首先,对于企业级用户来说,路由器与防火墙的配置是确保网络安全的关键。在配置过程中,需要完成以下任务:
1. 建立整个网络环境,配置外网服务器及客户端IP信息。 2. 配置FTP和Web服务器。 3. 正确配置三层交换机、路由器。 4. 正确配置防火墙。 5. 确保内网客户端可以访问外网服务,包括ping协议。 6. 允许内网客户端远程管理防火墙。
以交换机为例,配置过程如下:
``` Switch#co nfig terminal Switch(config)# Switch(config)#host SW SW(config)#ip routing SW(config)#int f0/2 SW(config-if)#switchport Access VLAN 2 SW(config-if)#exit SW(config)#int f0/10 SW(config-if)#no switchport SW(config-if)#ip add 192.168.10.2 255.255.255.0 SW(config-if)#no sh SW(config-if)#exit SW(config)#int vlan 2 SW(config-if)#ip add 192.168.2.1 255.255.255.0 SW(config-if)#no sh SW(config)#ip route 10.10.10.0 255.255.255.0 192.168.10.1 ```
对于防火墙的配置,以下是一个案例:
``` Ciscoasa# conf t ciscoasa(config)# firewall transparent ciscoasa(config)# host FW FW(config)# int e0/0 FW(config-if)# switchport acc vlan 1 FW(config-if)# no sh FW(config-if)# exit FW(config)# int e0/1 FW(config-if)# switchport acc vlan 2 FW(config-if)# no sh FW(config-if)# exit FW(config)# int vlan 1 FW(config-if)# nameif outside FW(config-if)# security-level 0 FW(config-if)# no sh FW(config-if)# exit FW(config)# int vlan 2 FW(config-if)# nameif inside FW(config-if)# security-level 100 FW(config-if)# no sh FW(config)# ip address 192.168.10.10 255.255.255.0 FW(config)# access-list icmp extended permit icmp any any FW(config)# access-list ip extended permit ip any any FW(config)# access-group icmp in interface outside FW(config)# access-group icmp in interface inside FW(config)# access-group ip in interface inside FW(config)# access-group ip in interface outside FW(config)# route outside 0.0.0.0 0.0.0.0 192.168.10.1 FW(config)# route inside 192.168.2.0 255.255.255.0 192.168.10.2 FW (config)# Telnet 0.0.0.0 0.0.0.0 inside ```
对于家用路由器防火墙的设置,虽然功能相对简单,但也能满足基本需求。主要包括:
1. 防IP地址过滤:限制内网IP对外网IP的访问。 2. URL过滤:限制用户访问某些不安全的网站。 3. MAC地址过滤:通过绑定IP和MAC地址,防止非法设备接入网络。 4. 防黑能力:防止恶意攻击。
总的来说,通过合理的网络配置,我们可以确保网络安全,防止数据泄露和恶意攻击。在配置过程中,要根据实际需求调整设置,以获得最佳效果。一、其中路由器与防火墙如何设置_百度知道
路由器可以像没有防火培那样配置,防火墙的配置如下:
透明防火墙应用配置案例
实训要求:
1) 完成整个网络环境的搭建,完成好外网服务器及客户端IP信息的配置;
2) 完成FTP、Web服务器的配置;
3) 正确配置三层交换机、路由器;
4) 正确配置防火墙;
5) 使内网的客户端可以访问外网的任何服务(包括ping协议);
6) 内网中的客户端可以远程到防火墙对其进行管理。
SW的配置说明:
Switch#config terminal
Switch(config)#
Switch(config)#host SW
SW(config)#ip routing
SW(config)#int f0/2
SW(config-if)#switchport access vlan 2
SW(config-if)#exit
SW(config)#int f0/10
SW(config-if)#no switchport
SW(config-if)#ip add 192.168.10.2 255.255.255.0
SW(config-if)#no sh
SW(config-if)#exit
SW(config)#int vlan 2
SW(config-if)#ip add 192.168.2.1 255.255.255.0
SW(config-if)#no sh
SW(config)#ip route 10.10.10.0 255.255.255.0 192.168.10.1
FW配置说明:
ciscoasa# conf t
ciscoasa(config)# firewall transparent ------------------设置防火墙为透明模式
ciscoasa(config)# host FW
FW(config)# int e0/0
FW(config-if)# switchport acc vlan 1 ------------------设置端口与VLAN1绑定
FW(config-if)# no sh
FW(config-if)# exit
FW(config)# int e0/1
FW(config-if)# switchport acc vlan 2 --------------设置端口与VLAN2绑定
FW(config-if)# no sh
FW(config-if)# exit
FW(config)# int vlan 1
FW(config-if)# nameif outside ---------------------对端口命名外端口
FW(config-if)# security-level 0 --------------------设置端口等级
FW(config-if)# no sh
FW(config-if)# exit
FW(config)# int vlan 2
FW(config-if)# nameif inside ---------------------对端口命名内端口
FW(config-if)# security-level 100 --------------------设置端口等级
FW(config-if)# no sh
FW(config)# ip address 192.168.10.10 255.255.255.0 ------------配置管理ip地址
FW(config)# access-list icmp extended permit icmp any any --------------设置ACL列表(允许ICMP全部通过)
FW(config)# access-list ip extended permit ip any any ------------------设置ACL列表(允许所有IP通过)
FW(config)# access-group icmp in interface outside
------------------------------------------------------------------设置ACL列表绑定到外端口
FW(config)# access-group icmp in interface inside
------------------------------------------------------------------设置ACL列表绑定到内端口
FW(config)# access-group ip in interface inside
FW(config)# access-group ip in interface outside
FW(config)# route outside 0.0.0.0 0.0.0.0 192.168.10.1 --------为管理地址配置网关
FW(config)# route inside 192.168.2.0 255.255.255.0 192.168.10.2
----------------------------------------------------------------------为管理地址配置网关
FW (config)# telnet 0.0.0.0 0.0.0.0 inside ------------设置TELNET所有地址进入
R配置说明:
router(config)#host R
R(config)#int f0/0
R(config-if)#ip add 192.168.10.1 255.255.255.0
R(config-if)#no sh
R(config-if)#exit
R(config)#int f0/1
R(config-if)#ip add 10.10.10.1 255.255.255.0
R(config-if)#no sh
R(config-if)#exit
R(config)#ip route 192.168.2.0 255.255.255.0 192.168.10.2
R (config)#access-list 1 permit 192.168.0.0 0.0.255.255
-------------------------------------------定义内部网络中允许访问外部的访问控制列表
R(config)#ip nat inside source list 1 interface f0/1 overload
------------------------------------------------------------------------指定网络地址转换映射
R(config)#interface f0/1
R(config-if)#ip nat outside ---------------------------------在外部端口上启用NAT
R(config)#interface fastEthernet 0/0
R(config-if)#ip nat inside ---------------------------------在内部端口上启用NAT
二、防火墙下接路由器该如何配置
方法:
1.IP地址过滤的使用IP地址过滤用于通过IP地址设置内网主机对外网的访问权限,适用于这样的需求:在某个时间段,禁止/允许内网某个IP(段)所有或部分端口和外网IP的所有或部分端口的通信。
开启IP地址过滤功能时,必须要开启防火墙总开关,并明确IP地址过滤的缺省过滤规则(设置过程中若有不明确处,可点击当前页面的“帮助”按钮查看帮助信息):
2.例一:预期目的:不允许内网192.168.1.100-192.168.1.102的IP地址访问外网所有IP地址;允许192.168.1.103完全不受限制的访问外网的所有IP地址。
设置方法如下:
选择缺省过滤规则为:凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器:
3.添加IP地址过滤新条目:
允许内网192.168.1.103完全不受限制的访问外网的所有IP地址
因默认规则为“禁止不符合IP过滤规则的数据包通过路由器”,所以内网电脑IP地址段:192.168.1.100-192.168.1.102不需要进行添加,默认禁止其通过。
4.保存后生成如下条目,即能达到预期目的:
5.例二:预期目的:内网192.168.1.100-192.168.1.102的IP地址在任何时候都只能浏览外网网页;192.168.1.103从上午8点到下午6点只允在外网219.134.132.62邮件服务器上收发邮件,其余时间不能和对外网通信。
浏览网页需使用到80端口(HTTP协议),收发电子邮件使用25(SMTP)与110(POP),同时域名服务器端口号53(DNS)
6.设置方法如下:
选择缺省过滤规则为:凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器:
7.设置生成如下条目后即能达到预期目的.
三、家用路由器防火墙怎么设置
其实家用路由器的防火墙功能是比较简单的,只能够达到屏蔽内部网络IP地址,自由设定IP地址、通信端口过滤等,另外,家用服务器的过滤规则只是一些比较基本的数据包拒收规则而已,并不能达到很好的防护效果,不过对于一般的网络恶意攻击还是可以应付。
目前的路由器防火墙功能主要包括防IP地址过滤,URL过滤,MAC地址过滤,IP地址与MAC地址绑定以及一些防黑能力,安全日志等。
通过路由器内置的防火墙功能,可设置不同的过滤规则,过滤来自外网的异常信息包。
另外需要说明的是,假如路由器开启了防火墙功能或者对防火墙的过滤规则设置过于严格,有可能造成一些正常的网络应用程序出错,所以一般采取默认设置即可.那些就是在有病毒攻击的时候可以将其IP添加进去.
