收藏
下载资源

2022年防火墙配置案例 .pdf

上传人:H****o 文档编号:40344121 上传时间:2022-09-09 格式:PDF 页数:7 大小:819.63KB
返回 下载 相关 举报
2022年防火墙配置案例 .pdf_第1页
第1页 / 共7页
2022年防火墙配置案例 .pdf_第2页
第2页 / 共7页
点击查看更多>>
资源描述

《2022年防火墙配置案例 .pdf》由会员分享,可在线阅读,更多相关《2022年防火墙配置案例 .pdf(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第 1 页 共 7 页综合案例案例 1:路由模式下通过专线访问外网路由模式下通过专线访问外网,主要描述总公司接入网络卫士防火墙后的简单配置,总公司的网络卫士防火墙工作在路由模式下。(提示:用LAN 或者 WAN 表示方式。一般来说,WAN 为外网接口,LAN 为内网接口。)图 1 网络卫士防火墙的路由模式网络状况:总公司的网络卫士防火墙工作在路由模式。Eth1 属于外网区域,IP 为202.69.38.8;Eth2 属于 SSN 区域,IP 为172.16.1.1;Eth0 属于内网区域,IP 为192.168.1.254。网络划分为三个区域:外网、内网和SSN。管理员位于内网中。内网中存在3

2、个子网,分别为192.168.1.0/24,192.168.2.0/24,192.168.3.0/24。在SSN 中有三台服务器,一台是HTTP 服务器(IP 地址:172.16.1.2),一台是 FTP 服务器(IP 地址:172.16.1.3),一台是邮件服务器(IP 地址:172.16.1.4)。用户需求:内网的机器可以任意访问外网,也可访问SSN 中的 HTTP 服务器、邮件服务器和FTP 服务器;外网和 SSN 的机器不能访问内网;允许外网主机访问SSN 的HTTP 服务器。配置步骤:1)为网络卫士防火墙的物理接口配置IP 地址。进入 NETWORK 组件topsec#network

3、 配置 Eth0 接口 IP work#interface eth0 ip add 192.168.1.254 mask255.255.255.0名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 7 页 -第 2 页 共 7 页配置 Eth1 接口 IP work#interface eth1 ip add 202.69.38.8 mask255.255.255.0配置 Eth2 接口 IP work#interface eth2 ip add 172.16.1.1 mask255.255.255.02)内网中管理员通过浏览器登录网络卫士防火墙,为区域资源绑定属性,设置权限。设置内

4、网绑定属性为“Eth0”,权限选择为禁止。设置外网绑定属性为“Eth1”,权限选择为允许。设置 SSN 绑定属性为“Eth2”,权限选择为禁止。3)定义地址资源定义 HTTP 服务器:主机名称设为HTTP_SERVER,IP 为172.16.1.2。定义 FTP 服务器:主机名称设为FTP_SERVER,IP 为172.16.1.3。定义邮件服务器:主机名称设为MAIL_SERVER,IP 为172.16.1.4。定义虚拟 HTTP 服务器:主机名称设为V_SERVER,IP 为202.69.38.10。4)定义地址转换规则内网用户通过源地址转换访问外网转换控制选择“源转换”;源区域选择“内网

5、”;目的区域选择“外网”;服务不选,表示全部服务;源地址转换为“eth1”。外网用户通过目的地址转换访问HTTP 服务器转换控制选择“目的转换”;源区域选择“外网”;目的区域选择“SSN”,目的地址选择“V_SERVER”;服务选择“HTTP”;目的地址转换为“HTTP_SERVER”。5)定义访问规则允许内网用户访问HTTP 服务器源区域选择“内网”;目的区域选择“SSN”,目的地址选择“HTTP_SERVER”;服务选择“HTTP”;访问权限选择“允许”,并启用该规则。允许内网用户访问邮件服务器源区域选择“内网”;目的区域选择“SSN”,目的地址选择“MAIL_SERVER”;服务选择“P

6、OP3”,“SMTP”;访问权限选择“允许”,并启用该规则。允许内网用户访问FTP 服务器源区域选择“内网”;目的区域选择“SSN”,目的地址选择“FTP_SERVER”;服务选择“FTP”;访问权限选择“允许”,并启用该规则允许外网用户访问HTTP 服务器源区域选择“外网”;目的区域选择“SSN”,目的地址选择“HTTP_SERVER”;服务选择“HTTP”;访问权限选择“允许”,并启用该规则6)定义路由为内网用户访问Internet 添加缺省路由目的地址设为“0.0.0.0”;网关地址设为“202.69.38.9”。添加回指路由,为发往内网的数据包指定路由目的地址设为“192.168.0.

7、0”;网关地址设为“192.168.1.10”。名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 7 页 -第 3 页 共 7 页案例 2:混合模式下通过ADSL 拨号访问外网案例 2:混合模式下通过ADSL 拨号访问外网,主要描述分公司网络卫士防火墙的配置,分公司的网络卫士防火墙工作在混合模式下。值得注意的是,分公司是通过ADSL 拨号与外网进行连接的。图 2 网络卫士防火墙的混合模式网络状况:分公司的网络卫士防火墙工作在混合模式。Eth1 为路由接口,属于外网区域,通过路由器与外部网络及 ISP 相连(该接口由 ADSL 拨号获取公网 IP);Eth0 和Eth2 均为交换接口

8、,Eth0 工作在 Trunk 方式下,Eth2 工作在 Access 方式下;Eth0 下连接着 2 个VLAN,VLAN-1 和VLAN-2;Eth3 下连接着1 个VLAN,VLAN-3。VLAN-1 的IP 为192.168.10.1/24;VLAN-2 的IP 为192.168.25.1/24;VLAN-3 的IP 为192.168.95.1/24。管理主机位于VLAN-1 内。用户需求:防火墙通过 ADSL 拨号获取 eth1 的公网 IP 地址。VLAN-1 内的机器可以任意访问外网(NAT 方式),VLAN-2 和VLAN-3 内的机器禁止访问外网,但允许 VLAN-2 访问

9、VLAN-3。外网的机器不能访问VLAN-1 与VLAN-2;外网的机器可以访问VLAN-3。配置步骤:1)通过 CONSOLE 口登录网络卫士防火墙,配置基本信息。进入 network 组件topsec#network 添加 VLAN-1 work#vlan add id 1 配置 VLAN-1 的管理 IP work#interface vlan.0001 ip add 192.168.10.1 mask 255.255.255.0 配置 eth0 接口为交换接口work#interface eth0 switchport mode trunk 设置 eth0 接口属于 VLAN-1 wo

10、rk#interface eth0 switchport trunk allowed-vlan 0001 2)管理员通过 VLAN-1 的管理 IP 登录网络卫士防火墙,并绑定eth1 口和 ADSL 的拨号属性、设置区域名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 7 页 -第 4 页 共 7 页资源及 VLAN。设置区域(外网)绑定属性为“adsl”;权限设为允许访问。添加 VLAN-2 管理 IP 设为“192.168.25.1”,MASK 设为“255.255.255.0”。添加 VLAN-3 管理 IP 设为“192.168.95.1”,MASK 设为“255.255

11、.255.0”。设置 eth0 接口属于 VLAN-2,VLAN 范围设为“1-2”。3)设置接口设置接口 eth2 设置为“交换接口”;接口类型为“access”;VLAN 范围为“3”。4)设置 ADSL 拨号参数设置 ADSL 拨号参数接口设置为“eth1”;用户名和密码根据ISP 服务商提供的参数值进行设置;绑定属性为“adsl”。5)定义访问规则禁止 VLAN-2 用户访问外网源VLAN 选择“VLAN.0002”;目的区域选择“外网”;服务不选,表示全部服务;访问权限选择“拒绝”,并启用该规则禁止 VLAN-3 用户访问外网源VLAN 选择“VLAN.0003”;目的区域选择“外网

12、”;服务不选,表示全部服务;访问权限选择“拒绝”,并启用该规则。允许 VLAN-2 用户访问VLAN-3源VLAN 选择“VLAN.0002”;目的 VLAN 选择“VLAN.0003”;服务不选,表示全部服务;访问权限选择“允许”,并启用该规则。禁止外网用户访问VLAN-1源区域选择“外网”;目的VLAN 选择“VLAN.0001”;服务不选,表示全部服务;访问权限选择“拒绝”,并启用该规则。禁止外网用户访问VLAN-2源区域选择“外网”;目的VLAN 选择“VLAN.0002”;服务不选,表示全部服务;访问权限选择“拒绝”,并启用该规则。6)定义地址转换规则VLAN-1 用户通过源地址转换

13、访问外网:转换控制选择“源转换”;源VLAN 选择“VLAN.0001”;目的区域选择“外网”;服务不选,表示全部服务;源地址转换为“adsl”。7)拨号在防火墙上通过选择网络管理 ADSL 菜单,并点击“开始拨号”按钮进行ADSL 拨号。建立 ADSL 连接成功后,在防火墙的路由表中会增加一条内网用户访问Internet 的路由信息:源为“0.0.0.0/0”;目的为“0.0.0.0/0”;网关地址为 ISP 分配的公网 IP 地址(如:169.254.125.124);接口为与 Eth1 口绑定的 ppp0 口(拨号成功后,系统自动创建了一个ppp0 口)。名师资料总结-精品资料欢迎下载-

14、名师精心整理-第 4 页,共 7 页 -第 5 页 共 7 页案例 3:建立 VPN 隧道建立VPN 隧道,主要介绍在如上所述的网络环境中,如何在总公司与分公司之间建立IPSec VPN 隧道。图 3 网络卫士防火墙的VPN 隧道模式网络状况:总公司防火墙工作在路由模式下,接口Eth1(IP:202.69.38.8)通过路由器与Internet 相连;分公司防火墙工作在混合模式下,接口Eth1 通过路由器与 Internet相连,且 Eth1 口通过 ADSL 拨号获取公网IP。总公司防火墙的Eth0 口与 Eth2 口分别连接公司内网区和SSN 区域,内网区有三个子网:192.168.2.0

15、/24、192.168.3.0/24、192.168.1.0/24。分公司防火墙的Eth0 口与 Eth2 口分别连接内网的三个Vlan:VLAN-1、VLAN-2 和 VLAN-3,其中VLAN-1 的IP 为192.168.10.1/24。用户需求:分公司的 VLAN-1 所在子网 192.168.10.0/24 与总公司子网 192.168.2.0/24 之间建立基于预共享密钥认证的 VPN 通信。配置步骤:1)配置总公司防火墙,具体的配置步骤请参见案例1。2)配置分公司防火墙,具体的配置步骤请参见案例2。下面只描述与建立VPN 隧道有关的操作。3)在总公司防火墙上开放“IPSecVPN

16、”服务开放 IPSecVPN 服务:服务名称为“IPSecVPN”;控制区域为“area_eth1”;控制地址为“any”。4)在分公司防火墙上开放服务开放 IPSecVPN 服务:服务名称为“IPSecVPN”;控制区域为“area_eth1”;控制地址为“any”。名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 7 页 -第 6 页 共 7 页5)在总公司防火墙上绑定虚接口绑定虚接口:虚接口名为“ipsec0”;绑定接口名为“eth1”;接口地址为“202.69.38.8”。6)在分公司防火墙上绑定虚接口绑定虚接口:虚接口名为“ipsec0”;绑定接口名为“eth1”;接口地

17、址为“0.0.0.0”。7)在总公司防火墙上添加静态隧道,隧道参数采用默认设置。添加静态隧道:隧道名:zong-fen IKE 协商模式:主模式认证方式=预共享密钥,密钥=123456 本地标识:202_8 对方标识:0_0 对方地址:0.0.0.0 本地子网:192.168.2.0 本地掩码:255.255.255.0 对方子网:192.168.10.0 对方掩码:255.255.255.0 主动发起协商:是8)在分公司防火墙上添加静态隧道,隧道参数采用默认设置。添加静态隧道隧道名:fen-zong IKE 协商模式:主模式认证方式=预共享密钥,密钥=123456 本地标识:0_0 对方标识

18、:202_8 对方地址:202.69.38.8 本地子网:192.168.10.0 本地掩码:255.255.255.0 对方子网:192.168.2.0 对方掩码:255.255.255.0 主动发起协商:是提示本案例中分公司防火墙采用的是ADSL 拨号的方式,故其IP 设置为 0.0.0.0。如果建立隧道的两台防火墙均为ADSL 环境,则可以通过 DDNS 方式,利用域名来建立隧道。1案例 4:网络情况介绍及应用需求描述:a局域网内共5 个 VLAN,其中 VLAN1 用于网络设备管理,VLAN10、11、12 用于局域网内用户,VLAN20为内部服务器,对应的子网规划:VLAN1:192

19、.168.0.0/24 GW:192.168.0.254 VLAN10:192.168.10.0/24 GW:192.168.10.254 名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 7 页 -第 7 页 共 7 页VLAN11:192.168.11.0/24 GW:192.168.11.254 VLAN12:192.168.12.0/24 GW:192.168.12.254 VLAN20:192.168.20.0/24 GW:192.168.20.254 防火墙内口位于VLAN1,分配 IP 为 192.168.0.253,OA Server 位于 VLAN20,分配 IP

20、 为 192.168.20.250 bSSN 内的服务器对Internet 及内部局域网提供WEB、Email、FTP 服务,内部OA 服务器对局域网用户及分支机构用户提供OA 服务c从 ISP 那里申请到一段61.144.102.0/29 段公网 IP,共 8 个 IP,缺省路由是61.144.102.6,可用 IP有 5 个,分配如下:防火墙外口:61.144.102.1 WEB:61.144.102.2 FTP:61.144.102.3 Email:61.144.102.4 备用:61.144.102.5 其中 SSN 那 3 台服务器的IP 由防火墙实现一对一地址翻译d分支机构与防火墙

21、建立VPN 隧道访问内部OA 服务器:分支机构1、2也安装 VPN 网关直接与防火墙建立Site-to-Site 的 VPN 隧道;ADSL 拨号分支机构与远程移动办公用户采用VPN Client 软件与防火墙建立Client-to-Server 的 VPN隧道。e访问控制需求:VLAN10用户访问 Internet,24 小时允许 POP3、SMTP、DNS 服务,休息时间(周一至五的下午 6 点至次日 9 点、周六周日全天)允许HTTP;VLAN11用户访问 Internet,24 小时允许 HTTP、POP3、SMTP、FTP、DNS;VLAN12用户访问 Internet 及 SSN,24 小时所有服务不限制;所有内部用户及Internet 公网访问 SSN 内 WEB 的 HTTP、Email 的 POP3 和 SMTP、FTP 服务器的 FTP 服务 24 小时不限制;分支机构通过VPN 隧道访问内部OA 服务器 24 小时不限;VLAN10、VLAN11 用户访问 Internet 作带宽限制最高256Kbps,其中 VLAN11优先级稍高;名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页,共 7 页 -

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 技术资料 > 技术总结

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁