区域策略防火墙

防火墙配置作业

拓扑

 

 

我的学号为201610110045，所以是45

路由器	接口	Ip地址
R1	F0/0	10.45.1.1
R3	F0/0	10.45.1.2
	F0/1	10.45.2.1
R4	F0/0	10.45.2.2
R2	F0/0	10.45.2.3

 

首先先配置ip地址，让拓扑配置通

 

区域策略防火墙

R3:

R3(config)#zone security Private//创建区域Private

R3(config-sec-zone)#exit

R3(config)#zone security Public//创建区域Public

R3(config-sec-zone)#exit

R3(config)#int f0/1

R3(config-if)#zone-member security Private//应用接口到Private区域

R3(config-if)#int f0/0

R3(config-if)#zone-member security Public//应用接口到Public区域

R3(config-if)#exit

R3(config)#class-map type inspect match-any publictop//创建class-map名为publictop

R3(config-cmap)#match protocol icmp//匹配icmp协议

R3(config-cmap)#exi

R3(config)#policy-map type inspect 1//创建policy-map编号1

R3(config-pmap)#class type inspect publictop//应用publictop的规则

R3(config-pmap-c)#inspect//设置匹配到的流量使用inspect

R3(config-pmap-c)#exit

R3(config-pmap)#exit

R3(config) #zone-pair security private-public source private destination public//设置从private区域到public

R3(config-sec-zone-pair)#service-policy type inspect 1//使用policy-map 1

R3(config-sec-zone-pair)#exit

R3(config)#class-map type inspect match-any privatetop

R3(config-cmap)#match protocol telnet

R3(config-cmap)#exit

R3(config)#policy-map type inspect 2

R3(config-pmap)#class type inspect privatetop

R3(config-pmap-c)#inspect

R3(config-pmap-c)#exit

R3(config-pmap)#exit

R3(config)#zone-pair security public-private source public destination private

R3(config-sec-zone-pair)#service-policy type inspect 2

R3(config-sec-zone-pair)#exit

 

以上配置理论上外网R1可以telnetR4但是不能pingR4，R4可以pingR1但是不能telnetR1，下图为测试成功理论成立

R1图如下：

 

 

 

 

R4如下：