 上传我的文档
 下载
 收藏
该文档贡献者很忙，什么也没留下。
 下载此文档
正在努力加载中...
通信网络-防火墙内网外网IP地址转换
下载积分：800
内容提示：通信网络-防火墙内网外网IP地址转换
文档格式：PPT|
浏览次数：14|
上传日期： 08:53:29|
文档星级：
该用户还上传了这些文档
通信网络-防火墙内网外网IP地址转换
官方公共微信Current position :
Prestige:<span class="cl09" id="prestige_
Bonus&points:<span class="cl09" id="exp_22
Gold&coins:<span class="cl09" id="score_00
Title:Contributor
1#Font Size | Post On
华为防火墙USG5500默认情况下内网能访问外网，外网不能访问内网IP吗？
能通过命令设置内网不能访问外网吗？firewaoll packet-filter default deny interzone local untrust direction outbound和undo&firewall packet-filter default permit interzone local untrust direction outbound两条命令都不起作用，是不是默认就是内可以访外，外不能访内？ 求高手指教
Prestige:<span class="cl09" id="prestige_47
Bonus&points:<span class="cl09" id="exp_054
Gold&coins:<span class="cl09" id="score_4
Title:Staff Engineer
看默认时候是什么策略了.可以查看默认策略..
&USG2110&disp firewall packet-filter default all
Firewall default packet-filter action is:
----------------------------------------------------------------------
& packet-filter in public:
&&& local -& trust :
&&&&& inbound& : default: || IPv6-acl: null
&&&&& outbound : default: || IPv6-acl: null
&&& local -& untrust :
&&&&& inbound& : default: || IPv6-acl: null
&&&&& outbound : default: || IPv6-acl: null
&&& local -& dmz :
&&&&& inbound& : default: || IPv6-acl: null
&&&&& outbound : default: || IPv6-acl: null
&&& trust -& untrust :
&&&&& inbound& : default: || IPv6-acl: null
&&&&& outbound : default: || IPv6-acl: null
&&& trust -& dmz :
&&&&& inbound& : default: || IPv6-acl: null
&&&&& outbound : default: || IPv6-acl: null
&&& dmz -& untrust :
&&&&& inbound& : default: || IPv6-acl: null
&&&&& outbound : default: || IPv6-acl: null
& packet-filter between VFW:&&&&&&&&&&&&&
根据需要放行,如果要开放外网访问内往,
firewall packet-filter default permit interzone trust untrust direction inbount
Prestige:<span class="cl09" id="prestige_
Bonus&points:<span class="cl09" id="exp_22
Gold&coins:<span class="cl09" id="score_00
Title:Contributor
我看到防火墙默认配置 ：内网到外网是deny的，但是内网机器还是ping得通外网IP，使用命令firewall packet-filter default deny interzone trust untrust direction outbound命令也不能让内网访问不了外网，怎么才能让内网访问不了外网呢。如下是防火墙dis firewall packet-fillter default all默认配置：
& & &trust -& untrust :&
&&&&& inbound& : default: || IPv6-acl: null
&&&&& outbound : default: || IPv6-acl: null
Prestige:<span class="cl09" id="prestige_47
Bonus&points:<span class="cl09" id="exp_054
Gold&coins:<span class="cl09" id="score_4
Title:Staff Engineer
你可以把整个防火墙的配置发上来，我怀疑你转发策略那边有配置放行，所以默认就算拒绝了也还是可以访问外网的。
&USG2110&display current-configuration configuration policy-interzone&
可以查看你配置的转发策略。&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
Prestige:<span class="cl09" id="prestige_
Bonus&points:<span class="cl09" id="exp_22
Gold&coins:<span class="cl09" id="score_00
Title:Contributor
我在policy interzone-trust-unstrust-outbound下取消policy 10这个允许内网访问外网的配置后 内网Ping不通外网了，原来这个policy的优先级要高于packet filter defaut deny&trust untrust direction outbound这个命令呀？？Policy是更细分的配置哦 &谢谢你^_^
How to Buy
Quick Links二次元同好交流新大陆
扫码下载App
温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！&&|&&
LOFTER精选
网易考拉推荐
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
阅读(3428)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
在LOFTER的更多文章
loftPermalink:'',
id:'fks_',
blogTitle:'防火墙如何设置 可以让内网使用外网IP访问内网服务器',
blogAbstract:'题目有点绕，不过真是把我难住了，望各位帮忙吧公司有两台服务器托管在IDC机房，一台是oa的应用服务器，一台是oa数据服务器，内网IP分别为192.168.1.6和7，通过华为100E防火墙NAT映射到公网IP对应为2.2.2.6和7（例子），在我们公司或者家里可以正常通过2.2.2.6这个外网ip访问服务器，在机房里无法通过外网IP访问，只能用内网IP192.168.1.6访问，现在由于业务需要，需要在机房内部也能使用外网IP2.2.2.6访问服务器，不知道在防火墙上如何配置才可以实现，跪求大家帮忙解决\r\n&\r\n方法1：域名重定向。 不知道你的设备支持不 。 让你内网的电脑访问那个域名& 通过出口设备 做dns重定向 指向内网这个电脑 。方法二：换设置，你的那个华为不支持地址回访，意思就是内网电脑访问这个内网的公网可以返回。 这样是特别的设备支持的 。 ',
blogTag:'',
blogUrl:'blog/static/',
isPublished:1,
istop:false,
modifyTime:0,
publishTime:2,
permalink:'blog/static/',
commentCount:0,
mainCommentCount:0,
recommendCount:0,
bsrk:-100,
publisherId:0,
recomBlogHome:false,
currentRecomBlog:false,
attachmentsFileIds:[],
groupInfo:{},
friendstatus:'none',
followstatus:'unFollow',
pubSucc:'',
visitorProvince:'',
visitorCity:'',
visitorNewUser:false,
postAddInfo:{},
mset:'000',
remindgoodnightblog:false,
isBlackVisitor:false,
isShowYodaoAd:true,
hostIntro:'',
hmcon:'1',
selfRecomBlogCount:'0',
lofter_single:''
{list a as x}
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人：
{list a as x}
{if !!b&&b.length>0}
他们还推荐了：
{list b as y}
转载记录：
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}内网用户如何通过本地服务器公网域名(公网IP)访问外网的解决方法
一、内网访问外网结构示意图在现在的很多企业或部门网络中,内服务器很多时候都是和本地局域网的用户放在一个安全区域中的,服务器大多都是需要对公网提供访问服务的,通常都是在防火墙上通过NAT SERVER命令将内网服务器映射到公网上去,为外网的用户提供服务功能。但是,在这种情况下,如果我们的内网用户也需要通过公网域名或者公网IP访问内网服务器的话,就会发现连接出现问题,根本无法访问。二、原因分析因为内网用户向服务器发起连接的时候,数据包的目的地址是服务器的公网IP,源地址是内网用户的私网IP地址,当数据流被发送到防火墙上(网关),此时数据包的目的IP就被NAT SERVER转换成服务器的真实私网IP,源IP则保持不变,防火墙将数据包转给服务器后,服务器回包时会向此时数据包中的源IP(用户私网IP)进行回复,由于是同一个LAN,服务器和用户PC之间私网地址是直接可达的,所以服务器在回包时就不经过防火墙直接通过服务器私网IP向用户发送信息...&
(本文共1页)
权威出处：
一、P2P应用现状及给运营商带来的问题1、P2P应用现状近年,P2P应用已经成为互联网上最流行的一种应用,成为宽带应用的主要驱动力,其影响力涉及经济、文化及社会各层面。P2P下载歌曲、电影数量远远超过商店购买。P2P应用目前是以交换电影、音乐、游戏软件等大文件为主,用户下载的文件中90%是电影、音乐、软件。长时间地占用了我们运营商大量的带宽。当前用于文件共享的P2P协议种类很多,在美国大量使用的是KaZaA,在欧洲存在大量用户的是eDonkey和WinMx,在我国使用最频繁的是BitComet,BitTor-rent和E其它常用的P2P协议还有如FastTrack、Grokster、Groove、Gnutella等,Skype也是一种P2P协议的软件。在中国,P2P流量占到网络出口带宽的60%-80%,其中BT流量最多。从P2P应用上看,P2P应用已经从以前的单一的大文件下载单一应用转变为新的多媒体应用,例如P2P直播...&
(本文共3页)
权威出处：
本文可以学到1内网建站的完整方案2出差如何访问内网资源意气风发,挥斥方遒,小A毕业后并没有选择父母托关系搞定的“铁饭碗”,而是和三五个同学一起成立了北京锐意创新科技公司。公司成立之初,百业待兴,用钱的地方很多,所以小A他们选择了ADSL宽带上网的方式,将办公室的局域网接入了公网。虽然方便了查找资料和与客户交流,但是因为没有公网IP地址,他们始终没有办法将公司网站推广出去,这令他们非常遗憾。后来在高人的点拨之下,找到了内网建站,公网发布的方法,终于让公司网站走出了“关”门,这让他们心里乐开了花。实例2:出门在外,也可以随时随地访问内网的办公系统对于商务族、办公族来说,手提笔记本电脑穿梭于城际之间出差、访问、讲学是最为经常不过的了。那么,如何能让本本随时随地访问公司的内部网络,特别是办公系统呢?第一步:首先下载安装绿色的Clientmate客户端(下载地址:.cn/wlt/client...&
(本文共1页)
权威出处：
0引言随着互联网的普及,网络安全问题日益严重.近年来网络攻击方式开始从外部攻击向内部攻击转化,资料显示,在全球范围内损失5万美元以上的攻击中,有70%是来自内部用户攻击[1].内部用户拥有合法身份,可以轻易的绕过防火墙和IDS的监控,进行非法的操作.因此,对内网用户的行为审计是十分必要的.目前,国内外对用户行为审计也做了一定的研究,并有多种系统已经投入使用.但是总体上讲,各种审计系统的瓶颈在于如何高效分析审计数据,得出合理的行为模式,提高异常检测准确率[2].本文主要针对传统的用户行为审计模型智能性低,集中式结构审计负担重的缺陷,提出了一种基于Agent的分布式内网用用户行为审计模型.采用三级Agent结构,并融入了改进的遗传算法(IGA)的神经网络分析,最终实现对用户行为数据的分布采集,过滤传输和智能审计.1三级Agent用户行为审计模型框架内网用户的非法操作一般较隐蔽,复杂且易变化.不同用户的行为不同,同一用户在不同时间的行...&
(本文共4页)
权威出处：
随着网络的快速发展，网络结构的不断扩大和复杂化，信息的安全问题也日益严峻。如何保障信息安全已经引起政治、经济及社会各界的广泛关注。由于目前防火墙和IDS体系的研究已经较成熟，对于来自外网的攻击可以起到很好的防御作用，而近年来，网络攻击开始从外部攻击向内部攻击转化。内部攻击具有一般性和隐蔽性，可以轻易的绕过防火墙和IDS的监控，比病毒和黑客等外网攻击更难防范，且造成的损失更大。导致内网不安全的一个重要因素就是内部用户行为，而内部用户行为往往被默认是安全的，因此，保障内网安全，对内网用户行为的审计至关重要。论文归纳了内网用户行为存在的一些特点，总结了异常行为的表现形式，结合BP算法的局部精确搜索和遗传算法的全局搜索能力，提出了一种基于遗传神经网络的内网用户行为审计模型。与传统安全审计模型不同之处是本模型采集的审计数据不是传统的来自网络的数据，而是实际的用户行为数据，并对遗传算法的交叉算子进行了适当的改进，摒弃传统采用固定交叉率的算法...&
(本文共57页)
权威出处：
互恕店瓤蜜雪鬓羹拿颧户派共黑碧篡耀鬓{桨髦紧督彗黔男舒羚典活篡嘿嚣笔氯篡篡箕攀薯蕊…滋热华佣于架设虚拟日日3,并且由于虚拟HUB华责大量数据的转发这合电脑的配置还干能太差。因此,下面椰VNN为主J为您介绍如何通过软件,使其他互联网用户能够与您在内网的电脑连接。井芍装。在Windows2000/XP/ZO03操作系统上安装VNN,您必须使用管理员账户或者其他具备管理员权限的账户。一V洲的安装步骤非常简单一开始安装向导将提示您选择使用何种语言一般情况下,安装程序能够自动识别当前操作系统的语言单击一确定一继续即可。接下来只需按照安装向导的提示同意软件的授权声明沪一步一步继续即可完成安装。惟一需要注意的是冲口果您的系统是姻nd0WsZ。。3那么在安装向导开始拷贝文件后,系统将弹出一三{藻芡噪器;淤鑫仍然继续一按钮继续安在Window匕98/Me装歇上安可。_装VNN考…解{邻称蒸 回到Wi叫oW“桌面我们还需摹手动安蠢黔弋霎篡撬翼靡嚣窦...&
(本文共4页)
权威出处：
扩展阅读：
CNKI手机学问
有学问，才够权威！
出版：《中国学术期刊（光盘版）》电子杂志社有限公司
地址：北京清华大学 84-48信箱 知识超市公司
互联网出版许可证 新出网证(京)字008号
京ICP证040431号
服务咨询：400-810--9993
订购咨询：400-819-9993
传真：010-查看: 6633|回复: 8
端口映射后如何在内网通过外网IP访问内部服务器？
在线时间 小时
阅读权限20
如题，有内部WEB服务器，我知道通过端口映射后，外部通过路由器外部接口就可以访问，内部通过内部地址也可以访问。但是如何在内部通过外网接口地址访问呢？
在线时间 小时
阅读权限70
回帖奖励 +1
请阅读此篇文章，定能解答你的问题。
在线时间 小时
阅读权限70
在线时间 小时
阅读权限30
在线时间 小时
阅读权限50
二楼好牛X。。问题一下解决。。
提示: 作者被禁止或删除 内容自动屏蔽
在线时间 小时
阅读权限20
谢谢哈，好久没来看看了，太棒了，感谢楼主
在线时间 小时
阅读权限50
看看这资料。。。。。
在线时间 小时
阅读权限10
思科防火墙环境解决：
在原有防火墙配置的基础上，加上如下命令：
1、same-security-traffic permit intra-interface
2、global (inside) 1 interface
3、static (inside,inside) 222.222.222.222 192.168.1.8&&netmask 255.255.255.255&&（222.222.222.222替换为公网ip）
以上命令输入后，思科防火墙内网环境即可使用公网ip来访问内网的应用，这是我亲身配置过的
以下为思科路由器环境解决思路：
1、内网中需要有三层交换机或者在公网路由器之外内网还有一台三层设备比如路由器。
2、服务器上除了内网ip之外，新增一个ip，新增的ip为公网ip
3、内网的三层设备上做静态路由，指明去往该公网ip的下一跳为该服务器的内网ip，比如222.222.222.222的下一跳为内网服务器192.168.1.100. 这样当内网其他pc输入公网ip或者域名来访问时，三层设备会将数据直接送到内网服务器的内网ip，服务器一看这公网ip不就是自己吗，于是会接收数据并作出回应，而不会直接丢弃（因为已经给该服务器新增了一个公网ip，对内网不会造成任何影响，并且能迂回解决内网访问公网ip的问题）
Powered by}