为您找到与usg2100防火墙web路由配置相关的共200个结果:
防火墙已经成为企业网络建设中的一个关键组成部分。但有很多用户,认为网络中已经有了路由器,可以实现一些简单的包过滤功能,所以,为什么还要用防火墙呢?以下我们针对NetEye防火墙与业界应用最多、最具代表性的CISCO路由器在安全方面的对比,来阐述为什么用户网络中有了路由器还需要防火墙。
一、 两种设备产生和存在的背景不同
1.两种设备产生的根源不同
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。
防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。
2.根本目的不同
路由器的根本目的是:保持网络和数据的"通"。
防火墙根本的的目的是:保证任何非允许的数据包"不通"。
二、核心技术的不同
Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,NetEye防火墙是基于状态包过滤的应用级信息流过滤。
下图是一个最为简单的应用:企业内网的一台主机,通过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性,在路由器上需要配置成:外-》内 只允许client访问 server的tcp 1455端口,其他拒绝。
针对现在的配置,存在的安全脆弱性如下:
1、IP地址欺骗(使连接非正常复位)
2、TCP欺骗(会话重放和劫持)
存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的client和路由器之间放上NetEye防火墙,由于NetEye防火墙能够检测 TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,NetEye 防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。
虽然,路由器的"Lock-and-Key"功能能够通过动态访问控制列表的方式,实现对用户的认证,但该特性需要路由器提供Telnet服务,用户在使用使也需要先Telnet到路由器上,使用起来不很方便,同时也不够安全(开放的端口为黑客创造了机会)。
三、安全策略制定的复杂程度不同
路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。
NetEye 防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。
四、对性能的影响不同
路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。
NetEye防火墙的硬件配置非常高(采用通用的INTEL芯片,性能高且成本低),其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。
由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而NetEye防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。
五、审计功能的强弱差异巨大
路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器(如syslog,trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。
NetEye防火墙的日志存储介质有两种,包括本身的硬盘存储,和单独的日志服务器;针对这两种存储,NetEye 防火墙都提供了强大的审计分析工具,使管理员可以非常容易分析出各种安全隐患;NetEye 防火墙对安全事件的响应的及时性,还体现在他的多种报警方式上,包括蜂鸣、trap、邮件、日志;NetEye 防火墙还具有实时监控功能,可以在线监控通过防火墙的连接,同时还可以捕捉数据包进行分析,非分析网络运行情况,排除网络故障提供了方便。
六、防范攻击的能力不同
对于像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。可以得出:
·具有防火墙特性的路由器成本 > 防火墙 + 路由器
·具有防火墙特性的路由器功能 < 防火墙 + 路由器
·具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器
综上所述,可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!
即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口
浏览量:2
下载量:0
时间:
导语:以下是读文网OMG小编为大家整理的防火墙的知识,希望你喜欢阅读:
防火墙已经成为企业网络建设中的一个关键组成部分。但有很多用户,认为网络中已经有了路由器,可以实现一些简单的包过滤功能,所以,为什么还要用防火墙呢?以下我们针对NetEye防火墙与业界应用最多、最具代表性的CISCO路由器在安全方面的对比,来阐述为什么用户网络中有了路由器还需要防火墙。
一、 两种设备产生和存在的背景不同
1.两种设备产生的根源不同
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。
防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。
2.根本目的不同
路由器的根本目的是:保持网络和数据的"通"。
防火墙根本的的目的是:保证任何非允许的数据包"不通"。
二、核心技术的不同
Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,NetEye防火墙是基于状态包过滤的应用级信息流过滤。
下面是一个最为简单的应用:企业内网的一台主机,通过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性,在路由器上需要配置成:外-》内 只允许client访问 server的tcp 1455端口,其他拒绝。
针对现在的配置,存在的安全脆弱性如下:
1、IP地址欺骗(使连接非正常复位)
2、TCP欺骗(会话重放和劫持)
存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的client和路由器之间放上NetEye防火墙,由于NetEye防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,NetEye 防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。
虽然,路由器的"Lock-and-Key"功能能够通过动态访问控制列表的方式,实现对用户的认证,但该特性需要路由器提供Telnet服务,用户在使用时也需要先Telnet到路由器上,使用起来不很方便,同时也不够安全(开放的端口为黑客创造了机会)。
三、安全策略制定的复杂程度不同
路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。
NetEye 防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。
四、对性能的影响不同
路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。
NetEye防火墙的硬件配置非常高(采用通用的INTEL芯片,性能高且成本低),其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。
由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而NetEye防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。
五、审计功能的强弱差异巨大
路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器(如syslog,trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。
NetEye防火墙的日志存储介质有两种,包括本身的硬盘存储,和单独的日志服务器;针对这两种存储,NetEye 防火墙都提供了强大的审计分析工具,使管理员可以非常容易分析出各种安全隐患;NetEye 防火墙对安全事件的响应的及时性,还体现在他的多种报警方式上,包括蜂鸣、trap、邮件、日志;NetEye 防火墙还具有实时监控功能,可以在线监控通过防火墙的连接,同时还可以捕捉数据包进行分析,非分析网络运行情况,排除网络故障提供了方便。
六、防范攻击的能力不同
对于像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。可以得出:
·具有防火墙特性的路由器成本 > 防火墙 + 路由器
·具有防火墙特性的路由器功能 < 防火墙 + 路由器
·具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器
综上所述,可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!
即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。
谢谢观赏
浏览量:2
下载量:0
时间:
cisco思科公司是全球领先的网络解决方案供应商,其出产的设备配置起来也跟别的不太一样,下面是Cisco路由器交换机防火墙配置命令详解,希望对你有所帮助。
路由器显示命令
router#show run ;显示配置信息
router#show inte***ce ;显示接口信息
router#show ip route ;显示路由信息
router#show cdp nei ;显示邻居信息
router#reload;重新起动#p#副标题#e#
路由器口令设置
router>enable ;进入特权模式
router#config terminal ;进入全局配置模式
router(config)#hostname ;设置交换机的主机名
router(config)#enable secret xxx ;设置特权加密口令
router(config)#enable password xxb ;设置特权非密口令
router(config)#line console 0 ;进入控制台口
router(config-line)#line vty 0 4 ;进入虚拟终端
router(config-line)#login ;要求口令验证
router(config-line)#password xx ;设置登录口令xx
router(config)#(Ctrl+z) ; 返回特权模式
router#exit ;返回命令
路由器配置
router(config)#int s0/0 ;进入Serail接口
router(config-if)#no shutdown ;激活当前接口
router(config-if)#clock rate 64000 ;设置同步时钟
router(config-if)#ip address ;设置IP地址
router(config-if)#ip address second ;设置第二个IP
router(config-if)#int f0/0.1 ;进入子接口
router(config-subif.1)#ip address ;设置子接口IP
router(config-subif.1)#encapsulation dot1q ;绑定vlan中继协议
router(config)#config-register 0x2142 ;跳过配置文件
router(config)#config-register 0x2102 ;正常使用配置文件
router#reload ;重新引导
路由器文件操作
router#copy running-config startup-config ;保存配置
router#copy running-config tftp ;保存配置到tftp
router#copy startup-config tftp ;开机配置存到tftp
router#copy tftp flash: ;下传文件到flash
router#copy tftp startup-config;下载配置文件
ROM状态
Ctrl+Break ;进入ROM监控状态
rommon>confreg 0x2142 ;跳过配置文件
rommon>confreg 0x2102 ;恢复配置文件
rommon>reset;重新引导
rommon>copy xmodem: flash: ;从console传输文件
rommon>IP_ADDRESS=10.65.1.2 ;设置路由器IP
rommon>IP_SUBNET_MASK=255.255.0.0 ;设置路由器掩码
rommon>TFTP_SERVER=10.65.1.1 ;指定TFTP服务器IP
rommon>TFTP_FILE=c2600.bin ;指定下载的文件
rommon>tftpdnld ;从tftp下载
rommon>dir flash: ;查看闪存内容
rommon>boot ;引导IOS
Cisco路由器交换机防火墙配置命令详解的相关
浏览量:3
下载量:0
时间:
有人问小编了,飞鱼路由器上网行为管理功能配置的防火墙应该怎么设置。小编觉得飞鱼星路由器的上网行为管理功能很实用,很多情况下都需要用到, 比如禁止所有计算机在任何时刻上网,可在防火墙设置里做如下操作,点击“添加新规则”,在出现的界面中做如下配置。
1 、不使用。保持默认,不勾选。若勾选,则本条规则配置后不生效;
2 、动作。禁止;
3 、优先级。中优先级;
4 、接口。LAN;
5 、协议。ALL[ALL/1- 65535] ;
6 、目的端口范围。当协议为ALL时,目的端口范围默认为所有端口;
7 、目的地址组。选择下拉菜单“任意”;
8 、源地址组。选择下拉菜单“任意 ”;
9 、时间组。任意;
10、描述。进制所有计算机上网;
11、点击“保存”按钮,设置生效。
配置保存后,具体显示界面如下图所示。
注意。规则的匹配顺序是从上到下,一旦匹配了一条规则就会马上执行,下面的规则不再进行匹配。因此一般将比较细化的规则放在上面,可以使用“上下移动”键来调整规则顺序。
一键添加。防火墙的一键添加按钮可以很方便地实现一些网络访问控制功能。比如配置所有的计算机只能浏览网页和收发邮件,禁止其他互联网应用,具体配置界面如下图所示。
一般企业使用的路由器都有上网行为管理功能,这也是因为企业网络,共享的用户太多,必须具备上网行为管理功能的路由器,才好管理整个局域网。
飞鱼路由器的相关
浏览量:2
下载量:0
时间:
思科拥有丰富的行业经验、先进的技术,路由器功能也在世界遥遥领先,那么你知道思科路由器防火墙如何配置吗?下面是读文网小编整理的一些关于思科路由器防火墙如何配置的相关资料,供你参考。
一、access-list 用于创建访问规则。
(1)创建标准访问列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
(2)创建扩展访问列表
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
(3)删除访问列表
no access-list { normal | special } { all | listnumber [ subitem ] }
【参数说明】
normal 指定规则加入普通时间段。
special 指定规则加入特殊时间段。
listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。
listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。
permit 表明允许满足条件的报文通过。
deny 表明禁止满足条件的报文通过。
protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。
source-addr 为源地址。
source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0.
dest-addr 为目的地址。
dest-mask 为目的地址通配位。
operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。
port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。
icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。
log [可选] 表示如果报文符合条件,需要做日志。
listnumber 为删除的规则序号,是1~199之间的一个数值。
subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。
【缺省情况】
系统缺省不配置任何访问规则。
【命令模式】
全局配置模式
【使用指南】
同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的。
使用协议域为IP的扩展访问列表来表示所有的IP协议。
同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。
【举例】
允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP.
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www
Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp
【相关命令】
ip access-group
二、clear access-list counters 清除访问列表规则的统计信息。
clear access-list counters [ listnumber ]
【参数说明】
listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。
【缺省情况】
任何时候都不清除统计信息。
【命令模式】
特权用户模式
【使用指南】
使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。
【举例】
例1:清除当前所使用的序号为100的规则的统计信息。
Quidway#clear access-list counters 100
例2:清除当前所使用的所有规则的统计信息。
Quidway#clear access-list counters
【相关命令】
access-list
三、firewall 启用或禁止防火墙。
firewall { enable | disable }
【参数说明】
enable 表示启用防火墙。
disable 表示禁止防火墙。
【缺省情况】
系统缺省为禁止防火墙。
【命令模式】
全局配置模式
【使用指南】
使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。
【举例】
启用防火墙。
Quidway(config)#firewall enable
【相关命令】
access-list,ip access-group
四、firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。
firewall default { permit | deny }
【参数说明】
permit 表示缺省过滤属性设置为"允许".
deny 表示缺省过滤属性设置为"禁止".
【缺省情况】
在防火墙开启的情况下,报文被缺省允许通过。
【命令模式】
全局配置模式
【使用指南】
当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是"允许",则报文可以通过,否则报文被丢弃。
【举例】
设置缺省过滤属性为"允许".
Quidway(config)#firewall default permit
五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【参数说明】
listnumber 为规则序号,是1~199之间的一个数值。
in 表示规则用于过滤从接口收上来的报文。
out 表示规则用于过滤从接口转发的报文。
【缺省情况】
没有规则应用于接口。
【命令模式】
接口配置模式。
【使用指南】
使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用 in 关键字;如果要过滤从接口转发的报文,使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。
【举例】
将规则101应用于过滤从以太网口收上来的报文。
Quidway(config-if-Ethernet0)#ip access-group 101 in
【相关命令】
access-list
六、settr 设定或取消特殊时间段。
settr begin-time end-time
no settr
【参数说明】
begin-time 为一个时间段的开始时间。
end-time 为一个时间段的结束时间,应该大于开始时间。
【缺省情况】
系统缺省没有设置时间段,即认为全部为普通时间段。
【命令模式】
全局配置模式
【使用指南】
使用此命令来设置时间段;可以最多同时设置6个时间段,通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效(系统查询时间段的时间间隔)。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段,可以设置成"settr 21:00 23:59 0:00 8:00",因为所设置的时间段的两个端点属于时间段之内,故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。
【举例】
例1:设置时间段为8:30 ~ 12:00,14:00 ~ 17:00.
Quidway(config)#settr 8:30 12:00 14:00 17:00
例2: 设置时间段为晚上9点到早上8点。
Quidway(config)#settr 21:00 23:59 0:00 8:0
【相关命令】
timerange,show timerange
七、show access-list 显示包过滤规则及在接口上的应用。
show access-list [ all | listnumber | interface interface-name ]
【参数说明】
all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。
listnumber 为显示当前所使用的规则中序号为listnumber的规则。
interface 表示要显示在指定接口上应用的规则序号。
interface-name 为接口的名称。
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。可以通过带interface关键字的show access-list命令来查看某个接口应用规则的情况。
【举例】
例1:显示当前所使用的序号为100的规则。
Quidway#show access-list 100
Using normal packet-filtering access rules now.
100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)
100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)
100 deny udp any any eq rip (no matches -- rule 3)
例2: 显示接口Serial0上应用规则的情况。
Quidway#show access-list interface serial 0
Serial0:
access-list filtering In-bound packets : 120
access-list filtering Out-bound packets: None
【相关命令】
access-list
八、show firewall 显示防火墙状态。
show firewall
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示防火墙的状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。
【举例】
显示防火墙状态。
Quidway#show firewall
Firewall is enable, default filtering method is 'permit'.
TimeRange packet-filtering enable.
InBound packets: None;
OutBound packets: 0 packets, 0 bytes, 0% permitted,
0 packets, 0 bytes, 0% denied,
2 packets, 104 bytes, 100% permitted defaultly,
0 packets, 0 bytes, 100% denied defaultly.
From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.
【相关命令】
firewall
九、show isintr 显示当前时间是否在时间段之内。
show isintr
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示当前时间是否在时间段之内。
【举例】
显示当前时间是否在时间段之内。
Quidway#show isintr
It is NOT in time ranges now.
【相关命令】
timerange,settr
十、show timerange 显示时间段包过滤的信息。
show timerange
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。
【举例】
显示时间段包过滤的信息。
Quidway#show timerange
TimeRange packet-filtering enable.
beginning of time range:
01:00 - 02:00
03:00 - 04:00
end of time range.
【相关命令】
timerange,settr
十一、timerange 启用或禁止时间段包过滤功能。
timerange { enable | disable }
【参数说明】
enable 表示启用时间段包过滤。
disable 表示禁止采用时间段包过滤。
【缺省情况】
系统缺省为禁止时间段包过滤功能。
【命令模式】
全局配置模式
【使用指南】
使用此命令来启用或禁止时间段包过滤功能,可以通过show firewall命令看到,也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后,系统将根据当前的时间和设置的时间段来确定使用时间段内(特殊)的规则还是时间段外(普通)的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。
【举例】
启用时间段包过滤功能。
Quidway(config)#timerange enable
【相关命令】
settr,show timerange
看过文章“思科路由器防火墙如何配置"
浏览量:3
下载量:0
时间:
思科cisco依靠自身的技术和对网络经济模式的深刻理解,使他成为了网络应用的成功实践者之一,其出产的路由设备也是世界一流,那么你知道思科路由怎么配置PIX虚拟防火墙吗?下面是读文网小编整理的一些关于思科路由怎么配置PIX虚拟防火墙的相关资料,供你参考。
拓扑图
这个拓扑中,中间的PIX配置三个虚拟防火墙,Ethernet0连接到一个3550交换机的TRUNK端口,分别接到三个不同的VLAN,外口Ethernet1连接到Internet,试验中可以使用一台路由器代替。
由于这里Ethernet0是和交换机的TRUNK端口相连,来接收不同VLAN的流量,所以这里使用子接口为TRUNK去VLAN标签,并将这些子接口分配给各个虚拟防火墙,是内部各个VLAN都能访问Internet
首先配置3550交换机:
interface FastEthernet0/2
switchport access vlan 2
!
interface FastEthernet0/3
switchport access vlan 3
!
interface FastEthernet0/4
switchport access vlan 4
!
interface FastEthernet0/10 //和PIX的Ethernet0口相连
switchport trunk encapsulation dot1q //PIX的默认的TRUNK类型就是dot1q
switchport trunk allowed vlan 2,3,4
switchport mode trunk
PIX的配置:
changeto system:
interface Ethernet0
!
interface Ethernet0.2
vlan 2 //为子接口进行封装,去VLAN标签
interface Ethernet0.3
vlan 3
interface Ethernet0.4
vlan 4
!
interface Ethernet1
!
admin-context admin
context admin
allocate-interface Ethernet0.2 Intf1 //分配E0.2子接口到虚拟防火墙admin,别名是Intf1
allocate-interface Ethernet1 Intf0 //分配接口E1到虚拟防火墙admin,别名是Intf0
config-url flash:/admin.cfg
!
context DepartmentA
allocate-interface Ethernet0.3 Intf1
allocate-interface Ethernet1 Intf0
config-url flash:/DepartmentA.cfg
!
context DepartmentB
allocate-interface Ethernet0.4 Intf1
allocate-interface Ethernet1 Intf0
config-url flash:/DepartmentB.cfg
changeto context admin:
interface Intf1
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Intf0
mac-address 00aa.0000.01c1
nameif outside
security-level 0
ip address 192.168.1.10 255.255.255.0
changeto context DepartmentA:
interface Intf1
nameif inside
security-level 100
ip address 192.168.3.1 255.255.255.0
!
interface Intf0
mac-address 00aa.0000.01c2
nameif outside
security-level 0
ip address 192.168.1.11 255.255.255.0
changeto context DepartmentB:
interface Intf1
nameif inside
security-level 100
ip address 192.168.4.1 255.255.255.0
!
interface Intf0
mac-address 00aa.0000.01c3
nameif outside
security-level 0
ip address 192.168.1.12 255.255.255.0
最后在试验中代替Internet的路由器上进行验证:
成功ping通每个虚拟接口上配置的IP地址。
浏览量:2
下载量:0
时间:
如果想在路由器下面再加一台路由器当然是使用上一台路由器可以上网的IP地址设置到下面一台路由器中这样下面的路由器就可以实现上网,那么你知道路由器怎么配置固定ip地址吗?下面是读文网小编整理的一些关于路由器配置固定ip地址的相关资料,供你参考。
在浏览器的地址栏上输入路由器的IP地址,然后再输入路由器的登陆用户名和密码,确定登陆上去。
进入路由器以后点击【网络参数】----【WAN设置】然后在右边的界面中设置固定IP地址。
在出来的这个界面中WAN连接类型一定要选择【静态IP】然后在下面输入IP地址,子网掩护码,网关和你当地DNS最后保存就可以了。
在运行状态下面看到WAN连接类型就是静态IP地址上网的。
上面我使用的是内网再接路由器连接的方式。如果是电信给出的静态IP地址就不是192.168这样开头的IP。
路由器配置固定ip地址的相关
浏览量:4
下载量:0
时间:
防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。下面是读文网小编带来如何配置硬件防火墙的内容,欢迎阅读!
1、 打开ChinaDDOS DIY硬防的内核下载一个适合的版本,这里我下载的是V3.1BETA01的最新版本。
2、 将下载的RAR文件解压缩,得到ISO光盘镜像文件。
3、 将镜像文件刻录至光盘。
安装防火墙内核
将内核安装光盘准备好后,确认硬盘或电子盘连接到了IDE1的MASTER位置后,在防火墙平台上连接好光驱,接通防火墙平台电源,把上一步准备好的内核安装光盘放入光驱。启动防火墙平台。
1、 屏幕显示如下图,等待内核安装光盘引导一会后(屏幕上快速闪过整屏的英文),将停留在下图的位置:
2、 按回车键继续安装, 屏幕显示如左图,出现三个选择项目:
① 安装防火墙内核,
② 开始一个命令行,
③ 重新启动系统。
3、 这里我们选择1并回车。回车后出现如右图。选择一个内核安装源文件的位置。上面列表中红色字部分标记出了我的光驱安装位置hdc,于是我键入hdc后回车。
4、 屏幕出现绿色done字样,表示安装光盘识别成功。又提示安装的目标驱动器。上面列表中紫色字部分标记出了系统自动识别的目标安装位置had,这里如果系统没有自动识别到硬盘或电子盘,请检查电子盘或硬盘是不是正确安装到了IDE1的MASTER位置。我键入had后回车。
5、 键入had后,屏幕提示"正在将防火墙内核从hdc安装到had……",这里需要等待2分钟左右。安装工作正在进行。
6、 直到屏幕上出现"Install completed!"字样,表示安装已结束。这时按回车键返回。
7、 重新回到选择菜单后,选择3重新启动防火墙平台,记得将光盘从光驱中取出。这样,防火墙的安装就完成了。
浏览量:3
下载量:0
时间:
虚拟服务器功能可以实现将内网的服务器映射到Internet,从而实现服务器对外开放,那么你知道路由器tplink847n怎么配置虚拟服务器吗?下面是读文网小编整理的关于路由器tplink847n配置虚拟服务器的相关资料,欢迎参考。
某小型企业需要将邮件和网页服务器对外网开放。通过虚拟服务器功能实现该需求。用户网络参数如下:
注意:以上参数仅供本文指导参考,请以实际为准。
设置虚拟服务器之前,需要确认以下几点:
1、开始设置
登录路由器管理界面,进入 转发规则 >> 虚拟服务器,并点击 添加新条目。
2、添加邮件服务器规则
填写邮件服务器的服务端口号、服务器IP地址,然后点击 保存。
发送邮件(SMTP:25号端口):
服务端口号:服务端口号为对外开放端口,即Internet访问服务器使用的端口。该端口必须与服务器实际端口一致。
接收邮件(POP3:110号端口):
3、添加网页服务器规则
4、确认规则启用
进入 转发规则 >> 虚拟服务器,如图所示表示创建成功。
至此,虚拟服务器规则设置完成。
根据以上设置,Internet中的客户端通过邮件客户端软件访问121.202.33.100(WAN口IP地址),即可访问到邮件服务器。通过浏览器访问网页服务器,访问形式如下:
注意:具体的访问形式以实际服务器要求为准。
如果您的宽带并非静态IP地址,可以在 动态DNS 中申请域名账号并在路由器中登录该账号,登录后使用您的域名和开放的端口号访问服务器。
路由器tplink配置虚拟服务器的相关
浏览量:0
下载量:0
时间:
大家平时在配置路由器的时候,有没有注意到将自己的路由器的密码更改啊?一般情况下,我们是不会注意将路由器的登录密码进行修改的,因此这种情况下,很容易让别人轻易地登陆我们的路由器管理界面,那么你知道如何配置路由器密码吗?下面是读文网小编整理的一些关于配置路由器密码的相关资料,供你参考。
首先,如果我们使用的是TP-Link类型的路由器,默认的登录IP地址为:192.168.1.1,默认的登录用户名和密码均为:admin,因此大家首先登录进入路由器WEB管理界面。
在WEB管理界面中,我们选择“系统工具”,“修改登陆口令”进行选项设置。
在接下来打开的界面中,我们在默认的原用户名和原口令中输入“admin”,然后在需要修改的口令以及用户名中输入自己重新设置的口令,点击保存即可。
给大家提一个小小的建议,如果大家修改了登陆口令的话,那么接下来建议大家修改一下登录IP,大家点击“网络参数”,然后修改“LAN口设置”。
在“LAN口设置”中弹出的界面里,我们选择“修改”默认登录IP地址,比如说这里我修改为“155.155.15.1”这样,一般情况下,是不是有人知道我们的路由器登录密码的,显得很安全,大家点击“保存”就OK啦,赶快试试吧,让蹭网什么的都一边呆着去。
配置路由器密码的相关
浏览量:7
下载量:0
时间:
如今光纤已悄悄进入千家万户,逐渐取代ADSL成为新的上网方式,这为用户上网提供了更好的带宽以及更好的用户体验,那么你知道光纤连接无线路由器怎么配置吗?下面是读文网小编整理的一些关于光纤连接无线路由器配置的相关资料,供你参考。
一、将入户光纤连接好后,用网线将路由器的WAN口与光猫(光纤盒)的LAN口相连,我们看到路由器的WAN口灯闪烁后,表示连接正常。
二、接下来开始设置路由器
1、电脑连接到路由器
笔记本电脑打开wifi,搜索路由器wifi名称并连接(名称一般默认为路由器品牌开头+数字等)。第一次使用路由器一般不用输入wifi密码(之前设置过密码的使用原来的密码即可)。(台式机如不带wifi功能,则用一根网线连接电脑和路由器LAN的一个接口即可)
2、进入路由器设置页面
打开电脑浏览器,输入路由器的网关ip地址(一般是192.168.1.1,如不确定请看路由器背面信息),进入配置界面。
3、选择上网方式
点击设置向导,如果宽带服务需要拨号请选择PPPOE拨号,否则可以选择DHCP自动获取。PPPOE拨号要输入宽带账号密码,连接模式选择自动连接。DHCP自动获取则不用填写。
4、设置wifi名称及密码。
选择无线设置中的无线安全,安全模式选择WPA2-PSK模式。WPA加密规则选择AES。设置无线网络密码,建议设置自己熟悉易记的密码,此外不要过于简单,防止被人蹭网。设置完成后,保存设置。
最后重启路由器,连接wifi,输入新的无线密码后,就可以畅游网络喽!
光纤连接无线路由器配置的相关
浏览量:2
下载量:0
时间:
如果您希望在网络任何地方都可以管理到路由器,进行实时、安全的管控配置。远程WEB管理功能,可以实现在接入互联网的地方即可远程管理路由器。那么你知道tplink路由器wdr5300怎么配置web管理吗?下面是读文网小编整理的一些关于tplink路由器wdr5300配置web管理的相关资料,供你参考。
1、设置远程WEB管理
登录路由器界面,在 安全功能 > 远程WEB管理,WEB管理端口修改为9090,远程WEB管理状态 选择 启用,远程WEB管理IP地址设置为255.255.255.255(即允许所有外网电脑都能访问到路由器界面),并点击 确定。如下图所示:
请注意以下事项:
[1] 80、8080等常用端口容易被宽带服务商屏蔽,因此建议将WEB管理端口设置为不常用端口,如9000以上的端口。
[2] 修改WEB管理端口后,局域网电脑管理时需要使用http://LAN口IP:端口(如http://192.168.1.1:9090)。
新界面的无线路由器点击 高级设置 > 设备管理 > WEB管理设置 进行设置。如下图。
开启远程WEB管理后,局域网电脑依然使用tplogin.cn访问新界面的路由器。
企业级路由器则是点击 系统工具 > 设备管理/管理账号 > 远程管理,新增一条0.0.0.0/32的条目,同时在 系统管理设置 中设置WEB服务端口。
2、查看WAN口IP地址
点击 运行状态,查看 WAN口状态,记录WAN口IP地址。
3、外网电脑访问路由器
外网电脑在浏览器地址栏输入http://WAN口IP:端口 来访问。如下图:
注意:121.201.33.100仅为举例,实际访问时请以实际查看到的IP地址为准。
如果路由器上登录了动态域名,还可以使用http://域名:端口 来访问。
tplink路由器配置web管理的相关
浏览量:0
下载量:0
时间:
使用路由器后,Internet用户无法访问到局域网内的主机,因此不能访问内网搭建的Web、FTP、Mail等服务器。那么你知道tplink路由器wdr5300怎么配置虚拟服务器吗?下面是读文网小编整理的一些关于tplink路由器wdr5300配置虚拟服务器的相关资料,供你参考。
某小型企业需要将邮件和网页服务器对外网开放。通过虚拟服务器功能实现该需求。用户网络参数如下:
对外开放端口:Internet用户访问服务器使用的端口。
注意:以上参数仅供本文指导参考,请以实际为准。
设置虚拟服务器之前,需要确认以下几点:
1、开始设置
登录路由器管理界面,进入 转发规则 >> 虚拟服务器,并点击 添加新条目。
2、添加邮件服务器规则
填写邮件服务器的服务端口号(外开放端口)、内部端口号(服务器实际端口)、服务器IP地址,然后点击 保存。
发送邮件(SMTP:25号端口):
接收邮件(POP3:110号端口):
服务端口号:服务端口号为对外开放端口,即Internet访问服务器使用的端口。
3、添加网页服务器规则
注意:服务端口号可以根据需要自行设置(如需更改,建议设置为9000以上)。无特殊需求,请将服务端口号与内部端口号一致。
4、确认规则启用
进入 转发规则 >> 虚拟服务器,如图所示表示创建成功。
至此,虚拟服务器规则设置完成。
根据以上设置,Internet中的客户端通过邮件客户端软件访问121.202.33.100(WAN口IP地址),即可访问到邮件服务器。通过浏览器访问网页服务器,访问形式如下:
注意:具体的访问形式以实际服务器要求为准。
如果您的宽带并非静态IP地址,可以在 动态DNS 中申请域名账号并在路由器中登录该账号,登录后使用您的域名和开放的端口号访问服务器。
tplink路由器配置虚拟服务器的相关
浏览量:0
下载量:0
时间:
企业办公网络环境中,需要对内部办公电脑进行网络权限差异化设置,从而提升办公效率和网络安全。那么你知道tplink路由器wdr5300怎么配置上网控制吗?下面是读文网小编整理的一些关于tplink路由器wdr5300配置上网控制的相关资料,供你参考。
某小型企业需要实现经理电脑不受限制,所有员工在上班时间只能访问特定网站和应用,其他时间上网均不限制。根据需求,制定以下配置表:
注意:上数参数仅供参考,在设置规则时,根据实际需求定义。
登录路由器管理界面,点击 上网控制 >> 日程计划 >> 增加单个条目,添加 工作时间,如下图所示:
按照同样的设置方式,依次添加其它时间段的规则,总规则如下:
1、填写目标网站域名
点击 上网控制 >> 访问目标 >> 增加单个条目,添加公司网站域名(以www.tp-link.com.cn为例),如下图所示:
2、填写目标IP地址
添加访问目标,以添加DNS服务为例:
注意:也可以在常用服务端口号中选择您需要设置的服务。
3、添加其他规则
使用邮件客户端软件收发邮件,常用端口有:25、110、53、SMTPS端口465、IMAPS端口993,
QQ登录常用端口:8000,443。
依次添加规则,具体规则如下:
注意:本文相关参数仅作举例,具体开放的端口和目的IP地址,以实际需求为准。
1、添加经理电脑
点击 上网控制 >> 主机列表 >> 增加单个条目,添加经理电脑的MAC,如下图所示:
注意:设置经理的MAC地址,避免出现其他电脑修改IP地址获取上网权限。
2、添加员工主机
由于员工MAC地址数目较多,逐一添加会导致规则列表成倍增长,可通过IP地址段来实现,如下图:
注意:IP地址段内可能包括经理的IP地址,根据匹配规则,二者并不冲突。
设置好规则如下:
1、添加经理上网规则
点击 上网控制 >> 规则管理 >> 添加单个条目,添加经理电脑的访问规则,如下图所示:
2、添加员工上网规则
添加员工上网权限规则,以添加上班时间规则为例:
依次添加员工在工作时间收发邮件、登录QQ和非工作时间的访问规则,设置完成后,总规则如下:
设置完所有规则后,点击 开启 上网控制,缺省过滤规则选择 “凡是符合已设上网控制规则的数据包,允许通过本路由”,点击 保存。
注意:此处选择的默认规则按照实际需求填写,“允许”即设置的规则为白名单,“禁止”即设置的规则为黑名单。
至此,上网控制功能设置完成。办公网络内的所有电脑均会按照设置的规则进行上网应用。
tplink路由器配置上网控制的相关
浏览量:0
下载量:0
时间:
TL-WR845N基于IP地址的带宽控制功能实现对带宽资源合理分配,可以有效防止少部分主机占用大多数的资源,为整个网络带宽资源的合理利用提供保证。那么你知道路由器tplink845怎么配置带宽控制吗?下面是读文网小编整理的一些关于路由器tplink845配置带宽控制的相关资料,供你参考。
某用户使用TL-WR845N进行宽带共享上网,需保证内网台式机进行游戏、视频正常应用,同时保证其他终端可以正常浏览网页、QQ聊天等基本应用。
用户线路为4M ADSL线路,上行带宽为512Kbps,下行带宽为4096Kbps。结合用户需求与总带宽,分配规则如下:
注意:该表仅供参考,分配值以实际为准。该表格中,其他终端共用分配的带宽。
分配原则:保证最小带宽总和不超过总带宽。
为了满足该需求,需要为台式机配置固定的IP地址(本例中为192.168.1.10),其他电脑、手机等终端自动获取IP地址。注意:需要为台式机手动指定IP地址、网关、DNS等参数。
1、开启带宽控制,设置线路参数
在管理界面点击 IP带宽控制,勾选 开启IP带宽控制,选择宽带线路类型为 ADSL线路 ,带宽大小填写 4000。
注意:此处带宽值仅供参考,实际应用中需要填写宽带线路真实带宽值。
2、添加台式机的规则
IP地址段均填写 192.168.1.10-192.168.1.10 。模式分别选择 保障最小带宽 和 限制最大带宽,带宽大小分别填写1500 和 3000。并添加相应的备注信息,勾选 启用。
3、为其他终端设置规则
IP地址段均填写 192.168.1.100-192.168.1.254 。模式分别选择 保障最小带宽 和 限制最大带宽 ,带宽大小分别填写 2500 和 3500。并添加相应的备注信息,勾选 启用。填写完毕点击 保存。
注意:默认的DHCP地址池为192.168.1.100-192.168.1.254。自动获取IP地址的终端均会从该地址池中获得IP地址。
至此IP带宽控制设置完成。台式机可以实现下行最小1500Kbps的带宽,其他终端共享最小2500Kbps的总带宽,各类终端可以实现对应的带宽需求。
路由器tplink845配置带宽控制相关
浏览量:0
下载量:0
时间:
路由器可以为局域网内的电脑、手机、笔记本等终端提供有线、无线接入网络。那么你知道路由器tplink845怎么配置静态ip上网吗?下面是读文网小编整理的一些关于路由器tplink845配置静态ip上网的相关资料,供你参考。
1、开始设置向导
进入路由器的管理界面后,点击 设置向导,点击 下一步。
2、选择上网方式
上网方式选择 静态IP,点击 下一步。
3、填写IP地址等参数
填写运营商指定的IP地址、子网掩码、网关以及DNS服务器地址。点击 下一步:
4、设置无线参数
SSID即无线网络名称(可根据实际需求设置),勾选 WPA-PSK/WPA2-PSK 并设置PSK无线密码,点击 下一步。
5、设置完成,重启路由
点击 重启,弹出对话框点击 确定。
重启完成后,进入路由器管理界面,点击 运行状态,查看 WAN口状态,如下图,则表示设置完成。
至此,路由器已经设置完成,操作电脑可以尝试上网。
路由器tplink845配置静态ip上网的相关
浏览量:0
下载量:0
时间: