拓扑图
配置步骤
1配置端口ip地址,并检测连通性
服务器 ping pc端
服务器 telnet R3
2配置命令
R3(config)# ip access-list extended go
R3(config-ext-nacl)# deny ip any any //此ACL目的是隔绝外网流量
R3(config-ext-nacl)# exit
R3(config)# interface s0/1/1
R3(config-if)# ip access-group go in
R3(config)#ip inspect name HKH icmp
R3(config)#ip inspect name HKH http // 创建一个检测规则来检测ICMP和HTTP流量
R3(config)# ip inspect audit-trail
R3(config)# service timestamps debug datetime msec
R3(config)# logging host 10.132.1.2 //开启时间戳记记录和CBAC审计跟踪信息
R3(config)#int s0/1/1
R3(config-if)# ip inspect HKH out
验证:
PC端 ping 服务器
F 区域策略防火墙
拓扑图
1 配置端口地址以及OSPF。
2查看连通性
Pc-a ping pc-c
Pc-c telnet R2
http服务
3配置区域策略防火墙
R3(config)# zone security IN-ZONE //创建区域IN-ZONE
R3(config-sec-zone)# exit
R3(config)# zone security OUT-ZONE //创建区域OUT-ZONE
R3(config-sec-zone)# exit
R3(config)# access-list 101 permit ip 10.132.3.0 0.0.0.255 any //用access-list创建扩展ACL101来在IP层面允许所有从……源网络地址访问到任何其他地址
R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP
R3(config-cmap)# match access-group 101
R3(config-cmap)# exit //用 class map type inspect (match all)来创建一个叫 class map type inspect 的class map,用match access-group匹配ACL
R3(config)# policy-map type inspect IN-2-OUT-PMAP //创建策略图IN-2-OUT-PMAP
R3(config-pmap)# class type inspect IN-NET-CLASS-MAP //定义一个检测级别类型和参考策略图
R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE //创建一个区域对IN-2-OUT-ZPAIR对任务一中创建的区域进行源和目的区域定义
R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP
R3(config-sec-zone-pair)# exit
R3(config# interface fa0/1
R3(config-if)# zone-member security IN-ZONE
R3(config-if)# exit
R3(config)# interface s0/1/1
R3(config-if)# zone-member security OUT-ZONE
R3(config-if)# exit
测试:
服务器 ping PC端(防火墙阻挡,外网无法ping通PC端)
PC端 ping 服务器
![[LeetCode] Longest Substring Without Repeating Characters 最长无重复字符的子串 C++实现java实现...](https://img2018.cnblogs.com/blog/1678506/201905/1678506-20190530000252518-1579877401.png)
