简体中文

English

简体中文

English

深色模式

防火墙的学习

TIP

学习立成

下班路上

防火墙地址

这个地址组,是方便在策略&对象 - 防火墙策略 中管理。

防火墙策略

注意看,这个流入、流出接口是 防火墙的端口 这是硬性的。源地址,这就是刚才在地址菜单里面设置的预值。

可以有效的接受或者拒绝从某一端口到某一IP地址段的流量,注意!这只是流量,只要你开了 办公网172.20 到监控网 172.29 的策略,那怕只是只能访问一个IP地址,SADP也能将监控网段 172.29的所有监控找到。

内部的端口不用开NAT,他们默认就是NAT的。

如果你要访问外网

  1. 需要在静态路由里,配置网关地址, 0.0.0.0 这是流入的地址, 222.x.x.x 这是网关地址,这一般是运营商光猫的IP地址。

这里提到了运营商的光猫,注意,一边都是30的长度,给了一个model,另一个是可配置的交换机。

静态路由

  1. 就是防火墙策略了

其实如果防火墙只有一个端口,也没问题,流入流出都是同一个而已,配置好限制的IP地址就行。

防火墙策略1

防火墙策略2

最后一条是隐式的,他默认拒绝所有没有配置的策略。

防火墙某段访问外网

如果要访问外网,除了配置好是哪一个端口需要访问 WAN 外,还需要配置好源地址和目的地址,注意!NAT是要打开的,否则无法访问外网。

后记

自定义1

自定义2

我在公司里配置了,办公段无法访问监控段,唯二有我的笔记本和文件服务器可以访问,为了杜绝有小人访问我的监控录像机。只修改账户密码太不解气了,把我当空气呢?不经过我同意就自己找到密码进去看监控了?我直接屏蔽,你登陆页都看不着。

思考

小型监控布局

核心交换机(Layer 3 功能),

一些二层交换机(尤其是汇聚交换机)虽然是二层交换机,但可能具备静态路由或基本的三层路由功能。你可以查看交换机的型号和文档,看看是否具备这种功能。

配置步骤:

  1. 创建 VLAN:

    • 将局域网(例如 192.168.x.x)和监控设备(172.16.x.x)分别放入不同的 VLAN 中。

  2. 配置虚拟接口:

    • 在交换机上配置 VLAN 10 和 VLAN 20 的虚拟接口(SVI),并为每个 VLAN 分配一个 IP 地址。例如:
      • VLAN 10(192.168.x.x):配置为 192.168.10.1。
      • VLAN 20(172.16.x.x):配置为 172.16.20.1。

  3. 启用路由功能:

    • 配置交换机使其能够进行不同 VLAN 之间的路由。这通常是在交换机的配置界面中启用 IP Routing 功能。

  4. 配置路由表:

    • 添加静态路由,确保流量能够从 192.168.x.x 网络到 172.16.x.x 网络。

  5. 测试连接:

    • 从局域网电脑尝试 ping 172.16.x.x 网段的设备,检查是否能成功连接。

海康威视的摄像头,是不是只要连接了家用宽带的网络,开启了萤石功能,手机萤石APP扫码添加后,在外地开流量,也能访问摄像头的实时视频?

是的,海康威视的摄像头如果连接了家用宽带网络,并开启了萤石(EZVIZ)功能,通过萤石APP扫码添加后,即使你在外地使用手机流量,也可以访问摄像头的实时视频。

具体流程如下:

  1. 连接家用宽带:摄像头连接到你家中的路由器或交换机,并且有稳定的网络连接。
  2. 开启萤石功能:在摄像头的设置中开启萤石(EZVIZ)功能,通常需要绑定一个萤石账户,并将摄像头加入到该账户下。
  3. 扫码添加:使用手机的萤石APP扫码添加设备,完成设备注册。
  4. 远程访问:只要手机有流量或外部网络连接,通过萤石APP,你就可以远程访问摄像头的视频流,实时查看。

因为萤石是基于云服务的,摄像头与云端服务器进行通信,所以无论你在外地还是使用不同的网络,都能通过云服务实现访问。

我的监控摄像头IP和录像机和办公电脑都在192.168 段,这样好不好呢?

将监控摄像头、录像机和办公电脑都放在同一个 192.168.x.x 段是常见的做法,尤其是在小型办公室或家庭网络中,这样做可以简化网络配置和管理。但是否“好”还要考虑到一些网络设计和安全性方面的因素。以下是一些优缺点:

优点:

  1. 简化管理:所有设备在同一子网内,互相通信不需要路由器转发,通信延迟较低,配置相对简单。
  2. 方便访问:办公电脑可以直接访问摄像头和录像机,进行实时监控和视频回放。
  3. 网络资源共享:所有设备在同一网络中可以方便地进行资源共享,如文件共享、打印等。

缺点:

  1. 安全性问题:如果将摄像头和录像机与办公电脑放在同一子网内,存在一定的安全风险。摄像头和录像机有时可能会受到网络攻击,如果没有合理的安全防护,攻击者可能通过这些设备入侵到办公电脑或其他设备。
  2. 带宽问题:如果监控视频质量很高,占用带宽较多,可能会影响办公电脑的网络性能,尤其是在高负载时,网络带宽会被大量占用。
  3. 网络隔离不足:如果有其他设备或用户需要访问摄像头视频,可能没有足够的网络隔离。比如某些设备可能不需要访问摄像头,但由于都在同一网络中,可能会造成不必要的访问。

可行的改进:

  1. VLAN划分:你可以考虑将监控摄像头、录像机与办公电脑分开到不同的 VLAN 中,这样可以确保不同类型的设备之间的隔离,提升安全性和管理性。

    • 例如,创建一个专门的监控VLAN(比如 VLAN 10),将摄像头和录像机放在其中;将办公电脑放在另一个VLAN(比如 VLAN 20)。
    • 通过VLAN隔离,办公电脑不会直接与摄像头通信,除非通过路由器或交换机进行专门的访问。这样可以增加一定的安全层级。

  2. 带宽管理:如果带宽是问题,可以考虑设置带宽限制,确保监控视频的流量不会影响办公电脑的使用。

  3. 防火墙和访问控制:可以配置防火墙或访问控制列表(ACLs),限制不同设备之间的访问权限。例如,只有需要监控功能的设备才可以访问录像机,而其他设备无法直接访问。

总的来说,如果你的网络规模不大、设备数量少,直接使用同一子网也可以。但如果你对安全性、管理性或网络性能有更高的要求,使用VLAN进行设备隔离可能是更好的选择。

外链:https://www.hikvision.com/cn/support/ServiceCenter/FAQ/2019102908/

九万字
九万字
黄诗扶
九万字
九万字
黄诗扶