獲取網關命令

『壹』 如何在linux下獲取默認網關地址

route|awk'/default/{print$2}'

『貳』 如何查看本機網關

查看方法：

1、WIN鍵(windows鍵）+R鍵，在運行里輸入「CMD」，確定；

2、在命令提示符里輸入「ipconfig /all"回車，即可看本機網關。

『叄』 ensp查看防火牆網關命令

安全
【ensp】防火牆概述與命令總結

雲歸959
原創
關注
4點贊·6380人閱讀
防火牆概述與命令總結
0713 防火牆的基本概述：
安全策略：
0714 防火牆的NAT策略：
server nat：
pat與掘殲陵no-pat做法：改激
域內nat做法：
0715 防火牆的雙機熱備：
在防火牆上配置VGMP：
0717 防火牆的GRE封裝：
gre在防火牆上應用：
防火牆中的telnet配置：
防火牆中ssh配置:
0713 防火牆的基本概述：
防火牆分為：

框式防火牆

盒式防火牆

軟體防火牆（公有雲、私有雲）

我們目前學習的是狀態檢測防火牆：

通過檢查首包的五元組，來保證出入數據包的安全

隔離不同的網路區域

通常用於兩個網路之間，有選擇性針對性的隔離流量

阻斷外網主動訪問內網，但回包不算主動訪問

安全區域（security zone）：被簡稱為區域（zone），是防火牆的重要概念，預設時有4個區域：

local：本地區域，所有IP都屬於這個區域
trust：受信任的區域
DMZ：是介於管制和不管制區域之間的區域，一般放置伺服器
untrust：一般連接Internet和不屬於內網的部分
ps：每個介面都需要加入安全區域，不然防火牆會顯示介面未激活，無法工作

firewall zone [區域名] //進入安全區域

add interface GigabitEthernet [介面號] //添加介面到此區域

display zone //查看區域劃分情況
復制
安全策略：
與ACL類似，動作只有兩種：permit和deny

每一個想要通過防火牆的數據包都需要被安全策判戚略檢查，如果不寫安全策略，ping都經過不了防火牆

如何去寫安全策略：

security-policy
rule name [策略名]
source-zone [區域名]
source-address [源地址] [掩碼] //此條可以略
destination-zone [區域名]
destination-address [源地址] [掩碼] //此條可以略
service [協議名] //需要放行的協議
action permit //此條策略的動作是放行
復制
防火牆策略命中即轉發

一些今天的名詞：

ddos攻擊防範：ddos攻擊就是通過偽造大量不同的mac地址讓交換機學習，讓交換機無法正常處理其他事情

SPU：防火牆特有的，用於實現防火牆的安全功能

五元組：源/目地址、源/目埠號、協議

ASPF技術：應用包過濾技術，可以根據協議推出應用包內容，根據內容提前生成server-map表項，在流量沒有匹配會話表時，可以匹配server-map來處理

ftp無論是主動模式還是被動模式都是client先主動向server發起控制通道連接
ftp的主動模式（port）：server主動向client發起數據通道的連接
ftp被動模式（pasv）：server等待client發起數據通道的連接

0714 防火牆的NAT策略：
NAT轉換有兩種轉換：
源NAT：

no-pat //1對1轉化，不節約公網地址，同一時間內只能有一個人上網
pat //指定一個或多個公網地址使PC機可以通過這個公網地址的不同埠進行訪問
ease-ip //使用介面的IP作為NAT地址，使PC機可以通過這個公網地址的不同埠進行訪問

目標NAT：

server nat //伺服器映射

值得注意的是：
如果在防火牆上的是源NAT轉換，則防火牆先匹配安全策略，再匹配NAT策略
如果在防火牆上的是目標NAT轉換，則防火牆先匹配NAT策略，再匹配安全策略

實驗總結概述：
如何做nat：

server nat：
nat server protocol [協議] global [公網地址] [埠] inside [伺服器地址] [埠]
復制
pat與no-pat做法：
nat address-group [地址組名]
mode pat
section [初始地址] [結束地址]
nat-policy //進入nat策略，將前一步的地址池應用在nat策略中
source-zone [區域名]
source-address [源地址] [掩碼]
destination-zone [區域名]
destination-address [源地址] [掩碼] //此步規定什麼樣的地址允許做NAT轉換
action source-nat address-group NAT //應用地址組
//之後就是看需要寫安全策略
復制

域內nat做法：
訪問需要通過公網地址訪問

第一步：將介面劃分好所屬區域，做好基礎配置
第二步：創建一個nat地址池，將地址池的范圍規劃好，（默認為PAT）
nat server 0 protocol tcp global 204.1.1.1 www inside 172.16.1.2 www
//此步為伺服器映射
nat address-group NAT
mode pat
section 0 205.1.1.1 205.1.1.1
第三步：進入nat策略，將前一步的地址池應用在nat策略中
nat-policy
rule name NAT
source-zone dmz
destination-zone dmz
source-address 172.16.1.1 mask 255.255.255.255
destination-address 172.16.1.2 mask 255.255.255.255
//此步規定什麼樣的地址允許做NAT轉換
action source-nat address-group NAT
第四步：設置安全策略，允許地址通過，並說明區域
security-policy
default packet-filter intrazone enable
//設置防火牆區域間流量也檢查
rule name NAT
source-zone dmz
destination-zone dmz
source-address 172.16.1.1 mask 255.255.255.255
destination-address 172.16.1.2 mask 255.255.255.255
service http
service tcp
action permit
復制

『肆』 怎麼用命令行查本地IP、網關和DNS啊

1、Windows+R調出運行界慎吵面。