《Amaranten防火墙配置培训2(PPT66页).ppt》由会员分享,可在线阅读,更多相关《Amaranten防火墙配置培训2(PPT66页).ppt(66页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第八章节第八章节透明模式透明模式 什么是透明模式什么是透明模式什么是透明模式什么是透明模式防火墙工作于透明模式的时候不需要修改原有的网络中的路由和主机配置防火墙工作在透明模式时同样可以实现所有的功能(如包过滤、代理、NAT 等),毫不损失任何功能及性能阿姆瑞特F 系列防火墙的透明工作模式基于Proxy ARP 技术Proxy ARPProxy ARPARP代理代理路由器一端那些不知道已经划分了子网的主机试图直接将数据发送给目标主机,而目标主机位于路由器的另外一侧,源主机发出一个ARP 请求来查询目标主机的MAC 地址,我们知道,目标主机不会做出响应,因为它根本不会收到请求信息,所以通信就无法完
2、成了。具有Proxy ARP 功能的路由器(或者是其它网络设备)可以代替另外一端的主机用自己的MAC 地址去响应那样的ARP 请求,接着源主机将数据发送给路由器,然后路由器再将数据包转发出去。ARPARP地址解析协议地址解析协议地址解析协议地址解析协议Map IP MAC Local ARP172.16.3.1IP:172.16.3.2 Ethernet:0800.0020.2222172.16.3.2IP:172.16.3.2=?哦,我收到了你的请求,哦,我收到了你的请求,在我发给你的信息里有我在我发给你的信息里有我的的MAC地址地址我需要知道我需要知道IP地址地址是是176.16.3.2
3、的的MAC地址地址IP:172.16.3.2对应的MAC:0800.0020.2222IP:172.16.3.1对应的MAC:0800.0020.1111IP:172.16.3.1MAC:0800.0020.1111IP:172.16.3.2MAC:0800.0020.2222透明接入原理透明接入原理IP:172.16.3.2对应的MAC:0800.0020.2222IP:172.16.3.1对应的MAC:0800.0020.1111IP:172.16.3.1MAC:0800.0020.1111IP:172.16.3.2MAC:0800.0020.2222IP:172.16.2.2MAC:08
4、00.0200.3333IP:172.16.3.3IP:172.16.2.1MAC:0800.0200.4444IP:172.16.3.2对应的MAC:0800.0020.3333IP:172.16.3.1对应的MAC:0800.0020.4444ARP ProxyARP Proxy 配置防火墙简单配置防火墙简单配置防火墙简单配置防火墙简单示例示例示例示例InternetInternet194.1.2.1194.1.2.1192.168.123.1192.168.123.1gw-worldgw-worldint-net 192.168.123.0/24int-net 192.168.123.0
5、/24InternetInternet194.1.2.1194.1.2.1192.168.123.1192.168.123.1gw-worldgw-worldint-net 192.168.123.0/24int-net 192.168.123.0/24 定义主机和网络定义主机和网络定义主机和网络定义主机和网络增加相应的主机和网络增加相应的主机和网络第一条,第二条定义防火墙内口的ip地址以及广播地址第三条,第四条定义防火墙外口的ip地址以及广播地址第五条定义内网网段第六条定义管理网段第七条定义默认网关192.168.123.2192.168.123.255192.168.123.3192.16
6、8.123.255 定义路由规则定义路由规则定义路由规则定义路由规则增加相应的路由规则增加相应的路由规则第一条规则定义了到管理网络的路由(为了不占用ip地址,防火墙内口使用了不同网段的ip地址)第二条规则定义了到内部网络的路由,同时通过防火墙的外部网口Proxy ARP 内部网络(192.168.123.0/24)上所有主机的MAC 地址。第三条规则定义了到网关的路由,同时通过防火墙的内部网口Proxy ARP 网关(192.168.123.1/32)的MAC 地址到内部网络。第四条规则定义了防火墙的缺省路由。DMZ 制定过滤规则制定过滤规则制定过滤规则制定过滤规则增加相应的过滤规则增加相应的
7、过滤规则第一条规则删除了所有NetBIOS 数据包第二条规则允许管理网络上的所有主机向防火墙发送ICMP echo request(Ping)数据包第三条规则允许内部网络上的主机和Internet上的主机进行通讯第四条规则删除所有的数据包并对其进行记录u试试验九:用户可以提供验九:用户可以提供2个可用的个可用的IP地址地址u试验十:用户可以提供试验十:用户可以提供1个可用的个可用的IP地址地址u试验十一试验十一:用户无法提供可用的:用户无法提供可用的IP地址地址第九章节第九章节 混合模式混合模式混合模式总体描叙:总体描叙:网络中存在两类网络中存在两类IP 地址。一种是公网地址。一种是公网IP。
8、一种是私有。一种是私有IP,因因此需要将防火墙工作在透明和路由此需要将防火墙工作在透明和路由/NAT 模式下。模式下。防火墙模式混合拓扑图防火墙模式混合拓扑图WWW服务器服务器internet172.30.15.0/24EXT:172.16.20.140INT:172.30.15.1172.16.20.20DMZ:172.16.20.205混合模式(一)防火墙模式混合防火墙模式混合Ext DMZ 透明透明INT -EXT NATDMZ INT 路由路由 主机和网络路由Use Local IP 过滤规则DMZEXTAll-netscompaqHttp-inAny_Allow_DMZ规则说明第四条
9、规则第四条规则 内部区域连接到内部区域连接到INTERNET经过经过 NAT 模式。模式。第六条规则第六条规则DMZ 区域连接到区域连接到INTERNET 经过透明模式。经过透明模式。接口模式混合拓扑图InternetInternetfirewall192.168.0.0/24EXT:172.16.20.200INT:192.168.0.1172.16.20.150172.16.20.170GW:172.16.20.20INT:172.16.20.149混合模式(二)端口模式混合端口模式混合Ext INT 即做透明又做地址翻译。即做透明又做地址翻译。内网和外网即有公网内网和外网即有公网IP.又
10、有私有又有私有IP.这就是所谓的端口模式这就是所谓的端口模式混合。混合。1.在内网的公网在内网的公网IP 经过透明出去。经过透明出去。(双向双向)2.在内网的私有在内网的私有IP 经过经过NAT 出去出去.(单向单向)接口模式混合主机和网络主机和网络ARP绑定路由gateway过滤规则u 试试验十二:防火墙混合模式验十二:防火墙混合模式 试验十三:接口混合模式试验十三:接口混合模式第十章节:预共享密钥式的VPN配置Pre-share VPN 隧道InternetInternetLan5:1.1.1.10Lan5:2.2.2.10Lan1:172.30.15.1Lan1:192.168.0.11
11、72.30.15.5172.30.15.6192.168.0.5192.168.0.6Typical topology used for configuring the Corporate Amaranten for Pre-share keys VPNBoth ends of the tunnel will need to configured开始配置预共享密钥 A VPN using Pre-shared Keys require both ends of the tunnel be manually configuredVPN 隧道Create new VPN tunnelVPN 隧道远
12、程远程 Amaranten 防火墙配置防火墙配置 Tunnel Name:VPN_NANJING Local Network:192.168.0.0/24 Remote Network:172.30.15.0/24 Remote Gateway:1.1.1.10 IKE Proposal:ike-lantolan IPSec Proposal:esp-tn-lantolan Authenticaion:VPN_KEY预共享密钥 VPN 隧道 总结The VPN Pre-shared key table shows a list of the Pre-share keys created路由表的
13、要求IN 8.2 or Above 8.2 The vpn interface regraded as an actual inteface需要什么样的规则Create Bi-direction Ruls for vpn The vpn rules should be put at the top to the rulesVpn 监控Cmd vpnstats-IPsec SAs:1 VPN Tunnel :vpn-shanghai Endpoints :172.30.15.0/24 Remote gateway :2.2.2.10 Protocol :ESP:rijndael-cbc hmac
14、-sha1-962 VPN Tunnel :vpn-nanjing Endpoints :192.168.0.0/24 Remote gateway :1.1.1.10 Protocol :ESP:rijndael-cbc hmac-sha1-96Cmdu 试试验十四:共享密钥的验十四:共享密钥的VPN配置配置 第十一章:Clavister VPN 客户端软件Configuring the Remote Client Software Using Pre-shared Keys如何工作?InternetInternetVPN Tunnel172.30.15.100Lan5:1.1.1.10La
15、n1:192.168.0.1192.168.0.100ClientVPN is built from Client A to Destination Network Configured from Host PC to FirewallNot done from firewall to firewall开始Windwos TaskbarAfter Installing Amaranten-Remote Software,having selecting all the defaults,Reboot Your PCAfter the PC is rebooted,3 steps to conf
16、igure Amaranten Remote Add Pre-shared Keys Add new VPN Connection Define the IPSec Protocols创建一个预共享密钥添加新的VPN 连接By default,no VPN connection Are created添加远程网络here you need deploy remote subnet and submask举例如下添加添加添加添加VPN VPN 举例举例举例举例加密算法you can select another kinds of encryption algorithmsaccording to
17、 your requirements第十二章实现阿姆瑞特防火墙的第十二章实现阿姆瑞特防火墙的第十二章实现阿姆瑞特防火墙的第十二章实现阿姆瑞特防火墙的PBRPBR功能功能功能功能 实验机型:实验机型:AS_F300-pro内核版本:内核版本:8.40.01拓扑环境描述InternetSiSi计算机计算机计算机计算机计算机计算机计算机计算机Net_LAN-01:192.168.1.0/24Net_LAN-02:192.168.2.0/24IP_LAN-R:10.10.10.2/30GW_Internal:10.10.10.1/30IP_WAN-Telcom:218.10.0.2/29IP_WAN-
18、CNC:64.134.0.2/29GW_World-Telcom:218.10.0.1/29GW_World-CNC:64.134.0.1/29实验环境描述:实验环境描述:网络有两个出口,分别是中国电信和中国网通,都可以接入因特网内网有多个子网,由三层交换接入防火墙lan1接口防火墙接口定义:lan1接内网,连接三层交换机,IP地址为:10.10.10.2/30,内部网关为:10.10.10.1/30lan2接中国电信 GW_World-Telcom:218.10.0.1/29接口IP地址为:Net_WAN-Telcom:218.10.0.2/29lan3接中国电信 GW_World-CNC:
19、64.134.0.1/29接口IP地址为:Net_WAN-CNC:64.134.0.2/29实验达到的目的:实验达到的目的:使用PBR,使内网中192.168.1.0/24网络的计算机从中国电信GW_World-Telcom出去上网,使内网192.168.2.0/24网络从中国网通GW_World-CNC出去上网拓扑环境描述和目的建立网络对象:建立网络对象:在“局部对象”-“主机和网络”中定义网络拓扑中出现的所有对象,命名策略必须遵照“阿姆瑞特命名规范.PPT”防火墙配置 第一步防火墙配置防火墙配置 第一步第一步建立网络对象:建立网络对象:检查“局部对象”-“主机和网络”中定义网络拓扑中出现的
20、所有对象定义电信接口lan2 的IP地址,以及电信分配的接口lan2 所连接网络的广播地址和网络地址;Internet的电信的电信网关地址:GW_World-Telcom定义内网接口lan1 的IP地址(lan1 下联三层设备),以及内网接口lan1 所连接网络的广播地址和网络地址;Internal网关地址:GW_Internal定义网通接口lan3 的IP地址,以及网通分配的接口lan3 所连接网络的广播地址和网络地址;Internet的网通的网通网关地址:GW_World-CNC定义内网接口三层设备(GW_Internal)所连接的网络,并将连接的网络Net_LAN01和Net_LAN02
21、 组合成为一个Group_All_LAN组配置置接口的地址和所连接网络的广播地址:配置置接口的地址和所连接网络的广播地址:在“网络接口”-“以太网”里确定IP地址和广播地址的绑定防火墙配置 第二步 防火墙配置 第二步配置接口速度和双工模式:配置接口速度和双工模式:在“网络接口”-“以太网”里配置相应接口的速度和双工模式添加和配置主路由:添加和配置主路由:在“路由设置”-“主路由表”里添加和设置路由防火墙配置 第三步防火墙配置 第三步确定在确定在“主路由表主路由表”里添加和配置的主路由的顺序里添加和配置的主路由的顺序4、检查内网接口lan1直连三层设备的路由7、检查网通接口lan3 直连网络的直
22、接路由9、检查电信接口lan2 的缺省路由设置(必须放在最后)1、检查管理接口lan5直连网络的直接路由5、内网接口lan1通过三层设备GW_Internal到达Group_ALL_LAN。8、检查电信接口lan2 直连网络的直接路由添加和配置策略路由:添加和配置策略路由:在“路由设置”-“基于策略的路由表”里添加和设置策略路由防火墙配置 第三步Default-表示首先要查询主路由表。如果只有缺省路由(0.0.0.0/0)匹配,则查询命名路由表。如果在命名路由表的查询失败,就认为整个查询失败了。First-表示首先要查询的命名路由表。如果查询失败,则在主路由表里继续查询。防火墙配置 第三步添加
23、和配置策略路由:添加和配置策略路由:在“路由设置”-“基于策略的路由规则”里添加和设置策略路由的规则注意:只有基于策略的路由注意:只有基于策略的路由规则与过滤规则匹配时,才规则与过滤规则匹配时,才会激活策略路由,就是说在会激活策略路由,就是说在过滤规则里也需要有和策略过滤规则里也需要有和策略路由规则相同的规则才行。路由规则相同的规则才行。目标的接口地址必须选择目标的接口地址必须选择选择选择 any,绝对不可以选,绝对不可以选择策略路由里的接口择策略路由里的接口Net_lan-02Net_lan-02Net_lan-02添加PBR出口的access规则配置过滤规则:配置过滤规则:在“过滤规则”里
24、设置访问控制规则,规则的设计是根据客户的需求来定义的,且规则的建立必须在“DropAll”规则之上防火墙配置 第四步第第1步步新建规则:新建规则:右键单击“DropAll”,选择“New Rules”,规则名称必须遵照“阿姆瑞特命名规范.doc”,按照设计思路定义源接口、源网络、目标接口和目标网络设置过滤规则 第1步Net_lan-02any第第2步步设置服务:设置服务:根据客户需求打开相应的服务,不确定的用“标准”,基于安全考虑,Web服务器只需要对外开放80端口就可以。设置过滤规则 第2步第第3步步 设置日志记录方式:设置日志记录方式:根据客户需求打开或关闭此条规则的日志记录,不确定的“程
25、度”选择“Notice”;“日志服务器”选择“All”设置过滤规则 第3步第第4步步确定规则设置顺序,完成后的过滤规则如下图确定规则设置顺序,完成后的过滤规则如下图设置过滤规则 第4步1、丢弃所有的NetBIOS/SMB数据包(默认规则)3、允许Net_LAN-01通过电信出口 lan2访问Internet上的FTP服务器4、允许Net_LAN-02通过网通出口 lan3访问Internet上的FTP服务器(必须和策略路由规则一样)(必须和策略路由规则一样)9、丢弃所有与上面规则不匹配的数据包(默认规则)注意:阿姆瑞特防火墙的过滤规则是按照由上到小的顺序执行的,所以在设计过滤规则的时候必须注意
26、顺序8、允许管理网络可以Ping防火墙5、允许Net_LAN-01通过电信出口 lan2访问Internet6、允许Net_LAN-02通过网通出口 lan3访问Internet(必须和策略路由规则一样)(必须和策略路由规则一样)将配置签入将配置签入:在“工具栏”里点击 或如下图,成功后防火墙旁边的小红点将消失防火墙配置防火墙配置 第五步第五步将配置上传到防火墙并激活:将配置上传到防火墙并激活:在“工具栏”里点击 或 ,选择需要配置的防火墙防火墙配置防火墙配置 第六步第六步 分别在分别在Net_LAN-01,Net_LAN-02的网络中访问外网,简单的的网络中访问外网,简单的可以做可以做Ping测试,测试,Ping一个外网的一个外网的DNS服务器,例如:服务器,例如:61.134.1.4,并对内网访问并对内网访问Internet的规则进行日志记录,我们可以抓取实时日志的规则进行日志记录,我们可以抓取实时日志进行分析。进行分析。测试u 试试验十五:验十五:PBR配置配置 谢谢 谢谢