粉丝1.4万获赞2.7万
你遇到过这个问题吗?就是企业级防火墙或路由器把服务器端口映射做好了,外网能够通过公网 ip 访问服务器,局网通过公网 ip 却无法访问服务器。 如果要在局域网里面通过公网 ip 访问服务器,还需要配置耐得回流,像这样配置好以后就可以在局域网里面通过公网 ip 访问服务器了。
下面的话我们去给大家去讲一下,就说你看我这个防火墙左边是一个外板服务器,右边呢是 clean 三,这是一个 公王主机,我公王主机呢,我想去访问我这歪把夫妻,我怎么去访问呢?呃,我们需要在防火墙上呢去做映射 啊,去做这个福气的映射。那么也就是说我公网用户啊,通过一个公网地址,比如说一点一点一点十啊, 端口号是八零的这个端口,当我访问这个地址和这个端口的时候呢,服务器呢,他会把这数据包映射到我的内部服务器幺九二点幺六八五十点二的八零端口,这个呢我们把它叫做服务器映射,然后配置服务器 设的话有两个步骤啊,一个呢就是你当然要配置映射了,第二个呢要放行安全区域安全策略,比如说 ontrot 区域到我们 d m z 区的安全策略里面必须要去放行,那我们下面呢去看一下这个, 呃,怎么去做?当然我们这里呢可以使用这个啊,命令行的方式去做也行啊,命令行方式可能要简单一些,我们用这个网页方式去做啊,在网页方式里面的话,我们有一个 策略啊,策略里面的话啊有一个服气,哎,我看啊在这个耐特策略里面有一个服气音设,我们选择服气音设,然后呢选择新建,新建的时候呢他有一个 名车啊啊,比如说我 on top 区域到我的 d m z 区到 d m z 区的一个什么服务呢?外边服务,我要访问他外边服务,这是个名车,你可以自己去定义 啊,这个安全区域的话我们可以不选,你可以去选,如果你要具具体的去选,那只能就是 从 on traffic 区域到我的这个,呃,比如说如果你要去选 on traffic 区域,那么只有 on traffic 区域的主机呢?去访问我这外边货, 但是这个外边服务,大家去想一想,其实我除了这个啊,国网用户去访问,我内部用户是不是也应该去也可以去访问这个外边服务器,对吧?所以呢我们在这里的话啊,我们这个安全区域呢,我可以不用去选 官网地址,我刚才说了一点一点一点十啊,因为这个一点一点十的话,你必须向运营商去申请啊, 啊,或者是你可以用这个出接口的地址啊,也行。然后呢映射到我的这个内部的死亡地址是幺九二点幺六八点五十点二,对吧?然后呢我们要指定他的协议, 这个协议呢就是 tcp 协议啊,因为我们这个公网端口我用的是八零端口,那四网的四网端口呢,也是八零端口啊,这样的话也就是我使用一点一点一点十的八零端口去访问我内部主机幺九幺幺六八五十点二的八零端口。 然后呢这个配置什么黑灯漏油啊这些,我们的配置上这里面有一些说明啊,配置黑黑灯 路由是为了保证什么勾选后自动下发到公网地址,黑洞路由,可以防止路由环路,对吧?然后呢我们点确定,这样的话我们就做了端口映射啊,服务器的映射。然后呢我们要去配置 安全策略,安全策略里面里边的话我们要放行 chart 区域到 on chart 区域的策略啊, chart 区域到 on chart 区域, 比如说这个外吧,那么原区域呢?是 chart 区域啊, 目的区呢?是 on chart d m z 区啊,原地址,因为是公网地址,我们不用说,但是我的目的地址呢,我要必须写清楚啊, 我只访问幺九二点幺六八点五十点二,这个地址呢是就这个主机地址啊,所以呢我的野马呢,是三十二倍的野马,要注意一下啊, 啊,对吧,然后呢这个服务大家可以去选一下,这个服务呢,因为我只访问我的内部服务器的外板服啊,外板服的话就是呃 http 的服务啊,比如说 http, 然后呢选中, 对吧,然后呢这边呢就是允许 ok 点确定账号,我们的外部去访问我内部服务器的外啊 啊,这个安全策略我们就设置好了,然后呢我们把这个服务器呢做一下配置,比如说服务器的信息啊,我们在先选择这文件的登录啊, 是我的网页啊,在我这服务器的什么地方,比如说在我第一盘的 trust 啊,这文件夹,这文件夹里面有两个文件啊,一个是 index 的,点 h d m 就是我的首页文件, 然后端口号是八零端口啊,点启用八八零就行了啊,点启动就行了,关闭服务器呢就配置好了。然后呢我们在我们的 clean 三上面呢,去测试一下我的客户端 啊,用 s t t p clean 的访问我的内部是一点一点,对啊,使用的公网地址 啊,端口号是八零端口,它是知名端口,我们就不用去写。然后呢我去写它的这个首页文件,点 s t m 啊,点获取 啊,当我们屏幕上显示啊,就是这个,你看啊,是否保存该文件,那这个提示就意味着什么?我客户端呢?可以去访问我这个 lab 夫妻啊,访问成功啊,访问成功, 那么我们现在呢,就是我希望我的内部主机也能够去访问,这个福气,我怎么办? 我在我克林特二上面,我使用客户端,我去访问一下,试一下,看行不行,比如说一点一点,一点直斜杠 m d x, 点 h t m, 我们去看一下行不行 啊?大家说一说行不行啊?大家可以说一说行不行 啊?在这里面大家可以看到他是不行啊,连接系统失败,连接服务器失败,为什么失败啊?为什么失败? 我们说是在防火墙上面呢,缺少安全策略啊,那么你可以在我们这个安全策里面其实可以看一下啊,其实 它的这里面呢,就是我并没有从 trust 区到 d m z 区的安全策略,我是没有的, 所以呢,我需要去建立这个安全策略,所以呢,也就说 trust 区域到我的 d m z 区要访问这个外表服务器,那么原区域呢?是我的 trust 区域, 目的区呢?是啊, d m z 区啊,原地址我们可以写,也可以不写,那目的地址呢?我们可以去写目的地址,跟刚才是一样,幺九二零幺六八点五十点二啊,东莞野马三十二位的野马是我的这一台主机 啊,访问的服务呢?是 s p p p 的服务啊,然后点确定,然后下面呢点确定就行了啊,这是允许当我们有了这个安全策略啊,那我再去看一下我的内部主机访问他, 然后呢我再点获取,那么这时候呢,你看我已经能获取到我 viper 服务器的服务了,当然我们在这个防火墙里面啊,他其实呢也可以看到 看一下啊。啊,其实呢在这里面的话,他也其实也能看到这一条啊,他的一个安全策略啊,这是我们福气映射这一块的内容。
下面的话我们再去看一下,就说我这个克林特,我如何访问我的内部福气啊?那么当然这个外边福气,我们这里呢用这个福气进行模拟,对这个福气呢,我们要做一下这个设置啊,比如说我这个福气的话,我要去 配置它的这个 http 的服务,对吧?呃,视频不能下载啊,视频不能下载,那是你拍完课以后呢,是 手机上手机的学浪 app 呢,去学习啊,电脑的话在学浪的一啊,学浪的学生版啊,在线去学习啊,手机上的话可以把啊课,嗯,高清的视频呢,可以缓存到手机上,就说没有手机上没有网,也可以去在手机上呢去学习。 那我们把这个服务器呢,我们去看一下啊,地盘我们这里呢有 test 这个文件夹,这个文件夹呢有两个文件,一个是我们首页文件啊,那么还一个呢是我们一个文档, 然后我们把它启动起来,那么这种呢,就是这个是外边服务器呢,我就模拟好了,然后呢我的这个外部用户,我要去访问我的内部服务器,对吧?往内部服务器的话,因为我外部用户呢,我不能直接去访问这个私网地址,因为公网上不能进行私网路由。 那我怎么办?我可以去访问一下我的一个公网地址,比如说一点一点十,这一点一点十,因为我们这接口是一点一点接啊啊,我们用,比如说我从运营上面拿 有获得到一个地址一点一点十呢,也可以啊啊,作为我这个企业来用,那么我就用这个 clint 一呢去访问一点一点十,冒号八零端口, 那么在防火墙上呢,我们去做一个啊服务器的映射,这样的话,那么他呢就把这数据包呢直接啊指向到我这个外表服务器幺幺幺六八五十点二,然后呢使用他的八零端口,这样的话我 外部用户呢就能访问我的内部这个服务器吧,对吧?就能访问这内部服务器,我们下面呢去看一下这个是怎么去做的。呃,我们先呢在这个防火墙呢去做一个 mate, 呃协议呢是 p c p 的协议啊,公网地址呢是一点一点一点十啊,使用的是八零端口或者是三 w 三 w 这种外围网的服务, 然后呢我们把它映射到我的内部的这个外版服务器啊,那么映射到我的内部的这个地址是多少呢?幺九二点幺六八点五十点二, 也是外边服务,这样的话我们就做了夫妻映射,另外的话我们 clean clean 一,你要去访问我的这个内部服务器,那么我们要去放行 on chart, 去到我们这个 d m z 区的这个安全策略呢,我们必须要去放行才行啊, 所以呢我们在防火墙上呢需要去做安全策略去建立。呃规则名字呢叫 on truck 区呢,到 d m z 区 啊,它的一个外板服务,嗯,原区域是 untrust 区域,那目的区域呢?是我们的 d m v 区 啊,原地址的话,因为是互联网的主机呢,去访问我的内部服务器啊,那么在这里面的话,我们 啊互联网的主机我们就不定义他的地址,但是呢我们这个目的地址呢,我们需要去把它定下来,为啥呢?因为这目的地址是在我们企业内部来讲是唯一的地址,幺九二零幺 六八点五十点二。呃,这台主机地址的话,它的野马是三十二位啊, 然后这里面使用的这个服务呢,是 htt 的服务啊,别的服务是不允许访问的。然后呢,我们去激活这个安全策略, 当我们这样做了配置以后呢,我这个 clean 一,我就可以去访问我的这个内部的这个福气啊,我们去看一下啊,客户端我们去使用 h t h p。 呃,地址是一点 一点一点一点十啊啊,野马这个端口号是八零端口啊,八零端口呢,他属于知名端口,我们可以 也不用去写。呃, r n d x 点 h t m, 我们去看一下, 嗯,他怎么失败了呀? on trust 区域 ip 地址也是对的。 呃,安全策略,原区域、目的区域,这些也没有问题啊,这些也没有问题。呃, 这个端口映射也没有问题啊, 那我们用 pc 一去访问这个内部浮漆的话,它这个它访问不通啊,访问不通,也就说可能存在路由上面的问题 啊,大家在这里面可以看好我这个一点二,就说 g e 一杠零杠二,这个接口 配置的 ip 地址是幺九二点幺六八二十点二五四啊,当然这地址呢是配置错的啊,地址是配错的,它应该是配幺九二点幺六八五十点二五四,但是呢,我配成幺九二幺六八二十点二五四,对吧?所以呢,这个地址它是本身是错的 啊,地址错了,所以呢,他通不了,你把地址呢去改一下,幺九二零幺六八点五十点二五四,零码二十四。那么这时候呢,我们用这个 clean 配机呢,再去访问一下 啊,这时候呢我们在这里面已经弹出来是否保存该文件,那说明我们这个现在的配置呢就是正确的 啊,所以呢整个思路是没有问题,那么大家配置的时候呢,如果不通,那么就要去咨询自仔细的要去检查,比如说检查我们的配置,检查安全策略,那么检查路由,那么最后呢还要如果还要去检查什么 他的接口上的 ip, 虽然在这里面我们刚才说这个接口上的 ip 配置错,以后呢外边服务器他没有办法正常的去访问。
距离六六零零显卡发售已经有两个月了,现如今他的弟弟六六零零终于也要上市了,这次上手的呢还是蓝宝石白金版,虽然是经典的双风扇设计,但尺寸方面只有二十厘米, 确实要比他的大哥要短了不少,金属背板自然也是他的标配。然后是这个单八拼的供电接口, 而在视频输出接口方面,他搭载了三个 dp 加一个 hdmi 接口。外观看完了,接下来让我们看看他的规格部分吧,规格方面六六零零的留处理器要比差 p 少了一些,都是古代的人,六八比例显坟。最后是性能测试,经典的新版鲁大师炮奔 叉 t 要比六六零零强百分之十六,鲁大师嘛,可信程度并不是特别高。然后我们使用更专业的三 d mac 来进 进行测试,在这个测试中,六六零零的跑分非常接近 rtx 三零六零的视频,总的来说,这显卡性能方面会稍弱于三零六零, 如果最后上市的价格会比三零六零低一些的话,将是一个很值得考虑的新卡,就是不知道会不会像以前一样缺货。
哈喽,大家好,这里是网络专家 vlog, 今天的话我买了一台华为的 usb 防火墙啊,这台防火墙他的型号呢是六三零七 防火墙,然后呢他是有一个十记忆的端口,以及两个记忆的那一个光口,然后我们可以看一下这个防火墙的信息啊,大家可以看一下,然后呢今 天的话就把这个防火墙拆箱给大家看一下里面有什么东西。之前呢我已经把这个胶纸已经打开了, 然后的话我们可以看到它里面呢有保修卡,然后还有这个合格证,然后还有一个防 火墙的主机,这个主机呢因为他是桌面级的,然后的话还有一些零配件,他的电源, 还有这一个是他的接力线,在机柜里面的话一般呢都是需要有接力的,然后我们把这个主机拿出来看一下,好现 这一个在我手上的这一个呢就是华为的 usb 防火墙啊,他这个型号呢是桌面机的,我们可以看到在他这里的话是有两个万兆的端口, 然后有万口,有两个万口,八九号口是万口,以及有零到七有八个千兆口。 这个这个防火墙呢主要是用于小型企业,比如说五十人以下的一些企业用来用的。然后呢他是十二伏的一个电,我们可以看到华为的整体做工还是比较完美的,前面的话他是有一个玻璃镜面, 我们看前面的话他有那一个电源灯、系统灯、 usb 灯、云灯,以及他这个啊这个 sd 卡的这个灯, 这个防火墙呢重量不是很重啊,之前的话我在网上面的话也帮人家调试过很多这一款防火墙,他的那个反病毒能力啊,还有那个内容过滤等等的话,都是非常非常好的。 这个防火墙呢是华为的下一代防火墙,他是支持那个,他是支持那个 utm 策略的。后面的话我将会用这一台防火墙的话来做防火墙的实验,以及 给大家讲解一下防火墙的一些基本概念,让大家呢可以从零基础学习配置这个防火墙。因为 现在的网络的话,国家的安全法规定现在网络的话不能直接公布在外网,所以说现在的网络在前面一定要有一台这样的防火墙作为内网的一个安全防护。好,如果大家喜欢我的视频,请点击关注。
好,我们来讲下一个啊,这个 l t p ow, 而 p 赛特,呃,单纯的 led p 是没有加密功能的,我们可以配合 ip 赛特来结合,就是说 在 ip 赛特里面跑 l t p, 这样的话来够能能够用 ip 赛特来保护这个 l t p 的那个安全性,当然它的延迟会比 r t p p 会高一些, 那么我们来看一下怎么配吧。环境很简单 啊,跟之前一样,一个测试的环境,电脑用来接到这里测试,然后呢,这里借了,借了万瓦方 墙,然后有个踹死的一个电焖机,我们尽量是访问他的那个内网的电焖机功能电焖机去, 那么我们这里做的只是基本的对接,包括简单的安全策略,还有耐特工呢,其他的我们没有做,那么这个时候我们来做什么呢?首先我们还是老样子啊,先要放心 那个 x s 的到 logo 的流量这里注意啊,我们这里的流量多了很多,第一个我们多了呀,突击 p 啊呀,突击 p 是有的,在这个基础上面我们多了 一个 i k e 的第一阶段,也就是 s 看某 udp 的五百端口号以及 esp 这两个协议。 所以呢,你如果实在不确定的话,我啊那么建议大家就是直接 楼口,然后放行,我们到到这个门店我们不严格匹配他的服务了,我们直接这样放行就可以 可以了,然后我们配置 ip 赛的,呃, ip 标不 ip 赛的有两个地方可以配,第一个呢,我们这里可以看到有一个这个我们直接进入这个场地就可以配了。 还有我们在 ip 赛腾里面新降的时候有一个点到多点,我们可以选择 ltv p o vip 赛的,这样的话也是可以, 这个时候我们在,我们两两个都可以啊,我们这里就选一个,然后对端,我们不不选择,因为是那个,然后我们选择 paphone 恰谱都允许, 这里我新建一个地址,吃 app 幺九二点幺六八点幺零幺点一二幺九二点幺六八点幺零幺点二百五十, 好,从二开始吧。啊, dns 的话我们可以分配一个,或者说 啊这个 ds 有两个作用啊,就是说如果你的内网涉及到域名解析的话,我们需要给他分配一个内网的 ds, 让他能够解析内网的服务。还有一个就是说一旦你要突 tp 播录到防火墙的时候,你所有的流量都被引到的 朋友圈了,你需要上万网的话,你需要分配一个电 s k, 他按他从你这边的出口的电 s 出去,这样的话他才能够上万网。所以呢这有两个作用,如果你不分配的话,你会发现你上不了网的,所以呢这里注意一下, 然后加密的流量,这个流量就是我们原根部,我们都任意,然后协议呢,我们选 udp 端口号原端口幺七零幺,这个是 led p 的端口,我们选择确定,就是说 ip 赛特只加密 ltv 的流量,其他的我们不加密。然后这里有一个接受任意对端,任意的那个过来的那个客户端的那个安全加密协商的, 这样的话就不管你是安卓的也好,苹果的也好啊,微软的也好,都可以帮你协商,那么我们点击 好,这个时候我们可以来试一下啊啊,我们把这个删掉,我们重新建一个, 新建一个,然后选择连接到工作区域 啊,二零二点一百点一点一后天,然后我们 选择 led p 开始的一二三。哦,账号密码我们还没建立呢啊,我们来建立一下啊,账号密码的话,我们 我们这里有一个对象,里面有一个用户,我们在这里创建就行了。好,这里之前我是忘记删了啊,这里有一个也有个账号密码忘记删了。 当这个创建以后,我们首先选一下,之前我们这里选的是 led p, 那么我们这里选的是证书,那么这里不一样了啊,我们选择的是预贡小蜜药,我们输入那个蜜药, 然后还是一样选择未加密或者是那个,然后我们来连一下。好,已经连上了啊,怎么看我们用的是不是 ip 赛的呢? 我们在这个详细信息里面你会发现有一个加密用的是 ip 赛的,用的是 a e s 一百二十八位的加密 啊。还有可以看的地方就是在网络这里有一个 ip 赛的,有一个监控,可以发现他的 ip 还可以协商,跟 ip 赛可协商都有,包括 led p p 里面有一个绘画都有。然后我们来拼一下呀,啊,那个幺九二点幺六八点两百点二,也就是我们的这一台服务器 啊,你会发现不通,因为我们我们刚刚只放行了。什么啊?只放行了,就是说当我们的流量从 发起到那个防火墙建立的流量,我们是放心的,但实际的流量从踹石的就建立后,他会从踹石的到达巅峰之一, 这个流量我们是没有放行的,所以呢,我们这边需要再添加一个策略,首创始的到 dmj, 我们允许 xs 到 dmj, 然后原地址,我们可以选什么呢?选那个要 ttp 的地址是那个就幺九二点幺六八点幺零幺点零 那个网段过来的,去往目的地,我们去往哪个呢?服务器的两百点二三十二,然后我们点确定, 这个时候我们再去拼,应该是可以了,你看 可以了啊,然后我们用外表来访问一下幺九二零幺 六八点两百点二啊,我看一下这个开了没有哦,等会啊, 我们我的八零没开,我开一下八零端口啊,然后我再访问一下,要加两百点两百点二。好,这个服务 ok, 就现在我已经播录到 内网里面,相当于在内网养,我可以访问任意的资源,只要你策略放心的得到,那就可以了啊。像苹果啊,苹果机他是必须得用 ltv p o vip 赛的的,因为他不支持纯 ltvp。 如果你是手机的话啊,手机安卓他是支持 led p 的,电脑端的话也支持。旧苹果的话,你只能用 vip p o wifi 的,如果你有平的或者 ipad 的这些的话,你只能说用这种方式来对接。
大家好,我是精彩网络技术,在我们企业内部呢,经常会使用防火墙,那么防火墙呢,主要是对我们企业内部网络呢做一个安全防护啊,在这里面我们来看一下,我们企业内部网络呢,主要在 pc 这一段,这个呢我们会把它划分到一个区域叫 trust 区域, 而我们其内部的外边服务器我们一般会放在 dmz 区,在我们这里面做几个配置,首先呢我们在接口上呢,要配置 ip 地址,其次呢我们把该接口呢,我们要划到相应的这个区域,比如说 trust 区域, 而我们右边这个接口呢,我划到 dmz 区。然后呢我们再放行 chance 的到 dmz 区域的啊,区域的安全策略,这样的我我们 pc 一呢就可以访问服务器了,而我们服务器呢,他不能主动访问 pc 一啊,因为我们没有放行 dmz 到 trust 去。好,下面我们看具体的配置。首先打开防火墙,进入系统,试图关闭信息东西, 进入记忆一杠零杠零接口,配备 ip 地址幺零点零点零点二二十四位。退出去创建 fast 区域 啊,增加我们这个接口啊,一杠零杠零。好,这是第一个。然后呢我们再进入接口一杠零,杠一,配置 ap 地址幺九二点幺六八点 十点一二十四位。那么退出去创建 dmz 区域归家接口记忆一杠零杠一。 下面呢,我们要做安全策略,要放行什么呢?要放行 pc 一到 sever 一这个两个区域的安全策略。首先呢创建安全策略的名称叫 t 五 b 圆区域,我们设置为 retrust 区域,目标区域是 dmz 区, 原 ip 地址是幺零点零点零点零,王段二十四, 目的地址 是幺九二点幺六八点十点二, 他是一个主机地址啊,就是三十二位的严码程度啊,然后呢,在我们激活 啊,最后这个安全策略 xx 追妹子,好,下面呢,我们来配置 pcip 地址啊, pcip 地址我们已配好了, ip 地址是十点零点零点一,那么紫外线嘛,是三个二,五点零,网管是十点零点零点二, 那么服务器的 ip 地址我们也配好了。好,下面呢,我们直接用 pc 一去拼一下 pc 二 听幺九二点幺六八零十点二, 我们发现是通着的,是吧?那么如果我们服气来访问我们 pc 呢,我们来看一下他是否能够正常访问,那么我们访问的地址是幺零点零点零点一,我们平时给报, 最后我们发现是什么是失败的啊,是,原因就在于我们并没有把 dmz 一区放行, trust 啊的安全策略,好,我们就讲到这里,学会了吗?学习更多网络知识,关注老师。
大家好,我是京东网的技术,那么下面呢我们来讲解啊,内外网用户通过公网的 ip 地址呢访问内部的 ftp 服务器,那我们组网是这样的啊,我们正面呢是我们的内部的电脑主机啊,通过交交换机呢接入到我们的出口防火墙, 那么出口防火墙呢连接到我们的互联网的运营商的啊,路由器啊,那么我们在路由器上面呢连接有一个公网的一台主机, 那么我们在这里呢通过配置啊防火墙使得我们外部用户啊就是我的二点二点二能够通过我的一个 啊公网的一个 ip 地址啊,在于这里呢我们设为一点一点一点实的这样的一个地址来访问呢我们内部的这台服务器,那么第二呢就是我 内部的主机啊,那么也是通过这个一点一点一呢,一点一点一点十啊来访问我的内部服务器,这样的话增强了我们 ftp 的这个安全性, 那么同时呢我们也希望我们的内部的主机呢能够访问到互联网的这台主机,那么我们下面来看一下我们如何去做,在这里的话我们用网页的方式呢来给他做配置,那么在这里的话,我们首先呢 啊连接一个云朵啊,在这个云朵上面我们添加 udp 啊,添加一个啊,添加两个端口,一个是 udp 端口,一个是本地啊啊虚拟网卡的一个啊,一个地址啊,那么在这里呢,我们在下面的这个就是这边的话,我们下面呢需要一个 入编号改为二,不能双向通道点增加,这样的话我们可以把我们这个云朵就是我本地的虚拟王卡和我的这个防火墙呢连接起来,那么我们连接起来以后呢,我们下面呢来看一下我如何去做的。 首先我们要通过命令函的方式呢,登录到我们的防火墙,用户名呢是 admi, 密码呢是 admi it 一二三,第一次使用的是我呢我们去修改密码, 那么密码修改以后呢,进入系统视图,进入到我们记忆零杠零杠零的这个端口,他连接到我们的这个云朵啊,这个这个端口呢,首先呢我们要给这个端口呢要配 ip 地址啊,因为我们云朵就是我本地还会网卡的地址是幺九二点幺六八点幺三七点七,那么我在这里配置的 ip 呢就是幺九二幺六八幺三七点二。然后在这个接口上呢,我们去开启 htts 的权限, 这样的话我们用本地浏览器呢可以登录到我们的这台交换这台防火墙, 那么地址的话是 htps, 冒号两斜杠幺九二点幺六八幺三七啊,点二,冒号八四四三,这样的话我们就可以登录到我们防火墙,用户名的话是艾德米啊,密码是艾德米一二三四五六, 我们登录让他登录了防火墙以后呢,我们首先呢我们来看一下我防火墙上面的一些 地址是如何规划的,在这里面我们来看,呃内部接口呢是 g 一杠零杠零啊, ip 地址是幺九幺六八十点二五四,那么内部接口连接到我们前内部网络,所以呢内部呢我们给他设置的这个 安全区域呢,就是 trust 区域。呃连接互联网的这个接口的区域呢,我们给它设置为 on trust 区域。 好,然后呢我们给这个记忆一杠零杠零,结果 ip 是幺九幺八,是这样子啊,这个地址呢来作为我们内部电脑的网关,也作为我服务器啊的网关, 然后呢防火墙外部的话就是记一杠零杠一,然后 ip 地址是一点一点二,那么对端地址是一点一点一点二,是吧? 啊?本端是一点一点一啊,对端是一点一点二,那么在这里面呢,我们看我们先配置我们的防火墙 啊,配置防火墙的话,我们首先呢去配置接口接口,我们刚说了记忆一杠零杠零,这个接口呢是我的外网接口,哎,是外网接口啊,是内网接口 啊,一杠零是内网啊,一杠一是外网,那么这是我们的内网接口,内网接口的话所处的区域呢是 trust 区域。 ip 地址,我们的配置是幺九幺六八十点二五四啊,年码是二十四位的年码。好,我们确定这是我的内网接口,然后呢下面呢这是一个外网接口,外网接口的话我们是安全区域呢是 on truck 区域,然后 ip 呢是一 一点一点一,野马的话是二十四位的野马。那么我们这里面呢,我们把网关配置上啊,他的网关就是我和他直连的对端的云上的那台设备的 ip 啊,一点一点一点啊,好确定。 那么配置完这个接口以后呢,我们需要去配置策啊,配置安全策略,首先呢我们要看一下啊,我们首先呢让内部主机呢能够访问我的互联网的主机,所以呢我需要去开启我的 trust, 去到 on trust 区域的一个安全策略,原地址的话是幺幺幺六八十点零的地址啊, 好,我们去看一下。首先呢去创建安全策略,名称的话是 trust 到 trust, 然后呢我们用这样 方法来表示啊,原地址是 trust 区域啊,原安全区域是 trust, 目里安全区域是互联网区域 cross, 原地址呢是幺九二点幺六八点点零这个网段, 然后呢我们点缺点,然后我们点缺点,这样的话我们就放行了,从 trust on trust 区域的一个安全策略,第二个呢,我们现在还要去看一下 我们,我们需要做什么呢?因为我们外部的主机呢,我希望外部主机呢通过这个 啊,一点一点一点十来访问内部服务器啊,所以呢,我首先呢放行安全策略,就是从 truck on trust 区域到 trust 区域的一个安全策略,那么目的地址呢?是幺九幺六八十点二,好,我们 来放行一下,呃,我们首先呢再创建一个安全策略,然后呢用 trust 到 ftp 啊,内部的 ftp。 然后呢原安全策略的话,是啊,从互联网啊 trust 区域到我们内部区域呢,是 truck 区域啊,目的地址啊,原地址是互联网的主机啊,不用设置地址, 但是目的地址呢是我们 f t p 的那台浮起啊,幺九二点幺六八点十点二,年码呢是三十二位的年码, 这样的话就是我只能允许访问这台主机啊, ftp 这台主机好决定,这样的话,我们从外部到内部的安全策略我们就做好了,那么下面呢,我们再来看一下,我们下面呢需要去做端口 上的映射,那么也就是说我对外部来讲啊,我要去在我的这个防火墙上去做服务器的映射啊,服务器的映射, 那么在这里呢,我们先做呢啊 night 的策略啊,也就是地址转换的一个策略,那我们看 night 地址转换,在这里面还有一个啊,就是我内部主机啊,要访问哦, 注意啊,内部主机要访问互联网是不是啊,那么我们内部主机呢是私网地址, 那访问我的互联网的地址的话,我们先做呃地址转换,所以呢,我做一个 nice 地址转,把内部的私网地址转换成我的这个呃,一个地址池里面的地址啊,在这里的话, 我们可以去写一下,比如说,呃。 net 首先呢,我们去创建一个。 net 的一个地址池,这个地址池的话,我们比如说从一点一点一点十 啊,这是地址是个名称,呃, dress 啊, dress 一。然后地址呢是一点一点一点十到 一点一点一点二十了,这些地址呢用作我内部定金地址转换的,可以配置黑洞路由啊,确定。然后呢,我们 做这个 net 的策略,首先呢,我们新建一个 net 测量内部去访问外部 t two 呃 you 然后呢,我们这是做一个。 net 地址转换把,原地 地址呢?是原区域,是 trust 区域啊,目的区域呢?是 on trust 区域,这是第一。然后原地址是我们的幺九二点幺六八点零这个地址, 这网段的地址,然后在这目的地址我们不用填,然后我们使用地址池里面的地址,就是我四网,要去访问公网的话,等到四网地址转换成刚才我们配置的一点一点十到一点一点二十这样的地址呢,去访问公网。 好,这样的话,我 net 地址我们做完了。其实这样的话,我们内部主机如果配置上 ip 啊, 比如说我 pc 一呢, ip 地址是幺幺幺八十点七,钻研呢是三点二五点零,网关是十点二五四,那么我现在呢,我可以去拼一下二点二点二点一啊,当然二点二点一,你要拼值 钱的话,我们看在 a r 一上面,这是我们运营商的设备,运营商的设备呢,我们需要去配置 两个接口的 ip 啊,一个呢就是记忆零杠零杠零这个接口啊, ip 地址一点一点二,还有这边二点二点二,那么我们配置好,然后这两个端口 up 起来。 呃,这个客户端的主机的话,它的 ip 地址是二点二点二一,网关是二点二点二,这样的话,我们按我们现在的配置的话,我可以从内部呢,应该可以去访问我们的互联网主机了。 好,这样的话,也就说明我 pc 呢能够访问互联网主机,这是第一,第二的话,我们现在呢去做这个映射啊,就说我做服服务器端口映射,那我把这个一点一点音,一点一点实呢来映射到 我的啊这个内部服务器,那我们看如何去做呢?那么在这里我们首先呢要去配置这个服务器的映射,然后点新建啊, 那么映射的这个名称啊,我们是从 on trust 到我的 f t p 啊,安全区域的话,我们可以不不用设置啊,为什么呢?因为我们其实访问服务器啊,我其实除了从这个 oncover 这个区域来访问以外呢,我还有一个就是从我的这个 内部来访问我的这个 f t p, 所以呢,这内部的这个呢都是 trust, 那么原地址呢,其实就是 untrust 和 trust 啊,所以呢,我在这里呢,可以不用去设置它的一个安全区,就任何区域呢,都可以访问我的 这个内部服务器,那么这个内部服务器使用的地址,公网地址呢?是一点一点十,私网地址是幺九二点幺六八点十点二 啊,使用的协议啊,在这里面的话,我们使用 p c p 协议啊,端口的话,我们用二十一号端四网地址呢,也是用公网的二十一号端口去访四网啊,映射的四网的这个二十一号端口 啊,允许服务器使用公网地址啊,配置黑龙路由。好,我们确定这样配置完成以后呢,我们在我的这个服务器上面,我们先去创建一下, 比如说我去开启一个它的一个 f t p server, 当然这样的话,我们把本地啊,比如说我在这里呢,把我本地的一个文件夹,比如说 test 这个文件夹呢,作为我的一个 f t p 的一个文件夹跟文件夹下面,然后呢端口是二十一号,等于启动 啊,再创建一个安全策略啊,就是内部到内部的,那么也就是说我们内部的端主机呢,去访问我的这台服务器啊,当然访问客访问的公网地址呢?还是这一个地址,那么我们下面呢,给大家来创建一个 net t to f t p 啊,那么在这里的话,我们的园区的话是创的区啊, 目的区域的话也是 trust 区域,然后原地址是幺九二点幺六八点十点一这个网段,那我们的目的地址是什么呢?就是我的这台服务器, 幺九二点幺六八点十点二,野马的话是三十二位的野马。好,然后呢我们做地址转换的时候呢,我们转换成地址池里面的地址。好,我们决定做完以后呢,我们再来看一下他能不能去访问 我们用内部主机呢?使用一点一点一点 十。那么去访问我的内部服务器啊,那内部主机啊,去访问我的这个内部服务器啊,使用的这个,呃,官网地址去访问他是正常的。 那我们再来看一下我的公网主题,他也能够正常访问啊,也能够正常访问。对,那这样的话我们内 内部用户和外部用户呢,同时可以使用一点一点一点十啊,来访问我的内部 ftp 浮起。好,这这一块的内容呢,就是我们今天讲的这一块,谢谢大家。
大家好,我是精彩网络技术,在我们企业内部呢,经常会使用防火墙,那么防火墙呢,主要是对我们企业内部网络呢做一个安全防护啊,在这里面我们来看一下,我们企业内部网络呢,主要在 pc 这一段,这个呢我们会把它划分到一个区,叫 trust 区, 而我们企业内部的 vivo 服务器,我们一般会放在 d m z 区,在我们这里面做几个配置,首先呢,我们在接口上呢,要配置 ip 地址,其次呢,我们把该接口呢,我们要画到相应的这个区,比如说 trust 区, 而我们右边这个接口呢,我画到 d m c 去。然后呢我们再放行 trust 到 d m c 区域的啊,区域的安全策略,这样的我我们 p c 一呢,就可以访问服务器了,而我们服务器呢,它不能主动访问 p c 一啊,因为我们没有放行 d m z 到 trust 区。好,下面我们看具体的配置。首先打开防火墙,进入系统识图啊,关闭信息中心, 进入 ge 一杠零杠零接口这个 ip 地址幺零点,零点零点二二十四位,退出去创建 fast 区域 啊,增加我们这个接口啊,一杠零杠零。好,这是第一个。然后呢,我们再进入接口一杠零杠机,配置 ip 地址幺九二点幺六八点 持点击二十四位。那么退出去创建 d m z 区域,添加接口 g e 一杠零杠一, 下面呢,我们要做安全策略,要放行什么呢?要放行 p c 一到 sever 一这个两个区域的安全策略。首先呢,创建安全策略的名称叫 t 和 b, 原区域我们设置为 the trust 区域,目标区域 是 d m z 区,原 ip 地址是幺零点零点零点零,网段二十四, 目的地址是幺九二点幺六八点十点二, 它是一个主机地址啊,就是三十二位的原码长度啊,然后呢,在我们激活 啊,最后这个安全策略 excel greme。 好,下面呢,我们来配置 pc 的 ip 地址, pcip 地址我们已经配合了, ip 地址是十点零点零点一,那么自望野马是三个二,五点零,网关是十点零点零点二, 那么服务器的 ip 地址我们也配好了。好,下面呢,我们直接用 pc 一去拼一下 pc 二, c 幺九二点幺六八,等于十点二, 我们发现是通着的,是吧?那么如果我们服气来访问我们 pc 呢,我们来看一下它是否能够正常访问,那么我们访问的地址是幺幺零点零点零点一,我们评十个报。 最后我们发现是什么是失败的啊?是,原因就在于我们并没有把 d m z 区放行 trust 啊的安全策略,好,我们就讲到这里,学会了吗?学习更多网络知识,关注老师。