域（zone），是防火墙的重要概念，缺省时有4个区域：
local：本地区域，所有IP都属于这个区域
trust：受信任的区域
DMZ：是介于管制和不管制区域之间的区域，一般放置服务器
untrust：一般连接Internet和不属于内网的部分
ps：每个接口都需要加入安全区域，不然防火墙会显示接口未激活，无法工作
firewall zone [区域名] //进入安全区域
add interface GigabitEthernet [接口号] //添加接口到此区域
display zone //查看区域划分情况
复制
安全策略：
与ACL类似，动作只有两种：permit和deny
每一个想要通过防火墙的数据包都需要被安全策略检查，如果不写安全策略，ping都经过不了防火墙
如何去写安全策略：
security-policy
rule name [策略名]
source-zone [区域名]
source-address [源地址] [掩码] //此条可以略
destination-zone [区域名]
destination-address [源地址] [掩码] //此条可以略
service [协议名] //需要放行的协议
action permit //此条策略的动作是放行
复制
防火墙策略命中即转发
一些今天的名词：
ddos攻击防范：ddos攻击就是通过伪造大量不同的mac地址让交换机学习，让交换机无法正常处理其他事情
SPU：防火墙特有的，用于实现防火墙的安全功能
五元组：源/目地址、源/目端口号、协议
ASPF技术：应用包过滤技术，可以根据协议推出应用包内容，根据内容提前生成server-map表项，在流量没有匹配会话表时，可以匹配server-map来处理
ftp无论是主动模式还是被动模式都是client先主动向server发起控制通道连接
ftp的主动模式（port）：server主动向client发起数据通道的连接
ftp被动模式（pasv）：server等待client发起数据通道的连接
0714 防火墙的NAT策略：
NAT转换有两种转换：
源NAT：
no-pat //1对1转化，不节约公网地址，同一时间内只能有一个人上网
pat //指定一个或多个公网地址使PC机可以通过这个公网地址的不同端口进行访问
ease-ip //使用接口的IP作为NAT地址，使PC机可以通过这个公网地址的不同端口进行访问
目标NAT：
server nat //服务器映射
值得注意的是：
如果在防火墙上的是源NAT转换，则防火墙先匹配安全策略，再匹配NAT策略
如果在防火墙上的是目标NAT转换，则防火墙先匹配NAT策略，再匹配安全策略
实验总结概述：
如何做nat：
server nat：
nat server protocol [协议] global [公网地址] [端口] inside [服务器地址] [端口]
复制
pat与no-pat做法：
nat address-group [地址组名]
mode pat
section [初始地址] [结束地址]
nat-policy //进入nat策略，将前一步的地址池应用在nat策略中
source-zone [区域名]
source-address [源地址] [掩码]
destination-zone [区域名]
destination-address [源地址] [掩码] //此步规定什么样的地址允许做NAT转换
action source-nat address-group NAT //应用地址组
//之后就是看需要写安全策略
复制
域内nat做法：
访问需要通过公网地址访问
第一步：将接口划分好所属区域，做好基础配置
第二步：创建一个nat地址池，将地址池的范围规划好，（默认为PAT）
nat server 0 protocol tcp global 204111 >端口绑定错误。在使用ensp时，提示显示服务器忙有433端口是由端口绑定错误导致的，只需要重新绑定就能解决。端口是设备与外界通讯交流的出口。端口可分为虚拟端口和物理端口，其中虚拟端口指计算机内部或交换机路由器内的端口，不可见。

1、内网的PC1可以访问内网的服务器，不能访问外网的服务器。。
这里，要做NAT的路由器是应该在Router0中做
2、外网的PC0可以访问外网的服务器，不能内问外网的服务器，如何解决
这里，因为内网服务器是通过NAT出去的，所以需要在Router0中做反向代理或者端口映射。
我的服务器用的是小鸟云的，挺稳定，访问很流畅。

1局域网作用
企事业综合信息管理系统基于和>