大家好,今天来为大家分享h3c交换机配置教程的一些知识点,和acl是在路由器上配置还是交换机的问题解析,大家要是都明白,那么可以忽略,如果不太清楚的话可以看看本篇文章,相信很大概率可以解决您的问题,接下来我们就一起来看看吧。
acl是防火墙上做还是在交换机上做
但是不应该用路由器或交换机的ACL功能替代防火墙,是因为两者的通信控制功能并不相同:路由器和交换机的ACL,事实上起到的是包过滤的通信控制功能,也就是老式的防火墙功能,我们现在普遍使用的是状态检测防火墙,状态检测与包过滤的最大差异在于其处理数据是基于连接还是数据包的。
包过滤防火墙多出来的这条由外网访问内网的规则很容易受到攻击利用,比如示例中的FTP协议回联需要开放大量的端口,万一外网FTP服务器受到了攻击,则内网安全也不堪设想。
我们有必要通过部署专门的防火墙,而不仅仅是依靠路由器或交换机的ACL功能,以实现更加安全可靠的网络控制。
思科设备做NAT应该做在路由器上还是防火墙上比较好
路由器对NAT的支持,不如防火墙,如果两个都有,一般都做在防火墙上;
ASA一般不作透明方式,而且Cisco对透明网桥的支持是在0以后的版本,使用路由方式比较好;
因为你内部有对外服务,建议你把WEB放在DMZ区域,就是将ASA按照外网、内网、DMZ的方式配置。
对于内网如果有多个VLAN,建议VLAN之间的路由,由三层交换机来负责,尽量不要提到防火墙上。
如果你的外网接口是以太网的,可以去掉路由器,其实路由其的主要功能是路由维护和选择,还有一个比较重要的功能就是使用不同的连接线路,如EFrame-Relay等,这时防火墙一般是不会支持的,再有如果有多条路径(多线路)时,一般都需要使用路由器,所以主要看你的线路是什么类型的。
刚才忽略了一个问题,如果接入商只给呢你一个公网IP地址,而且这个地址又是网间地址(也就是你必须设置在你的WAN口),那么NAT的位置就没得选了,只能设置在出口设备上,不管是路由器还是防火墙。
如果你还想了解更多这方面的信息,记得收藏关注本站。
