(1)應用環(huán)境
創(chuàng)新互聯(lián)公司成都網(wǎng)站建設定制網(wǎng)站設計,是成都網(wǎng)站建設公司,為成都塑料袋提供網(wǎng)站建設服務,有成熟的網(wǎng)站定制合作流程,提供網(wǎng)站定制設計服務:原型圖制作、網(wǎng)站創(chuàng)意設計、前端HTML5制作、后臺程序開發(fā)等。成都網(wǎng)站維護熱線:18982081108如下圖:
內(nèi)網(wǎng)與Internet的連接早已經(jīng)部署好,但是沒有在內(nèi)網(wǎng)中安裝防火墻。
出于安全的考慮,現(xiàn)需要在內(nèi)網(wǎng)中安裝防火墻(其實也可以在出口),但是需求是,原來內(nèi)網(wǎng)中的所有配置都不應發(fā)生改變,這時就需要使用防火墻的透明模式。
(2)部署
防火墻上的配置:
【1】基本接口配置
pixfirewall(config)# int e1
pixfirewall(config-if)# no shu
pixfirewall(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
pixfirewall(config-if)# int e2
pixfirewall(config-if)# no shu
pixfirewall(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
【2】透明模式配置
pixfirewall(config)# firewall transparent //開啟透明模式
pixfirewall(config)# ip address 172.16.1.254 255.255.255.0 //配置管理IP地址,方便遠程管理,此時e1和e2接口都會自動配置此IP地址
開啟透明模式后,默認情況下,PIX防火墻會拒絕所有數(shù)據(jù)流。
所以這里需要允許OSPF數(shù)據(jù)和ICMP數(shù)據(jù)通過,并對ICMP協(xié)議進行修正
pixfirewall(config)# access-list permitospf permit ospf any any //創(chuàng)建允許OSPF數(shù)據(jù)的訪問列表
pixfirewall(config)# access-group permitospf in interface inside //允許OSPF數(shù)據(jù)從inside接口進來
pixfirewall(config)# access-group permitospf in interface outside //允許OSPF數(shù)據(jù)從outside接口進來
pixfirewall(config)# access-list permiticmp permit icmp any any //創(chuàng)建允許ICMP數(shù)據(jù)的訪問列表
pixfirewall(config)# access-group permiticmp in interface inside //允許ICMP數(shù)據(jù)從outside接口進來
pixfirewall(config)# fixup protocol icmp //開啟ICMP協(xié)議修正
疑問:為什么不用有outside接口允許ICMP數(shù)據(jù)進來?
這完全是根據(jù)個人需求配置,如果希望ICMP數(shù)據(jù)從outside接口主動進來,那么可以這樣配置。
對于OSPF數(shù)據(jù),因為inside和outside兩邊的OSPF數(shù)據(jù)都是單播的,所以需要兩邊都允許進來才能正確建立鄰居關系。
而ICMP數(shù)據(jù),為了安全,只在inside接口主動進來,然后PIX防火墻開啟狀態(tài)化檢測,允許ICMP應答包從outside接口進來。
另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務器15元起步,三天無理由+7*72小時售后在線,公司持有idc許可證,提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應用場景需求。