防火墙基础配置,华为防火墙区域划分及安全策略配置
大家好,这里是关于[服务器IP默认页,默认网站设置,禁止空主机头网站],[防火墙基础配置,华为防火墙区域划分及安全策略配置]问题的解答,希望对您有所帮助。如果你还想了解更多这方面的信息,请关注本站其他相关内容,共同学习吧!
文章目录
服务器IP默认页,默认网站设置,禁止空主机头网站
教程大全IIS,nginx,Tomcat,宝塔linux面板,服务器默认网站,空主机头
服务器IP默认页,默认网站设置,禁止空主机头网站
写这篇教程是因为很多服务器IP访问会直接访问到业务网站,这对网站来说是一个挺大的隐患。
不禁止空主机头IP直接访问,别人如果把域名直接指向你的服务器,那访问他的域名就会出现你网站的内容。国内很多机房是禁止空主机头的,因为有可能让未备案的域名访问到网站。
下面说下怎么防止浏览器访问IP直接访问到服务器网站。
宝塔Linux面板
宝塔Linux面板,如果你网站域名列表没有填入IP的话,访问IP默认是提示一个找不到该站点的提示。这种其实没必要设置了。
想要设置个默认站点的话,就创建一个站点,里面跟正常搭建网站一样,内容搞成你想显示的内容。然后在域名里全部填入IP即可。
Windows IIS
IIS默认有一个网站,那个就是默认页,一般来说,如果你新创建的网站,不绑定IP的话,默认访问IP都是访问到默认站点。
下图这个就是IIS的默认页
IIS默认站点的绑定里面IP是全部未分配,我们新创建的站点,默认也是全部未分配,建议不要更改IP设置。
即便是站群多IP服务器也建议不要更改,你只需要把域名解析到对应的IP,访问域名自然访问到了对应IP。不需要在这里绑定。在这里绑定基本是画蛇添足的操作。
Linux服务器-自编译Nginx
Nginx默认的虚拟主机允许用户经过IP访问,或者经过未设置的域名访问(比如有人把他本人的域名指向了你的ip)你的服务器。
默认情况下,只要将域名解析到服务器的IP上,就可以访问安装Nginx的服务器。
如果想避免这种情况的出现,可以修改nginx.conf ,将默认的虚拟主机修改为如下即可屏蔽未绑定域名访问:
server {
listen 80 default;
return 500;
}
也可以把这些流量收集起来,导进到本人的网站,只需做以下跳转设置就可以:
server {
listen 80 default;
rewrite ^(.*) http://www.cheshirex.com permanent;
}
以此类推, 禁止通过IP访问,可以写成:
server {
listen 80 default;
server_name _;
return 500;
}
Tomcat
tomcat默认也是显示他的欢迎页
不熟悉Tomcat没有用过这个,也没现成的Tomcat环境来做演示,所以大家自己看下他的配置文件来设置下默认网站。
防火墙基础配置,华为防火墙区域划分及安全策略配置
一、防火墙拓扑
二、配置需求
1、通过配置实现PC1属于信任Trust区域,Server属于Dmz,PC2属于Untrust区域
2、配置防火墙安全策略实现PC1可以访问服务器及互联网PC2
3、进行测试验证
三、防火墙配置
1、防火墙安全区域接口配置
[USG6000V1-GigabitEthernet1/0/1] ip address 172.16.10.254 255.255.255.0//dmz区域网关
[USG6000V1-GigabitEthernet1/0/2] ip address 202.202.202.254 255.255.255.0//出口互联
interface GigabitEthernet1/0/0
ip address 192.168.10.254 255.255.255.0 //trust区域PC1的网关
service-manage https permit//接口允许ping,默认接口禁止ping
[USG6000V1]firewall zone trust //配置防火墙区域trust将接口0/0/0和0/0/1加入trust
[USG6000V1-zone-trust]add interface GigabitEthernet 0/0/0
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0
[USG6000V1]firewall zone dmz//将G1/0/1接口加入dmz区域
[USG6000V1-zone-dmz] add interface GigabitEthernet1/0/1
[USG6000V1]firewall zone untrust//将G1/0/2接口加入untrust区域
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/2
注意事项:
涉及到防火墙,如果防火墙接口没有加入安全区域同时放行ping,则接口无法ping通
防火墙接口G1/0/0既加入安全区域Trust,又同时放行ping,因此PC1可以正常ping通接口
(缺一不可的)
2、防火墙安全策略配置
此时PC1只可以ping通自己的网关,但是无法ping通服务器和互联网
防火墙默认安全策略是禁止区域间访问,因此我们需要配置允许区域间访问
1)、配置允许Trust区域ping通DMZ服务器区域
我们通过安全策略配置使用源目IP方式进行配置:
[USG6000V1]security-policy //安全策略配置
[USG6000V1-policy-security] rule name trust_dmz//创建访问规则
[USG6000V1-policy-security-rule-trust_dmz] source-address 192.168.10.1 0.0.0.0
//配置安全策略的源地址
[USG6000V1-policy-security-rule-trust_dmz] destination-address 172.16.10.0 mask
255.255.255.0 //配置安全策略的目的地址段
[USG6000V1-policy-security-rule-trust_dmz] service icmp //配置服务为icmp
[USG6000V1-policy-security-rule-trust_dmz] action permit//配置执行动作为permit
2)、测试PC1可以ping通服务器
3)、配置允许Trust区域ping通Untrust互联网区域
我们通过安全策略配置使用源目安全区域的方式进行配置:
[USG6000V1]security-policy //配置安全策略
[USG6000V1-policy-security-rule-trust_dmz] rule name tust_untrust//配置规则名字
[USG6000V1-policy-security-rule-tust_untrust] source-zone trust//配置安全策略源安全区域
[USG6000V1-policy-security-rule-tust_untrust] destination-zone untrust//配置安全策略目的安全区域
[USG6000V1-policy-security-rule-tust_untrust] service icmp//配置服务
[USG6000V1-policy-security-rule-tust_untrust] action permit//配置执行服务为允许
4)、测试PC1可以ping通互联网
5)、查看防火墙会话表项
[USG6000V1]display firewall session table//可以查看PC1与Dmz和Untrust通信会话表项
icmp VPN: public --> public 192.168.10.1:65381 --> 172.16.10.1:2048
icmp VPN: public --> public 192.168.10.1:64101 --> 202.202.202.1:2048
总结: 以上配置演示我们通过两种方式实现基本的防火墙安全策略配置
第一种我们通过安全策略配置源目IP方式实现
第二种我们通过安全策略配置源目安全区域方式实现
1. 带 [亲测] 说明源码已经被站长亲测过!
2. 下载后的源码请在24小时内删除,仅供学习用途!
3. 分享目的仅供大家学习和交流,请不要用于商业用途!
4. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
5. 本站所有资源来源于站长上传和网络,如有侵权请邮件联系站长!
6. 没带 [亲测] 代表站长时间紧促,站长会保持每天更新 [亲测] 源码 !
7. 盗版ripro用户购买ripro美化无担保,若设置不成功/不生效我们不支持退款!
8. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
9. 如果你也有好源码或者教程,可以到审核区发布,分享有金币奖励和额外收入!
10.如果您购买了某个产品,而我们还没来得及更新,请联系站长或留言催更,谢谢理解 !
GG资源网 » 防火墙基础配置,华为防火墙区域划分及安全策略配置
