(1)应用环境如下图:内网与Internet的连接早已经部署好,但是没有在内网中安装防火墙。出于安全的考虑,现需要在内网中安装防火墙(其实也可以在出口),但是需求是,原来内网中的所有配置都不应发生改变,这时就需要使用防火墙的透明模式。
(2)部署防火墙上的配置:【1】基本接口配置pixfirewall(config)#int e1pixfirewall(config-if)#no shupixfirewall(config-if)#nameif insideINFO: Security level for “inside” set to 100 by default.pixfirewall(config-if)#int e2pixfirewall(config-if)#no shupixfirewall(config-if)#nameif outsideINFO: Security level for “outside” set to 0 by default.
【2】透明模式配置pixfirewall(config)#firewall transparent//开启透明模式pixfirewall(config)#ip address 172.16.1.254 255.255.255.0//配置管理IP地址,方便远程管理,此时e1和e2接口都会自动配置此IP地址
开启透明模式后,默认情况下,PIX防火墙会拒绝所有数据流。所以这里需要允许OSPF数据和ICMP数据通过免费云主机域名,并对ICMP协议进行修正
pixfirewall(config)#access-list permitospf permit ospf any any//创建允许OSPF数据的访问列表pixfirewall(config)#access-group permitospf in interface inside//允许OSPF数据从inside接口进来pixfirewall(config)#access-group permitospf in interface outside//允许OSPF数据从outside接口进来pixfirewall(config)#access-list permiticmp permit icmp any any//创建允许ICMP数据的访问列表pixfirewall(config)#access-group permiticmp in interface inside//允许ICMP数据从outside接口进来pixfirewall(config)#fixup protocol icmp//开启ICMP协议修正
疑问:为什么不用有outside接口允许ICMP数据进来?这完全是根据个人需求配置,如果希望ICMP数据从outside接口主动进来,那么可以这样配置。对于OSPF数据,因为inside和outside两边的OSPF数据都是单播的,所以需要两边都允许进来才能正确建立邻居关系。而ICMP数据,为了安全,只在inside接口主动进来,然后PIX防火墙开启状态化检测,允许ICMP应答包从outside接口进来。
本文小编为大家详细介绍“linux有没有内核级线程”,内容详细,步骤清晰,细节处理妥当,希望这篇“linux有没有内核级线程”文章能帮助大家解决疑惑,下面跟着小编的思路慢慢深入,一起来学习新知识吧。 linux有内核级线程,linux支持内核级的多线程。Lin…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。
微信扫一扫 
