防火墙查看命令

㈠ ensp查看防火墙网关命令

安全
【ensp】防火墙概述与命令总结

云归959
原创
关注
4点赞·6380人阅读
防火墙概述与命令总结
0713 防火墙的基本概述：
安全策略：
0714 防火墙的NAT策略：
server nat：
pat与掘歼陵no-pat做法：改激
域内nat做法：
0715 防火墙的双机热备：
在防火墙上配置VGMP：
0717 防火墙的GRE封装：
gre在防火墙上应用：
防火墙中的telnet配置：
防火墙中ssh配置:
0713 防火墙的基本概述：
防火墙分为：

框式防火墙

盒式防火墙

软件防火墙（公有云、私有云）

我们目前学习的是状态检测防火墙：

通过检查首包的五元组，来保证出入数据包的安全

隔离不同的网络区域

通常用于两个网络之间，有选择性针对性的隔离流量

阻断外网主动访问内网，但回包不算主动访问

安全区域（security zone）：被简称为区域（zone），是防火墙的重要概念，缺省时有4个区域：

local：本地区域，所有IP都属于这个区域
trust：受信任的区域
DMZ：是介于管制和不管制区域之间的区域，一般放置服务器
untrust：一般连接Internet和不属于内网的部分
ps：每个接口都需要加入安全区域，不然防火墙会显示接口未激活，无法工作

firewall zone [区域名] //进入安全区域

add interface GigabitEthernet [接口号] //添加接口到此区域

display zone //查看区域划分情况
复制
安全策略：
与ACL类似，动作只有两种：permit和deny

每一个想要通过防火墙的数据包都需要被安全策判戚略检查，如果不写安全策略，ping都经过不了防火墙

如何去写安全策略：

security-policy
rule name [策略名]
source-zone [区域名]
source-address [源地址] [掩码] //此条可以略
destination-zone [区域名]
destination-address [源地址] [掩码] //此条可以略
service [协议名] //需要放行的协议
action permit //此条策略的动作是放行
复制
防火墙策略命中即转发

一些今天的名词：

ddos攻击防范：ddos攻击就是通过伪造大量不同的mac地址让交换机学习，让交换机无法正常处理其他事情

SPU：防火墙特有的，用于实现防火墙的安全功能

五元组：源/目地址、源/目端口号、协议

ASPF技术：应用包过滤技术，可以根据协议推出应用包内容，根据内容提前生成server-map表项，在流量没有匹配会话表时，可以匹配server-map来处理

ftp无论是主动模式还是被动模式都是client先主动向server发起控制通道连接
ftp的主动模式（port）：server主动向client发起数据通道的连接
ftp被动模式（pasv）：server等待client发起数据通道的连接

0714 防火墙的NAT策略：
NAT转换有两种转换：
源NAT：

no-pat //1对1转化，不节约公网地址，同一时间内只能有一个人上网
pat //指定一个或多个公网地址使PC机可以通过这个公网地址的不同端口进行访问
ease-ip //使用接口的IP作为NAT地址，使PC机可以通过这个公网地址的不同端口进行访问

目标NAT：

server nat //服务器映射

值得注意的是：
如果在防火墙上的是源NAT转换，则防火墙先匹配安全策略，再匹配NAT策略
如果在防火墙上的是目标NAT转换，则防火墙先匹配NAT策略，再匹配安全策略

实验总结概述：
如何做nat：

server nat：
nat server protocol [协议] global [公网地址] [端口] inside [服务器地址] [端口]
复制
pat与no-pat做法：
nat address-group [地址组名]
mode pat
section [初始地址] [结束地址]
nat-policy //进入nat策略，将前一步的地址池应用在nat策略中
source-zone [区域名]
source-address [源地址] [掩码]
destination-zone [区域名]
destination-address [源地址] [掩码] //此步规定什么样的地址允许做NAT转换
action source-nat address-group NAT //应用地址组
//之后就是看需要写安全策略
复制

域内nat做法：
访问需要通过公网地址访问

第一步：将接口划分好所属区域，做好基础配置
第二步：创建一个nat地址池，将地址池的范围规划好，（默认为PAT）
nat server 0 protocol tcp global 204.1.1.1 www inside 172.16.1.2 www
//此步为服务器映射
nat address-group NAT
mode pat
section 0 205.1.1.1 205.1.1.1
第三步：进入nat策略，将前一步的地址池应用在nat策略中
nat-policy
rule name NAT
source-zone dmz
destination-zone dmz
source-address 172.16.1.1 mask 255.255.255.255
destination-address 172.16.1.2 mask 255.255.255.255
//此步规定什么样的地址允许做NAT转换
action source-nat address-group NAT
第四步：设置安全策略，允许地址通过，并说明区域
security-policy
default packet-filter intrazone enable
//设置防火墙区域间流量也检查
rule name NAT
source-zone dmz
destination-zone dmz
source-address 172.16.1.1 mask 255.255.255.255
destination-address 172.16.1.2 mask 255.255.255.255
service http
service tcp
action permit
复制

㈡ 思科防火墙命令行怎么看ip地址

1、查看MAC命令： show mac-address-table。
2、查看IP地址命令：show cdpne de(查看跟这台交换机链接设备的细致信息) 得到该交换机的IP地址。
juniper 防火墙类型有哪些? ——企业回答：JUNIPER我目前用的SSG20,感觉还是很好用滴。要说性价比嘛,感觉还是北京网安睿成科技有限公司的好。北京网安睿成科技有限公司是一家专业从事网络信息安全产品销售、网络安全方案集成及安全咨询服务的科技企业。公司位于中关村德胜科技园区，凭借...
cisco交换机怎么查看本交换机IP地址? —— router(config-if)#ip add 192.168.1.1 255.255.255.0 router(config-if)#no shutdown 谢谢采纳！
思科交换机常用的100个命令—— aptech2950(conf)#ip default-gateway 192.168.254 设置网关地址7：进入交换机某一端口interface fastehernet 0/17 以17 端口为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech29...
求:思科3640交换机查看vlan命令和配置命令和配置以太网接口命令._网络... —— 1、查看vlan命令：Switch#show vlan#查看vlan数据库，vlan信息和所属接口 2、配置VLAN命令（交换机配置VLAN，并给将端口加入到该VLAN为例）：cisco-sw1(config)#vlan 2cisco-sw1(config-vlan)#name testcisco-sw1(...
如何配置Cisco交换机的IP地址—— 如何配置Cisco交换机的IP地址的方法 1. 计算机命令：PCA login: root ;使用root用户 password: linux ;口令是linux shutdown -h now ;同init 0 关机 logout login ifconfig ;显示IP地址ifconfig eth0 netmask ;设置IP...
cisco交换机怎么查看本交换机IP地址? —— 首先，打开“开始”菜单——选择“运行”——输入“cmd”——按下“Enter”回车键，这样做可以打开“命令提示符”，在命令提示符中输入“ipconfig”，按下“Enter”回车键；Ethernet adapter 本地连接：Connection-specific ...
思科怎么查ip地址——IP查交换机端口 进入主交换机1、进入特权模式输入 show arp | inc 192.168.55.225（或者sh arp 192.168.55.225 ）可以看到192.168.55.225 对应的mac地址0023.540d.47ed 2、show mac add | inc xxxx.xxxx.xxxx...
如何查看思科交换机的所有ip地址—— 超级终端或者TELNET、SSH下输入 show arp 就能看到该交换机连接的所有设备的IP地址MAC地址
cisco交换机怎么看mac地址—— 查交换机学习到的mac地址方法有下面几种：一、查看所有MAC地址执行命令display mac-address，查看所有的MAC地址表项。二、查看某个接口学习到的MAC地址执行命令display mac-address dynamic gigabitethernet1/0/1，查看接口GE...
思科交换机怎么查看IP地址对应的端口 —— 通过show ip interface brief 查看当前交换机所有端口的IP地址（三层接口或者vlan接口）通过show arp 查看通信的 arp表项，然后通过show mac address-table 或者show mac-address-table 查看从哪个接口学到的，从而定位IP地址...

㈢ linux查看防火墙配置的命令

方法如下：
1、使用工具，链接Linux系统。
2、输入用户名，和密码，连接到服务器。
3、连接服务器后，输入语句“service iptables status”，回车，会显示防火墙状态。
4、输入语句“chkconfig iptables on”，可以开启防火墙。或者使用语句“chkconfig iptables off”，关闭防火墙，需要重启后生效。
5、如果想要即可生效，可以使用语句“service iptables start”开启防火墙，或者语句“service iptables stop”关闭，关闭或者开启防火墙后，查询防火墙状态，可以看到相应的变化。

㈣ 怎么查看linux防火墙命令行

案
service iptables status可以查看到iptables服务的当前状态。
但是即使服务运行了,防火墙也不一定起作用,你还得看防火墙规则的设置 iptables -L
在此说一下关于启动和关闭防火墙的命令:
1) 重启后生效
开启： chkconfig iptables on
关闭： chkconfig iptables off
2) 即时生效，重启后失效
开启： service iptables start
关闭： service iptables stop

㈤ linux查看防火墙状态命令

linux查看防火墙状态命令方法：

品牌型号：华硕

系统版本：UX30K723A

软件版本：win10

1、打开Linux系统，进入桌面点击菜单栏处的“系统”选项。

㈥ 华为防火墙查看内存命令

displaydevice命令。华为防火墙是一项协助确保信息安全的设备，会依照特定的规则，允许或陵如是限制传输的数据通过，通过displaydevice命令可以查看设备各部件(主控板、单板、风扇、电源等源猜)的尺裂启运行状态及内存CPU的使用率，通常在硬件发生故障时使用。

㈦ 查看linux防火墙状态命令

查看防火墙状态：
[root@centos6 ~]# service iptables status
iptables：未运行防火墙。
开启防火墙：
[root@centos6 ~]# service iptables start
关闭防火墙：
[root@centos6 ~]# service iptables stop

㈧ 安点科技防火墙命令

1、firewalld的基本使用
启动： systemctl start firewalld
查看状态： systemctl status firewalld
禁用，禁止开机启动： systemctl disable firewalld
停止运行： systemctl stop firewalld

2.配置firewalld-cmd
查看版本： firewall-cmd --version
查看帮助： firewall-cmd --help
显示状态： firewall-cmd --state
查看所有打开的端口： firewall-cmd --zone=public --list-ports
更新防火墙规则： firewall-cmd --reload
更新防火墙规则，重启服务： firewall-cmd --completely-reload
查看已激活的Zone信息: firewall-cmd --get-active-zones
查看指定接口所属区域： firewall-cmd --get-zone-of-interface=eth0
拒绝所有包：firewall-cmd --panic-on
取消拒绝状态： firewall-cmd --panic-off
查看是否拒绝： firewall-cmd --query-panic

3.信任级别，通过Zone的值指定
drop: 丢弃所有进入的包，而不给出任何响应
block: 拒绝所有外部发起的连接，允许内部发起的连接
public: 允许指定的进入连接
external: 同上，对伪装的进入连接，一般用于路由转发
dmz: 允许受限制的进入连接
work: 允许受信任的计算机被限制的进入连接，类似 workgroup
home: 同上，类似 homegroup
internal: 同上，范围针对所有互联网用户
trusted: 信任所有连接

4.firewall开启和关闭端口
以下都是指在public的zone下的操作，不同的Zone只要改变Zone后面的值就可以
添加：
firewall-cmd --zone=public --add-port=80/tcp --permanent （--permanent永久生效，没有此参数重态斗晌启后失效）
重新载入：销埋
firewall-cmd --reload
查看：
firewall-cmd --zone=public --query-port=80/tcp
删除：
firewall-cmd --zone=public --remove-port=80/tcp --permanent

5.管理服务
以smtp服务为例， 添加到work zone
添加：
firewall-cmd --zone=work --add-service=smtp
查看：
firewall-cmd --zone=work --query-service=smtp
删除：
firewall-cmd --zone=work --remove-service=smtp

5.配置 IP 地址伪装
查看：
firewall-cmd --zone=external --query-masquerade
打开：
firewall-cmd --zone=external --add-masquerade
关闭：
firewall-cmd --zone=external --remove-masquerade

6.端口转发
打开端口转发，首先需要打开IP地址伪装
firewall-cmd --zone=external --add-masquerade

转发 tcp 22 端口至 3753：
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toport=3753
转发端口数据至另一个IP的相同端口：
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toaddr=192.168.1.112
转发端口数据至帆锋另一个IP的 3753 端口：
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:：toport=3753:toaddr=192.168.1.112

6.systemctl是CentOS7的服务管理工具中主要的工具，它融合之前service和chkconfig的功能于一体。
启动一个服务：systemctl start firewalld.service
关闭一个服务：systemctl stop firewalld.service
重启一个服务：systemctl restart firewalld.service
显示一个服务的状态：systemctl status firewalld.service
在开机时启用一个服务：systemctl enable firewalld.service
在开机时禁用一个服务：systemctl disable firewalld.service
查看服务是否开机启动：systemctl is-enabled firewalld.service
查看已启动的服务列表：systemctl list-unit-files|grep enabled
查看启动失败的服务列表：systemctl --failed

㈨ linux查看防火墙规则的命令

在Linux 系统中可以使用 iptables 命令查看和配置各种防火墙规则。当然了，在配置不同功能的防火墙规则时会带有不同的具体参数。