9,506
社区成员
发帖
与我相关
我的任务
分享菜鸟求助防火墙,dmz和内网的设置
adsl(带路由)、硬件防火墙、web服务器、mail服务器各一部,现在想把它设成带有dmz和内网的区分,sql服务器放在内网,但有几个问题想不通。
1.adsl modem可做简单的防火墙吗?
2.硬件防火墙应该放在那个位置?
3.一般来说dmz的服务器不可访问内网机器,但这样的话如何使web服务器访问到内网的sql服务器呢?
4.我看有些拓扑图上dmz和内网都是连接到同一个硬件防火墙上的,但我就搞不明白这样连接,硬件防火墙能支持划分不同网段吗?
菜鸟一个,可能问题都问得不清楚,但还是恳请大家不吝赐教!
1.adsl modem可做简单的防火墙吗?
2.硬件防火墙应该放在那个位置?
3.一般来说dmz的服务器不可访问内网机器,但这样的话如何使web服务器访问到内网的sql服务器呢?
4.我看有些拓扑图上dmz和内网都是连接到同一个硬件防火墙上的,但我就搞不明白这样连接,硬件防火墙能支持划分不同网段吗?
菜鸟一个,可能问题都问得不清楚,但还是恳请大家不吝赐教!
...全文
请发表友善的回复…
发表回复
fbing7 2003-09-18
- 打赏
- 举报
adsl的MODEM即使是带路由功能的也没有可能设置DMZ区的.
用一种很便宜的HIPER路由器就可以实现的.e而且还有带宽管理的功能.
通过ISP—博路电信宽带512K的接入,为了保证VOIP的使用带宽确保话音质量的稳定,决定采用HiPER路由器特有的CBQ功能来对带宽进行管理。现对带宽的分配情况是这样的:VOIP使用152K、其他上网用360K同时在VOIP带宽没有使用的情况下其他上网不能使用它的带宽,而VOIP在带宽不够的情况下可以借上网的带宽。
以下是路由器的配置及解析
set interface ethernet/1 ip address 192.168.0.254
set interface ethernet/1 cbq enable yes
set interface ethernet/1 cbq dev eth1
set interface ethernet/1 cbq parent root
set interface ethernet/1 cbq handle 50:
set interface ethernet/1 cbq bandwidth 1310720
set interface ethernet/1 cbq avpkt 1400
set interface ethernet/2 ip address 211.148.157.110
set interface ethernet/2 ip netmask 255.255.255.252
set interface ethernet/3 ip address 211.148.157.161
set interface ethernet/3 ip netmask 255.255.255.240
set ip nat routing enabled
new ip nat static/telnet
set ip nat static/telnet protocol TCP
set ip nat static/telnet dstPort 23
set ip nat static/telnet localAddress 192.168.0.254
set ip nat static/telnet localPort 23
new ip nat binding/a
set ip nat binding/a profile eth2
set ip nat binding/a exIpAddr 211.148.157.161
set ip nat binding/a exNetmask 255.255.255.240
set ip route static/Default gateway 211.148.157.109
set ip dns priServer 202.96.128.68
set system admin/Default passwd uttdg
new cbq class/1
set cbq class/1 dev eth1
set cbq class/1 parent 50:
set cbq class/1 classid 50:1
set cbq class/1 rate 65536
set cbq class/1 bounded yes
set cbq class/1 prio 8
set cbq class/1 avpkt 1400
set cbq class/1 tqdisc CBQ
new cbq class/aa
set cbq class/aa dev eth1
set cbq class/aa parent 50:1
set cbq class/aa classid 50:100
set cbq class/aa rate 46084
set cbq class/aa bounded yes
set cbq class/aa prio 5
set cbq class/aa avpkt 1400
set cbq class/aa tqdisc CBQ
new cbq filter/90
set cbq filter/90 dev eth1
set cbq filter/90 parent 50:
set cbq filter/90 classid 50:100
set cbq filter/90 priority 100
set cbq filter/90 protocol ip
set cbq filter/90 prototype IP
set cbq filter/90 dip 192.168.0.254
set cbq filter/90 dipmask 255.255.255.0
解析
//在端口上启用CBQ
!在第一个以太网端口上启用CBQ
set interface ethernet/1 cbq enable yes
!设置CBQ设备接口名称为eth1
set interface ethernet/1 cbq dev eth1
!设置ethernet/1是设备,无父类
set interface ethernet/1 cbq parent root
!设置标识50:用来表示自己
set interface ethernet/1 cbq handle 50:
!设置ethernet/1上总带宽为10M(单位:字节;10Mbps=10*1024*1024/8=1310720字节)
set interface ethernet/1 cbq bandwidth 1310720
!设置ethernet/1上平均包长度为1400字节
set interface ethernet/1 cbq avpkt 1400
//CBQ策略设置
!新建CBQ策略1
new cbq class/1
!设置此策略属于接口eth1
set cbq class/1 dev eth1
!设置该类的标识50:1
set cbq class/1 classid 50:1
!设置此类是父类50:0的子类
set cbq class/1 parent 50:0
!设置该类数据带宽为512Kbps,此处为上网的总带宽
(单位:字节;512Kbps=512*1024/8=65536字节)
set cbq class/1 rate 65536
!限制此带宽最大值为这类设置的总带宽(即使其他类有带宽剩余,也不借用其他类的带宽)
set cbq class/1 bounded yes
!此类的优先级(值越低优先级越高)
set cbq class/1 prio 8
!设置此类上平均包长度为1400字节
set cbq class/1 avpkt 1400
!该类的队列特性为CBQ
set cbq class/1 tqdisc CBQ
!新建CBQ策略aa
new cbq class/aa
!设置此策略属于接口eth1
set cbq class/aa dev eth1
!设置该类的标识50:100
set cbq class/aa classid 50:100
!设置此类是父类50:1的子类
set cbq class/aa parent 50:1
!设置该类数据带宽为360k,此处为上网的总带宽
(单位:字节;360k=360*1024/8=46084字节)
set cbq class/aa rate 46084
!限制此带宽最大值为这类设置的总带宽(即使其他类有带宽剩余,也不借用其他类的带宽)
set cbq class/aa bounded yes
!设置本带宽不是单独使用(在此类的带宽不使用时可以借给其他类使用)
set cbq class/aa isolated no
!此类的优先级(值越低优先级越高)
set cbq class/aa prio 5
!设置此类上平均包长度为1400字节
set cbq class/2 avpkt 1400
!该类的队列特性为CBQ
set cbq class/2 tqdisc CBQ
//定义匹配CBQ策略的Filter策略
!新建Filter的策略1
new cbq filter/90
!设置此策略属于接口eth1
set cbq filter/90 dev eth1
!设置此策略的从属于设备50:0
set cbq filter/90 parent 50:0
!设置此策略的优先级为100(值越低优先级越高)
set cbq filter/90 priority 100
!设置检查的数据包类型为IP数据包
set cbq filter/90 protocol ip
!设置此策略过滤IP数据包
set cbq filter/90 prototype IP
!设置匹配此策略的目的IP地址
set cbq filter/1 dip 192.168.0.254
set cbq filter/1 dipmask 255.255.255.0
!设置此Filter策略匹配的CBQ策略是50:100
set cbq filter/1 classid 50:100
以上是对CBQ的解析,在这里我们没有规定VOIP的带宽,主要是通过控制上网的带宽而剩下的就是VOIP的带宽
用一种很便宜的HIPER路由器就可以实现的.e而且还有带宽管理的功能.
通过ISP—博路电信宽带512K的接入,为了保证VOIP的使用带宽确保话音质量的稳定,决定采用HiPER路由器特有的CBQ功能来对带宽进行管理。现对带宽的分配情况是这样的:VOIP使用152K、其他上网用360K同时在VOIP带宽没有使用的情况下其他上网不能使用它的带宽,而VOIP在带宽不够的情况下可以借上网的带宽。
以下是路由器的配置及解析
set interface ethernet/1 ip address 192.168.0.254
set interface ethernet/1 cbq enable yes
set interface ethernet/1 cbq dev eth1
set interface ethernet/1 cbq parent root
set interface ethernet/1 cbq handle 50:
set interface ethernet/1 cbq bandwidth 1310720
set interface ethernet/1 cbq avpkt 1400
set interface ethernet/2 ip address 211.148.157.110
set interface ethernet/2 ip netmask 255.255.255.252
set interface ethernet/3 ip address 211.148.157.161
set interface ethernet/3 ip netmask 255.255.255.240
set ip nat routing enabled
new ip nat static/telnet
set ip nat static/telnet protocol TCP
set ip nat static/telnet dstPort 23
set ip nat static/telnet localAddress 192.168.0.254
set ip nat static/telnet localPort 23
new ip nat binding/a
set ip nat binding/a profile eth2
set ip nat binding/a exIpAddr 211.148.157.161
set ip nat binding/a exNetmask 255.255.255.240
set ip route static/Default gateway 211.148.157.109
set ip dns priServer 202.96.128.68
set system admin/Default passwd uttdg
new cbq class/1
set cbq class/1 dev eth1
set cbq class/1 parent 50:
set cbq class/1 classid 50:1
set cbq class/1 rate 65536
set cbq class/1 bounded yes
set cbq class/1 prio 8
set cbq class/1 avpkt 1400
set cbq class/1 tqdisc CBQ
new cbq class/aa
set cbq class/aa dev eth1
set cbq class/aa parent 50:1
set cbq class/aa classid 50:100
set cbq class/aa rate 46084
set cbq class/aa bounded yes
set cbq class/aa prio 5
set cbq class/aa avpkt 1400
set cbq class/aa tqdisc CBQ
new cbq filter/90
set cbq filter/90 dev eth1
set cbq filter/90 parent 50:
set cbq filter/90 classid 50:100
set cbq filter/90 priority 100
set cbq filter/90 protocol ip
set cbq filter/90 prototype IP
set cbq filter/90 dip 192.168.0.254
set cbq filter/90 dipmask 255.255.255.0
解析
//在端口上启用CBQ
!在第一个以太网端口上启用CBQ
set interface ethernet/1 cbq enable yes
!设置CBQ设备接口名称为eth1
set interface ethernet/1 cbq dev eth1
!设置ethernet/1是设备,无父类
set interface ethernet/1 cbq parent root
!设置标识50:用来表示自己
set interface ethernet/1 cbq handle 50:
!设置ethernet/1上总带宽为10M(单位:字节;10Mbps=10*1024*1024/8=1310720字节)
set interface ethernet/1 cbq bandwidth 1310720
!设置ethernet/1上平均包长度为1400字节
set interface ethernet/1 cbq avpkt 1400
//CBQ策略设置
!新建CBQ策略1
new cbq class/1
!设置此策略属于接口eth1
set cbq class/1 dev eth1
!设置该类的标识50:1
set cbq class/1 classid 50:1
!设置此类是父类50:0的子类
set cbq class/1 parent 50:0
!设置该类数据带宽为512Kbps,此处为上网的总带宽
(单位:字节;512Kbps=512*1024/8=65536字节)
set cbq class/1 rate 65536
!限制此带宽最大值为这类设置的总带宽(即使其他类有带宽剩余,也不借用其他类的带宽)
set cbq class/1 bounded yes
!此类的优先级(值越低优先级越高)
set cbq class/1 prio 8
!设置此类上平均包长度为1400字节
set cbq class/1 avpkt 1400
!该类的队列特性为CBQ
set cbq class/1 tqdisc CBQ
!新建CBQ策略aa
new cbq class/aa
!设置此策略属于接口eth1
set cbq class/aa dev eth1
!设置该类的标识50:100
set cbq class/aa classid 50:100
!设置此类是父类50:1的子类
set cbq class/aa parent 50:1
!设置该类数据带宽为360k,此处为上网的总带宽
(单位:字节;360k=360*1024/8=46084字节)
set cbq class/aa rate 46084
!限制此带宽最大值为这类设置的总带宽(即使其他类有带宽剩余,也不借用其他类的带宽)
set cbq class/aa bounded yes
!设置本带宽不是单独使用(在此类的带宽不使用时可以借给其他类使用)
set cbq class/aa isolated no
!此类的优先级(值越低优先级越高)
set cbq class/aa prio 5
!设置此类上平均包长度为1400字节
set cbq class/2 avpkt 1400
!该类的队列特性为CBQ
set cbq class/2 tqdisc CBQ
//定义匹配CBQ策略的Filter策略
!新建Filter的策略1
new cbq filter/90
!设置此策略属于接口eth1
set cbq filter/90 dev eth1
!设置此策略的从属于设备50:0
set cbq filter/90 parent 50:0
!设置此策略的优先级为100(值越低优先级越高)
set cbq filter/90 priority 100
!设置检查的数据包类型为IP数据包
set cbq filter/90 protocol ip
!设置此策略过滤IP数据包
set cbq filter/90 prototype IP
!设置匹配此策略的目的IP地址
set cbq filter/1 dip 192.168.0.254
set cbq filter/1 dipmask 255.255.255.0
!设置此Filter策略匹配的CBQ策略是50:100
set cbq filter/1 classid 50:100
以上是对CBQ的解析,在这里我们没有规定VOIP的带宽,主要是通过控制上网的带宽而剩下的就是VOIP的带宽
sungod8 2003-09-18
- 打赏
- 举报
能回答的在这里告诉你,不能的自己查资料吧.
1.adsl modem无法用于防火墙,一般最多带有路由功能而已
2.硬件防火墙当然处于INTERNET和INTRANAT之间
3.DMZ区域里的服务器可以用单网卡多IP的方法来访问内网的服务器,当然内网的服务器如果也有公网IP的话,就不用设多个IP了.
4.一般硬件防火墙支持INTERNET ,INTRANAT ,DMZ ,IDS,其中DMZ里的服务器是不受防火墙保护的.
什么是DMZ,(Trust,UnTrust)?
DMZ(非军事区)=Untrust(非信任区),与军事区和信任区相对应。非信任区,作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。
1.adsl modem无法用于防火墙,一般最多带有路由功能而已
2.硬件防火墙当然处于INTERNET和INTRANAT之间
3.DMZ区域里的服务器可以用单网卡多IP的方法来访问内网的服务器,当然内网的服务器如果也有公网IP的话,就不用设多个IP了.
4.一般硬件防火墙支持INTERNET ,INTRANAT ,DMZ ,IDS,其中DMZ里的服务器是不受防火墙保护的.
什么是DMZ,(Trust,UnTrust)?
DMZ(非军事区)=Untrust(非信任区),与军事区和信任区相对应。非信任区,作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。
Troip 2003-09-18
- 打赏
- 举报
up!
