防火墙配置口是哪个口
1. 如何识别防火墙的管理口
很多防火墙就普通的端口,只是有的是加了加密而已,不过高级的很多不开放的,只能物理连接到配置端口,要识别也不难,扫描软件一扫就可以看到IP列表的。。。
2. 防火墙怎么配置
在使用防火墙之前,需要对防火墙进行一些必要的初始化配置。出厂配置的防火墙需要根据实际使用场景和组网来配置管理IP、登陆方式、用户名/密码等。下面以我配置的华为USG防火墙为例,说明一下拿到出厂的防火墙之后应该怎么配置。
1. 设备配置连接
一般首次登陆,我们使用的是Console口登陆。只需要使用串口网线连接防火墙和PC,使用串口连接工具即可。从串口登陆到防火墙之后,可以配置用户,密码,登陆方式等。这些配置在后面有记录。
直接使用一根网线连接PC和设备的管理口。管理口是在设备面板上一个写着MGMT的一个网口,一般默认配置了IP,如192.168.0.1/24。我们在对端PC上配置同网段的IP,如192.168.0.10/24,我们就可以通过PC上的telnet客户端登陆到防火墙设备上。
登陆到设备之后,默认是在防火墙的用户视图下。可以使用system-view进入系统视图,interface GigabitEthernet 0/0/0进入接口视图,diagnose进入诊断视图,security-policy进入安全策略视图,firewall zone trust进入trust安全区域视图,aaa进入aaa视图等。
2. Telnet配置
配置VTY界面:
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound all
配置aaa用户:
manager-user admin
password cipher admin@123
service-type telnet
level 15
使能telnet服务:
telnet server enable
3. ftp配置
在aaa里配置:
manager-user admin
password cipher admin@123
service-type ftp
level 15
ftp-directory cfcard:/
使能ftp服务:
ftp server enable
4. SFTP配置
配置VTY界面:
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound ssh
配置aaa用户:
manager-user admin
password cipher admin@123
service-type ftp ssh
level 15
ftp-directory cfcard:/
使能sftp服务:
sftp server enable
配置Password认证方式 :
ssh user admin authentication-type password
ssh user admin service-type sftp
ssh user admin sftp-directory cfcard:/
5. SNMP配置
SNMPv1、SNMPv2c:
snmp-agent community write Admin@123
snmp-agent sys-info version v1 v2c
SNMPv3:
snmp-agent sys-info version v3
snmp-agent group v3 admingroup authentication read-view iso write-view iso notify-view iso
snmp-agent mib-view included iso iso
snmp-agent usm-user v3 admin
snmp-agent usm-user v3 admin group admingroup
snmp-agent usm-user v3 admin authentication-mode sha cipher Admin@123
6. Web配置
配置aaa用户:
manager-user admin
password cipher admin@123
service-type web
level 15
使能web服务:
web-manager enable
配置完Web之后,其他配置就可以登陆到Web页面进行可视化配置了。
3. 请问硬件防火墙如果设置透明模式,wan口和lan口应该怎么设置
lan口和wan口的配置
路由器的一排网线接口,分为 lan 和 wan .但不是谁生来就是lan口 或者 wan口 .
也没有谁规定就一个wan口 就只有一个.
网口就是网口, 决定它是 lan口 还是 wan口 ,是由我们自己决定的 .
用这次 openwrt x86的使用, 来讲述一下 lan 和 wan 是如何配置的, 怎么才可以上网, 而防火墙又是什么 .
图1. x86路由器及接线图
这是 x86 的路由器.在刷好 openwrt 的固件后,一开始只有一个口有驱动, 接上网线灯会亮的那个口,就是此刻可以工作的lan口, 把网线的另一端连接电脑, 并且把电脑的IP设为 跟路由器同一网段的ip地址 -->192.168.1.x, 才能进入路由器管理界面 .
图2. openwrt 管理首页
在设置好密码后,就可以用 ssh 进入openwrt操作系统, 用以查看配置项 .
配置项:/etc/config/network
在刚刷好固件后, 这台路由器还不能上网, 需要给路由器配置对应的wan 口.
这里就要提一下上网的原理了 .
任何东西都要有回路才能成为一个循环 .电池有正负极,电有零线火线,都需要回路 电流才能流动. 网线也是一样 .
无论是谁进,谁出, 发生数据交换, 总是需要 lan 和 wan 两条线.
你可以是 一个 wan作为统一出口,然后搭配很多个lan作为入口.
你也可以 lan1-wan1 作为网络1,lan2-wan2 作为网络2...等等. 这其实就是归类的意思 .
因为物理网口有5个,你可以按自己的需求进行分配 .在了解了上面的原理后,开始配置网络接口.
进 网络 --> 接口 ,见图3 . 图3. 网络接口
从图上可以看到, 我定义了一个wan口, 和 一个 把剩下口都桥接在一起的lan口 .
下面看看lan口怎么配置.
点击 修改. 见图4 .
图4 .lan口修改配置图 .
可以看到,上面一排有 基本设置 高级设置 物理设置 防火墙设置
先看基本设置 要填的参数有 协议 ip地址 等.
作为路由器的lan口,实际上就是你的网关地址,这个地址是固定的,是你访问路由器的地址,也就是平常使用的192.168.1.1,所以协议设置成 静态ip .
再看 物理设置. 见图5.
图5.网口的物理设置
这里就是我们要配置的物理网口 .可以看到我有6个 物理网口. 现在 我将 我的eth0 绑定到 lan 下, 同一个类别下的网口 都能享有 这个类别的配置. 比如6个口均是绑定到lan 下,那么lan的配置 对6个网库均起作用.
在实现了物理口的绑定后,还要设置防火墙. 防火墙其实就是一张黑白名单和上网的权限控制. 它可以规定 谁能上网, 谁不能上网 .
防火墙 见图6.
图6 防火墙配置
防火墙的lan wan规则系统默认已经给了,所以新创建的 lan 还是 wan口 ,只要分配到对应的规则下就可以了 .
以上就是默认lan 口的配置,接下来我们配置wan口.
1.新建接口
2.配置协议
3.绑定物理网口
4.防火墙设置
1.新建接口和配置协议
图7 .在接口中点击 添加新接口 .
图8 .新接口的配置
wan口协议选择 DHCP, 这样就能动态分配到上上级路由过来的ip地址 .然后选择一个需要的物理网口, 点击提交 .
3.绑定物理网口:
图9 .绑定物理网口
这一步在上一步已经做了
4. 防火墙设置
防火墙 这里是一套规则, 你也可以自己创建一套规则 .
做完这个,把网线 接在你配置的网口里面 就能上网了.
图10. 指定防火墙
第二部分: 桥接 .bridge
下面讲怎么配置lan口 和什么是桥接.
在宿舍里,为什么 每个人的电脑网线一插在路由器里就能上网呢? 因为 那是把 剩下的空闲的网口,都桥接在一个lan口下了 .
但是,我这里要先讲一下,怎么再配置一个lan口 和桥接 有什么区别.
分配到lan口的规则上去.
现在,这个 lan1 口就能上网了.回路是和lan共用一个 wan口 .当然你可以自己创建一个wan1 组成一个新的网络lan1-wan1.
但是呢,现在这个样子,它其实是开辟了一个新的网段 .比较复杂,所以下面讲什么是桥接 .
因为不想再创建 lan1, lan2什么的.我只想其它的网口互通就好了,这里就是桥接, 把所有的 网口 都绑定到lan口上去. 所以,我先把lan1 给删了.
然后把你勾上桥接选项,把你想连在一起的口都桥接起来
这样,就不用配置什么 .2 .3网段了,就是 .1网段.现在,你插在那个lan口 都能上网了. 约定俗成 ,我们把第一个口配成 wan口 后面的口配成 lan 口.
4. 防火墙的通常配置接口有哪些
1.CONSOLE
一般是第一次配置时使用,可以开启其他管理方式。
2.WEB
WEB界面配置,防火墙通常都有默认的接口提供WEB界面配置(http、https)
主要是以上两种配置方式,telnet
ssh
snmp
同时也可使用!
5. 配置防火墙时经常说定义一个DMZ口,trust口、untrust口,DMZ、trust、untrust是意思
1.DMZ口
这个是非武装区,用于服务器内外网都可以访问,但还是与内网隔离.
就算是黑客把DMZ服务器拿下,也不能使用服务器来控制内网的网络.起到安全的策略
外部能访问DMZ
内部能访问DMZ
2.trust口
可信任的接口.是局域网的接口.此接口外网和DMZ无法访问.
外部不能访问trust口
DMZ不能访问trust口
3.untrust口
不信任的接口,是用来接internet的,这个接口的信息内网不接受
可以通过untrust口访问DMZ,但不能访问trust口
下面是我给你绘制的图例
6. usg 2000防火墙ge 0/0/0 口哪个
这个是默认的管理端口,就是说你用电脑插上去和他配置同一个网段,可以用来管理,telnet
ssh都可以
7. 网络防火墙端口是什么 端口多少会有什么不同谢谢
一 、端口大全
端口:0
服务:Reserved
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
端口:1
服务:tcpmux
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
端口:7
服务:Echo
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
端口:19
服务:Character Generator
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
端口:21
服务:FTP
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
端口:22
服务:Ssh
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
端口:23
服务:Telnet
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
端口:25
服务:SMTP
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E- MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
端口:31
服务:MSG Authentication
说明:木马Master Paradise、Hackers Paradise开放此端口。
端口:42
服务:WINS Replication
说明:WINS复制
端口:53
服务:Domain Name Server(DNS)
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此_blank"> 防火墙常常过滤或记录此端口。
端口:67
服务:Bootstrap Protocol Server
说明:通过DSL和Cable modem的_blank"> 防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。 HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
端口:69
服务:Trival File Transfer
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
端口:79
服务:Finger Server
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。
端口:80
服务:HTTP
说明:用于网页浏览。木马Executor开放此端口。
端口:99
服务:Metagram Relay
说明:后门程序ncx99开放此端口。
端口:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:消息传输代理。
端口:109
服务:Post Office Protocol -Version3
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
端口:110
服务:SUN公司的RPC服务所有端口
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:113
服务:Authentication Service
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是 FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过_blank"> 防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在_blank"> 防火墙另一边与E-MAIL服务器的缓慢连接。许多_blank"> 防火墙支持 TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
端口:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
端口:135
服务:Location Service
说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。
端口:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
端口:143
服务:Interim Mail Access Protocol v2
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于 IMAP2,但并不流行。
端口:161
服务:SNMP
说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在 Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。
端口:177
服务:X Display Manager Control Protocol
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
端口:389
服务:LDAP、ILS
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
端口:443
服务:Https
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
端口:456
服务:[NULL]
说明:木马HACKERS PARADISE开放此端口。
端口:513
服务:Login,remote login
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
端口:544
服务:[NULL]
说明:kerberos kshell
端口:548
服务:Macintosh,File Services(AFP/IP)
说明:Macintosh,文件服务。
端口:553
服务:CORBA IIOP (UDP)
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。
端口:555
服务:DSF
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
端口:568
服务:Membership DPA
说明:成员资格 DPA。
端口:569
服务:Membership MSN
说明:成员资格 MSN。
端口:635
服务:mountd
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于 2049端口。
端口:636
服务:LDAP
说明:SSL(Secure Sockets layer)
端口:666
服务:Doom Id Software
说明:木马Attack FTP、Satanz Backdoor开放此端口
端口:993
服务:IMAP
说明:SSL(Secure Sockets layer)
端口:1001、1011
服务:[NULL]
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
端口:1024
服务:Reserved
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
端口:1025、1033
服务:1025:network blackjack 1033:[NULL]
说明:木马netspy开放这2个端口。
端口:1080
服务:SOCKS
说明:这一协议以通道方式穿过_blank"> 防火墙,允许_blank"> 防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于_blank"> 防火墙外部的攻击穿过 _blank"> 防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。
端口:1170
服务:[NULL]
说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。
端口:1234、1243、6711、6776
服务:[NULL]
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。
端口:1245
服务:[NULL]
说明:木马Vodoo开放此端口。
端口:1433
服务:SQL
说明:Microsoft的SQL服务开放的端口。
端口:1492
服务:stone-design-1
说明:木马FTP99CMP开放此端口。
端口:1500
服务:RPC client fixed port session queries
说明:RPC客户固定端口会话查询
在防火墙中打开端口地方法:
1、依次单击“开始”、“控制面板”、“网络和 Internet 连接”,然后
单击“网络连接”。
2、如果您使用的是拨号 Internet 连接,请在“拨号网络”下,单击用于
Internet 的连接。如果您使用的是电缆调制解调器或数字订户线 (DSL)
连接,请在“LAN 或高速 Internet”下,单击您用于 Internet 的连接。
3、在“网络任务”下,单击“更改此连接的设置”。
4、在“高级”选项卡上,确保选中了“通过限制或阻止来自 Internet 的
对此计算机的访问来保护我的计算机和网络”复选框。
5、单击“设置”。
6、在“服务”选项卡上,单击“添加”。
7、在“服务描述”中键入一个名称,以便能够标识您希望打开的端口。例
如:“Windows Messenger 文件传输”。键入一个可帮助您记忆服务和端
口的名称。您可以使用您希望的任何名称。此名称对功能没有任何影响,
只起帮助记忆的作用。
8、在“在您的网络上主持此服务的计算机的名称或 IP 地址”中,键入“
127.0.0.1”。
9、在“此服务的外部端口号”和“此服务的内部端口号”中,键入端口号
(两个框中键入的数字相同)。若要查找端口号,请查看上面的列表,检
查程序的文档或本文前面列出的信息来源。
10、单击“TCP”或“UDP”,然后单击“确定”。
11、对于每一个需要打开的端口重复此过程。
8. 防火墙配置中,为什么要配置trust口和untrust口
防火墙就是用来控制流量的,缺省是允许流量从trust口到untrust口方向的主动访问,而不允许untrust口到trust口方向的主动访问;
当从trust口到untrust口有主动访问时,防火墙会保存这个连接信息,回应数据从untrust口到trust方向,防火墙会放行,但是不会允许untrust口到trust口的主动访问。
(有点象你在家能访问互联网的网站,当在互联网不能访问你的电脑一样。)