防火牆配置口是哪個口
1. 如何識別防火牆的管理口
很多防火牆就普通的埠,只是有的是加了加密而已,不過高級的很多不開放的,只能物理連接到配置埠,要識別也不難,掃描軟體一掃就可以看到IP列表的。。。
2. 防火牆怎麼配置
在使用防火牆之前,需要對防火牆進行一些必要的初始化配置。出廠配置的防火牆需要根據實際使用場景和組網來配置管理IP、登陸方式、用戶名/密碼等。下面以我配置的華為USG防火牆為例,說明一下拿到出廠的防火牆之後應該怎麼配置。
1. 設備配置連接
一般首次登陸,我們使用的是Console口登陸。只需要使用串口網線連接防火牆和PC,使用串口連接工具即可。從串口登陸到防火牆之後,可以配置用戶,密碼,登陸方式等。這些配置在後面有記錄。
直接使用一根網線連接PC和設備的管理口。管理口是在設備面板上一個寫著MGMT的一個網口,一般默認配置了IP,如192.168.0.1/24。我們在對端PC上配置同網段的IP,如192.168.0.10/24,我們就可以通過PC上的telnet客戶端登陸到防火牆設備上。
登陸到設備之後,默認是在防火牆的用戶視圖下。可以使用system-view進入系統視圖,interface GigabitEthernet 0/0/0進入介面視圖,diagnose進入診斷視圖,security-policy進入安全策略視圖,firewall zone trust進入trust安全區域視圖,aaa進入aaa視圖等。
2. Telnet配置
配置VTY界面:
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound all
配置aaa用戶:
manager-user admin
password cipher admin@123
service-type telnet
level 15
使能telnet服務:
telnet server enable
3. ftp配置
在aaa里配置:
manager-user admin
password cipher admin@123
service-type ftp
level 15
ftp-directory cfcard:/
使能ftp服務:
ftp server enable
4. SFTP配置
配置VTY界面:
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound ssh
配置aaa用戶:
manager-user admin
password cipher admin@123
service-type ftp ssh
level 15
ftp-directory cfcard:/
使能sftp服務:
sftp server enable
配置Password認證方式 :
ssh user admin authentication-type password
ssh user admin service-type sftp
ssh user admin sftp-directory cfcard:/
5. SNMP配置
SNMPv1、SNMPv2c:
snmp-agent community write Admin@123
snmp-agent sys-info version v1 v2c
SNMPv3:
snmp-agent sys-info version v3
snmp-agent group v3 admingroup authentication read-view iso write-view iso notify-view iso
snmp-agent mib-view included iso iso
snmp-agent usm-user v3 admin
snmp-agent usm-user v3 admin group admingroup
snmp-agent usm-user v3 admin authentication-mode sha cipher Admin@123
6. Web配置
配置aaa用戶:
manager-user admin
password cipher admin@123
service-type web
level 15
使能web服務:
web-manager enable
配置完Web之後,其他配置就可以登陸到Web頁面進行可視化配置了。
3. 請問硬體防火牆如果設置透明模式,wan口和lan口應該怎麼設置
lan口和wan口的配置
路由器的一排網線介面,分為 lan 和 wan .但不是誰生來就是lan口 或者 wan口 .
也沒有誰規定就一個wan口 就只有一個.
網口就是網口, 決定它是 lan口 還是 wan口 ,是由我們自己決定的 .
用這次 openwrt x86的使用, 來講述一下 lan 和 wan 是如何配置的, 怎麼才可以上網, 而防火牆又是什麼 .
圖1. x86路由器及接線圖
這是 x86 的路由器.在刷好 openwrt 的固件後,一開始只有一個口有驅動, 接上網線燈會亮的那個口,就是此刻可以工作的lan口, 把網線的另一端連接電腦, 並且把電腦的IP設為 跟路由器同一網段的ip地址 -->192.168.1.x, 才能進入路由器管理界面 .
圖2. openwrt 管理首頁
在設置好密碼後,就可以用 ssh 進入openwrt操作系統, 用以查看配置項 .
配置項:/etc/config/network
在剛刷好固件後, 這台路由器還不能上網, 需要給路由器配置對應的wan 口.
這里就要提一下上網的原理了 .
任何東西都要有迴路才能成為一個循環 .電池有正負極,電有零線火線,都需要迴路 電流才能流動. 網線也是一樣 .
無論是誰進,誰出, 發生數據交換, 總是需要 lan 和 wan 兩條線.
你可以是 一個 wan作為統一出口,然後搭配很多個lan作為入口.
你也可以 lan1-wan1 作為網路1,lan2-wan2 作為網路2...等等. 這其實就是歸類的意思 .
因為物理網口有5個,你可以按自己的需求進行分配 .在了解了上面的原理後,開始配置網路介面.
進 網路 --> 介面 ,見圖3 . 圖3. 網路介面
從圖上可以看到, 我定義了一個wan口, 和 一個 把剩下口都橋接在一起的lan口 .
下面看看lan口怎麼配置.
點擊 修改. 見圖4 .
圖4 .lan口修改配置圖 .
可以看到,上面一排有 基本設置 高級設置 物理設置 防火牆設置
先看基本設置 要填的參數有 協議 ip地址 等.
作為路由器的lan口,實際上就是你的網關地址,這個地址是固定的,是你訪問路由器的地址,也就是平常使用的192.168.1.1,所以協議設置成 靜態ip .
再看 物理設置. 見圖5.
圖5.網口的物理設置
這里就是我們要配置的物理網口 .可以看到我有6個 物理網口. 現在 我將 我的eth0 綁定到 lan 下, 同一個類別下的網口 都能享有 這個類別的配置. 比如6個口均是綁定到lan 下,那麼lan的配置 對6個網庫均起作用.
在實現了物理口的綁定後,還要設置防火牆. 防火牆其實就是一張黑白名單和上網的許可權控制. 它可以規定 誰能上網, 誰不能上網 .
防火牆 見圖6.
圖6 防火牆配置
防火牆的lan wan規則系統默認已經給了,所以新創建的 lan 還是 wan口 ,只要分配到對應的規則下就可以了 .
以上就是默認lan 口的配置,接下來我們配置wan口.
1.新建介面
2.配置協議
3.綁定物理網口
4.防火牆設置
1.新建介面和配置協議
圖7 .在介面中點擊 添加新介面 .
圖8 .新介面的配置
wan口協議選擇 DHCP, 這樣就能動態分配到上上級路由過來的ip地址 .然後選擇一個需要的物理網口, 點擊提交 .
3.綁定物理網口:
圖9 .綁定物理網口
這一步在上一步已經做了
4. 防火牆設置
防火牆 這里是一套規則, 你也可以自己創建一套規則 .
做完這個,把網線 接在你配置的網口裡面 就能上網了.
圖10. 指定防火牆
第二部分: 橋接 .bridge
下面講怎麼配置lan口 和什麼是橋接.
在宿舍里,為什麼 每個人的電腦網線一插在路由器里就能上網呢? 因為 那是把 剩下的空閑的網口,都橋接在一個lan口下了 .
但是,我這里要先講一下,怎麼再配置一個lan口 和橋接 有什麼區別.
分配到lan口的規則上去.
現在,這個 lan1 口就能上網了.迴路是和lan共用一個 wan口 .當然你可以自己創建一個wan1 組成一個新的網路lan1-wan1.
但是呢,現在這個樣子,它其實是開辟了一個新的網段 .比較復雜,所以下面講什麼是橋接 .
因為不想再創建 lan1, lan2什麼的.我只想其它的網口互通就好了,這里就是橋接, 把所有的 網口 都綁定到lan口上去. 所以,我先把lan1 給刪了.
然後把你勾上橋接選項,把你想連在一起的口都橋接起來
這樣,就不用配置什麼 .2 .3網段了,就是 .1網段.現在,你插在那個lan口 都能上網了. 約定俗成 ,我們把第一個口配成 wan口 後面的口配成 lan 口.
4. 防火牆的通常配置介面有哪些
1.CONSOLE
一般是第一次配置時使用,可以開啟其他管理方式。
2.WEB
WEB界面配置,防火牆通常都有默認的介面提供WEB界面配置(http、https)
主要是以上兩種配置方式,telnet
ssh
snmp
同時也可使用!
5. 配置防火牆時經常說定義一個DMZ口,trust口、untrust口,DMZ、trust、untrust是意思
1.DMZ口
這個是非武裝區,用於伺服器內外網都可以訪問,但還是與內網隔離.
就算是黑客把DMZ伺服器拿下,也不能使用伺服器來控制內網的網路.起到安全的策略
外部能訪問DMZ
內部能訪問DMZ
2.trust口
可信任的介面.是區域網的介面.此介面外網和DMZ無法訪問.
外部不能訪問trust口
DMZ不能訪問trust口
3.untrust口
不信任的介面,是用來接internet的,這個介面的信息內網不接受
可以通過untrust口訪問DMZ,但不能訪問trust口
下面是我給你繪制的圖例
6. usg 2000防火牆ge 0/0/0 口哪個
這個是默認的管理埠,就是說你用電腦插上去和他配置同一個網段,可以用來管理,telnet
ssh都可以
7. 網路防火牆埠是什麼 埠多少會有什麼不同謝謝
一 、埠大全
埠:0
服務:Reserved
說明:通常用於分析操作系統。這一方法能夠工作是因為在一些系統中「0」是無效埠,當你試圖使用通常的閉合埠連接它時將產生不同的結果。一種典型的掃描,使用IP地址為0.0.0.0,設置ACK位並在乙太網層廣播。
埠:1
服務:tcpmux
說明:這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者,默認情況下tcpmux在這種系統中被打開。Irix機器在發布是含有幾個默認的無密碼的帳戶,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。許多管理員在安裝後忘記刪除這些帳戶。因此HACKER在INTERNET上搜索tcpmux並利用這些帳戶。
埠:7
服務:Echo
說明:能看到許多人搜索Fraggle放大器時,發送到X.X.X.0和X.X.X.255的信息。
埠:19
服務:Character Generator
說明:這是一種僅僅發送字元的服務。UDP版本將會在收到UDP包後回應含有垃圾字元的包。TCP連接時會發送含有垃圾字元的數據流直到連接關閉。 HACKER利用IP欺騙可以發動DoS攻擊。偽造兩個chargen伺服器之間的UDP包。同樣Fraggle DoS攻擊向目標地址的這個埠廣播一個帶有偽造受害者IP的數據包,受害者為了回應這些數據而過載。
埠:21
服務:FTP
說明:FTP伺服器所開放的埠,用於上傳、下載。最常見的攻擊者用於尋找打開anonymous的FTP伺服器的方法。這些伺服器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的埠。
埠:22
服務:Ssh
說明:PcAnywhere建立的TCP和這一埠的連接可能是為了尋找ssh。這一服務有許多弱點,如果配置成特定的模式,許多使用RSAREF庫的版本就會有不少的漏洞存在。
埠:23
服務:Telnet
說明:遠程登錄,入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一埠是為了找到機器運行的操作系統。還有使用其他技術,入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個埠。
埠:25
服務:SMTP
說明:SMTP伺服器所開放的埠,用於發送郵件。入侵者尋找SMTP伺服器是為了傳遞他們的SPAM。入侵者的帳戶被關閉,他們需要連接到高帶寬的E- MAIL伺服器上,將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個埠。
埠:31
服務:MSG Authentication
說明:木馬Master Paradise、Hackers Paradise開放此埠。
埠:42
服務:WINS Replication
說明:WINS復制
埠:53
服務:Domain Name Server(DNS)
說明:DNS伺服器所開放的埠,入侵者可能是試圖進行區域傳遞(TCP),欺騙DNS(UDP)或隱藏其他的通信。因此_blank"> 防火牆常常過濾或記錄此埠。
埠:67
服務:Bootstrap Protocol Server
說明:通過DSL和Cable modem的_blank"> 防火牆常會看見大量發送到廣播地址255.255.255.255的數據。這些機器在向DHCP伺服器請求一個地址。 HACKER常進入它們,分配一個地址把自己作為局部路由器而發起大量中間人(man-in-middle)攻擊。客戶端向68埠廣播請求配置,伺服器向67埠廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發送的IP地址。
埠:69
服務:Trival File Transfer
說明:許多伺服器與bootp一起提供這項服務,便於從系統下載啟動代碼。但是它們常常由於錯誤配置而使入侵者能從系統中竊取任何 文件。它們也可用於系統寫入文件。
埠:79
服務:Finger Server
說明:入侵者用於獲得用戶信息,查詢操作系統,探測已知的緩沖區溢出錯誤,回應從自己機器到其他機器Finger掃描。
埠:80
服務:HTTP
說明:用於網頁瀏覽。木馬Executor開放此埠。
埠:99
服務:Metagram Relay
說明:後門程序ncx99開放此埠。
埠:102
服務:Message transfer agent(MTA)-X.400 over TCP/IP
說明:消息傳輸代理。
埠:109
服務:Post Office Protocol -Version3
說明:POP3伺服器開放此埠,用於接收郵件,客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交 換緩沖區溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統。成功登陸後還有其他緩沖區溢出錯誤。
埠:110
服務:SUN公司的RPC服務所有埠
說明:常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
埠:113
服務:Authentication Service
說明:這是一個許多計算機上運行的協議,用於鑒別TCP連接的用戶。使用標準的這種服務可以獲得許多計算機的信息。但是它可作為許多服務的記錄器,尤其是 FTP、POP、IMAP、SMTP和IRC等服務。通常如果有許多客戶通過_blank"> 防火牆訪問這些服務,將會看到許多這個埠的連接請求。記住,如果阻斷這個埠客戶端會感覺到在_blank"> 防火牆另一邊與E-MAIL伺服器的緩慢連接。許多_blank"> 防火牆支持 TCP連接的阻斷過程中發回RST。這將會停止緩慢的連接。
埠:119
服務:Network News Transfer Protocol
說明:NEWS新聞組傳輸協議,承載USENET通信。這個埠的連接通常是人們在尋找USENET伺服器。多數ISP限制,只有他們的客戶才能訪問他們的新聞組伺服器。打開新聞組伺服器將允許發/讀任何人的帖子,訪問被限制的新聞組伺服器,匿名發帖或發送SPAM。
埠:135
服務:Location Service
說明:Microsoft在這個埠運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111埠的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接到計算機時,它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個埠是為了找到這個計算機上運行Exchange Server嗎?什麼版本?還有些DOS攻擊直接針對這個埠。
埠:137、138、139
服務:NETBIOS Name Service
說明:其中137、138是UDP埠,當通過網上鄰居傳輸文件時用這個埠。而139埠:通過這個埠進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於windows文件和列印機共享和SAMBA。還有WINS Regisrtation也用它。
埠:143
服務:Interim Mail Access Protocol v2
說明:和POP3的安全問題一樣,許多IMAP伺服器存在有緩沖區溢出漏洞。記住:一種LINUX蠕蟲(admv0rm)會通過這個埠繁殖,因此許多這個埠的掃描來自不知情的已經被感染的用戶。當REDHAT在他們的LINUX發布版本中默認允許IMAP後,這些漏洞變的很流行。這一埠還被用於 IMAP2,但並不流行。
埠:161
服務:SNMP
說明:SNMP允許遠程管理設備。所有配置和運行信息的儲存在資料庫中,通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在 Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網路。
埠:177
服務:X Display Manager Control Protocol
說明:許多入侵者通過它訪問X-windows操作台,它同時需要打開6000埠。
埠:389
服務:LDAP、ILS
說明:輕型目錄訪問協議和NetMeeting Internet Locator Server共用這一埠。
埠:443
服務:Https
說明:網頁瀏覽埠,能提供加密和通過安全埠傳輸的另一種HTTP。
埠:456
服務:[NULL]
說明:木馬HACKERS PARADISE開放此埠。
埠:513
服務:Login,remote login
說明:是從使用cable modem或DSL登陸到子網中的UNIX計算機發出的廣播。這些人為入侵者進入他們的系統提供了信息。
埠:544
服務:[NULL]
說明:kerberos kshell
埠:548
服務:Macintosh,File Services(AFP/IP)
說明:Macintosh,文件服務。
埠:553
服務:CORBA IIOP (UDP)
說明:使用cable modem、DSL或VLAN將會看到這個埠的廣播。CORBA是一種面向對象的RPC系統。入侵者可以利用這些信息進入系統。
埠:555
服務:DSF
說明:木馬PhAse1.0、Stealth Spy、IniKiller開放此埠。
埠:568
服務:Membership DPA
說明:成員資格 DPA。
埠:569
服務:Membership MSN
說明:成員資格 MSN。
埠:635
服務:mountd
說明:Linux的mountd Bug。這是掃描的一個流行BUG。大多數對這個埠的掃描是基於UDP的,但是基於TCP的mountd有所增加(mountd同時運行於兩個埠)。記住mountd可運行於任何埠(到底是哪個埠,需要在埠111做portmap查詢),只是Linux默認埠是635,就像NFS通常運行於 2049埠。
埠:636
服務:LDAP
說明:SSL(Secure Sockets layer)
埠:666
服務:Doom Id Software
說明:木馬Attack FTP、Satanz Backdoor開放此埠
埠:993
服務:IMAP
說明:SSL(Secure Sockets layer)
埠:1001、1011
服務:[NULL]
說明:木馬Silencer、WebEx開放1001埠。木馬Doly Trojan開放1011埠。
埠:1024
服務:Reserved
說明:它是動態埠的開始,許多程序並不在乎用哪個埠連接網路,它們請求系統為它們分配下一個閑置埠。基於這一點分配從埠1024開始。這就是說第一個向系統發出請求的會分配到1024埠。你可以重啟機器,打開Telnet,再打開一個窗口運行natstat -a 將會看到Telnet被分配1024埠。還有SQL session也用此埠和5000埠。
埠:1025、1033
服務:1025:network blackjack 1033:[NULL]
說明:木馬netspy開放這2個埠。
埠:1080
服務:SOCKS
說明:這一協議以通道方式穿過_blank"> 防火牆,允許_blank"> 防火牆後面的人通過一個IP地址訪問INTERNET。理論上它應該只允許內部的通信向外到達INTERNET。但是由於錯誤的配置,它會允許位於_blank"> 防火牆外部的攻擊穿過 _blank"> 防火牆。WinGate常會發生這種錯誤,在加入IRC聊天室時常會看到這種情況。
埠:1170
服務:[NULL]
說明:木馬Streaming Audio Trojan、Psyber Stream Server、Voice開放此埠。
埠:1234、1243、6711、6776
服務:[NULL]
說明:木馬SubSeven2.0、Ultors Trojan開放1234、6776埠。木馬SubSeven1.0/1.9開放1243、6711、6776埠。
埠:1245
服務:[NULL]
說明:木馬Vodoo開放此埠。
埠:1433
服務:SQL
說明:Microsoft的SQL服務開放的埠。
埠:1492
服務:stone-design-1
說明:木馬FTP99CMP開放此埠。
埠:1500
服務:RPC client fixed port session queries
說明:RPC客戶固定埠會話查詢
在防火牆中打開埠地方法:
1、依次單擊「開始」、「控制面板」、「網路和 Internet 連接」,然後
單擊「網路連接」。
2、如果您使用的是撥號 Internet 連接,請在「撥號網路」下,單擊用於
Internet 的連接。如果您使用的是電纜數據機或數字訂戶線 (DSL)
連接,請在「LAN 或高速 Internet」下,單擊您用於 Internet 的連接。
3、在「網路任務」下,單擊「更改此連接的設置」。
4、在「高級」選項卡上,確保選中了「通過限制或阻止來自 Internet 的
對此計算機的訪問來保護我的計算機和網路」復選框。
5、單擊「設置」。
6、在「服務」選項卡上,單擊「添加」。
7、在「服務描述」中鍵入一個名稱,以便能夠標識您希望打開的埠。例
如:「Windows Messenger 文件傳輸」。鍵入一個可幫助您記憶服務和端
口的名稱。您可以使用您希望的任何名稱。此名稱對功能沒有任何影響,
只起幫助記憶的作用。
8、在「在您的網路上主持此服務的計算機的名稱或 IP 地址」中,鍵入「
127.0.0.1」。
9、在「此服務的外部埠號」和「此服務的內部埠號」中,鍵入埠號
(兩個框中鍵入的數字相同)。若要查找埠號,請查看上面的列表,檢
查程序的文檔或本文前面列出的信息來源。
10、單擊「TCP」或「UDP」,然後單擊「確定」。
11、對於每一個需要打開的埠重復此過程。
8. 防火牆配置中,為什麼要配置trust口和untrust口
防火牆就是用來控制流量的,預設是允許流量從trust口到untrust口方向的主動訪問,而不允許untrust口到trust口方向的主動訪問;
當從trust口到untrust口有主動訪問時,防火牆會保存這個連接信息,回應數據從untrust口到trust方向,防火牆會放行,但是不會允許untrust口到trust口的主動訪問。
(有點象你在家能訪問互聯網的網站,當在互聯網不能訪問你的電腦一樣。)