2022年2022年防火墻訪問控制規(guī)則配置--教案

1、精選學(xué)習(xí)資料 - - - 歡迎下載拜訪掌握規(guī)章配置拜訪規(guī)章描述了網(wǎng)絡(luò)衛(wèi)士防火墻答應(yīng)或禁止匹配拜訪掌握規(guī)章的報文通過；防火墻接收到報文后,將次序匹配拜訪規(guī)章表中所設(shè)定規(guī)章；一旦查找到匹配的規(guī)章,就依據(jù)該策略所規(guī)定的操作（答應(yīng)或丟棄）處理該報文,不再進行區(qū)域缺省屬性的檢查；假如不存在可匹配的拜訪策略,網(wǎng)絡(luò)衛(wèi)士防火墻將依據(jù)目的接口所在區(qū)域的缺省屬性（答應(yīng)拜訪或禁止拜訪）,處理該報文；在進行拜訪掌握規(guī)章查詢之前,網(wǎng)絡(luò)衛(wèi)士防火墻將第一查詢數(shù)據(jù)包為否符合目的地址轉(zhuǎn)換規(guī)章；假如符合目的地址轉(zhuǎn)換規(guī)章,網(wǎng)絡(luò)衛(wèi)士防火墻將把接收的報文的目的ip 地址轉(zhuǎn)換為預(yù)先設(shè)置的ip 地址（一般為真實ip）；因此在進行拜訪規(guī)章設(shè)

2、置時,系統(tǒng)一般采納的為真實的源和目的地址（轉(zhuǎn)換后目的地址）來設(shè)置拜訪規(guī)章；同時,系統(tǒng)也支持依據(jù)轉(zhuǎn)換前的目的地址設(shè)置拜訪規(guī)章,此時,報文將依據(jù)轉(zhuǎn)換前的目的地址匹配拜訪掌握規(guī)章；依據(jù)源.目的配置拜訪掌握規(guī)章基本需求系統(tǒng)可以從區(qū)域.vlan .地址.用戶.連接.時間等多個層面對數(shù)據(jù)報文進行判別和匹配,拜訪掌握規(guī) 就的源和目的既可以為已經(jīng)定義好的vlan或區(qū)域,也可以細化到一個或多個地址資源以及用戶組資源；與包過濾策略相同,拜訪掌握規(guī)章也為次序匹配的,系統(tǒng)第一檢查為否與包過濾策略匹配,假如匹配到包過濾策略后將停止拜訪掌握規(guī)章檢查；但與包過濾策略不同的為拜訪掌握規(guī)章沒有默認規(guī)章；也就為說,假如沒有在拜訪

3、掌握規(guī)章列表的末尾添加一條全部拒絕的規(guī)章的話,系統(tǒng)將依據(jù)目的接口所在區(qū)域的缺省屬性（答應(yīng)拜訪或禁止拜訪）處理該報文；案例：某企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)示意圖如下圖所示,網(wǎng)絡(luò)衛(wèi)士防火墻工作在混合模式；eth0口屬于內(nèi)網(wǎng)區(qū)域（ area_eth0 ）,為交換 trunk接口,同時屬于 vlan.0001和vlan.0002 ,vlan.0001 ip地址為 ,連接研發(fā)部門文檔組所在的內(nèi)網(wǎng)（/24 ）； vlan.0002 ip地址為 ,連接研發(fā)部門項目 組所在的內(nèi)網(wǎng)（/24 ）；圖 25 依據(jù)源.目的進行拜訪掌握示意圖

4、eth1 口 ip 地址為 40,屬于外網(wǎng) area_eth1 區(qū)域,公司通過與防火墻eth1口相連的路由器連接外網(wǎng)； eth2 口屬于 area_eth2 區(qū)域,為路由接口,其ip 地址為 ,為信息治理部所在區(qū)域,有多精品學(xué)習(xí)資料精選學(xué)習(xí)資料 - - - 歡迎下載臺服務(wù)器,其中web 服務(wù)器的 ip 地址： ；用戶要求如下：內(nèi)網(wǎng)文檔組的機器可以上網(wǎng),答應(yīng)項目組領(lǐng)導(dǎo)上網(wǎng),禁止項目組一般員工上網(wǎng)；外網(wǎng)和 area_eth2 區(qū)域的機器不能拜訪研發(fā)部門內(nèi)網(wǎng)；內(nèi)外網(wǎng)用戶均可以拜訪area_eth2 區(qū)域的 web服務(wù)器；配置要點設(shè)置區(qū)

5、域?qū)ο蟮娜笔“菰L權(quán)限：area_eth0.area_eth2 為禁止拜訪,area_eth1 為答應(yīng)拜訪；定義源地址轉(zhuǎn)換規(guī)章,保證內(nèi)網(wǎng)用戶能夠拜訪外網(wǎng)；定義目的地址轉(zhuǎn)換規(guī)章,使得外網(wǎng)用戶可以拜訪area_eth2 區(qū)域的 web服務(wù)器；定義拜訪掌握規(guī)章,禁止項目組除領(lǐng)導(dǎo)外的一般員工上網(wǎng),答應(yīng)內(nèi)網(wǎng)和外網(wǎng)用戶拜訪area_eth2 區(qū)域的web服務(wù)器；webui配置步驟1）設(shè)定物理接口eth1 和eth2 的 ip 地址；挑選網(wǎng)絡(luò)治理> 接口,激活“物理接口”頁簽,然后點擊eth1.eth2 端口后的“設(shè)置”字段圖標,添加接口的ip 地址；如下圖所示；2）添加 vlan虛接口,設(shè)定vlan的

6、ip 地址,再挑選相應(yīng)的物理接口加入到已添加的 vlan中；a）挑選網(wǎng)絡(luò)治理> 二層網(wǎng)絡(luò),激活“vlan ”頁簽,然后點擊“添加/刪除 vlan范疇”,如下圖所示；b）設(shè)定 vlan虛接口的 ip 地址；點擊 vlan虛接口的“修改”字段圖標,在彈出界面中設(shè)置vlan.0001的ip 為：,掩碼為： ； vlan.0002的ip 為： ,掩碼為： ；如下圖所示；c）設(shè)定 vlan和物理接口的關(guān)系；挑選網(wǎng)絡(luò)治理> 接口,激活“物理接口”頁簽,然后點擊eth0 接口后的“設(shè)置”字段圖標,設(shè)

7、置接口信息,如下圖所示；3）定義主機.子網(wǎng)地址對象；a）挑選資源治理> 地址,挑選“主機”頁簽,定義主機地址資源；定義web服 務(wù)器主機名稱設(shè)為, ip 為 ；定義虛擬 web服務(wù)器（即 web服務(wù)器的在外網(wǎng)區(qū)域的虛擬ip 地址）主機名稱設(shè)為43、 ip為43 ；定義 接口主機地址資源40 （也可以為其他字符串）,主機名稱設(shè)為40、ip 為40 ；定義文檔服務(wù)器,主機名稱設(shè)為doc_server、 ip為10.10.10

8、.3；定義 完成后的界面如下圖所示：b）挑選資源治理> 地址,挑選“子網(wǎng)”頁簽,點擊“添加”定義子網(wǎng)地址資源； 資源名稱 rd_group,以及網(wǎng)絡(luò)地址.子網(wǎng)掩碼 以及排除領(lǐng)導(dǎo)地址:和；4）定義區(qū)域資源的拜訪權(quán)限（整個區(qū)域為否答應(yīng)拜訪）；挑選資源治理> 區(qū)域,設(shè)定外網(wǎng)區(qū)域area_eth1 的缺省屬性為“答應(yīng)”拜訪,內(nèi)網(wǎng)區(qū)域 area_eth0 和area_eth2 的缺省屬性為“禁止”拜訪；以area_eth1 為例,設(shè)置界面如下圖所示；設(shè)置完成后的界面如下圖所示；精品學(xué)習(xí)資料精選學(xué)習(xí)資料 -

9、 - - 歡迎下載5）挑選防火墻>地址轉(zhuǎn)換,定義地址轉(zhuǎn)換規(guī)章； a）定義源地址轉(zhuǎn)換規(guī)章,使得內(nèi)網(wǎng)用戶能夠拜訪外網(wǎng): 挑選“源轉(zhuǎn)換”； 挑選“源”頁簽,參數(shù)設(shè)置如下圖所示；不設(shè)置參數(shù),表示不對報文的源進行限制； 挑選“目的”頁簽,參數(shù)設(shè)置如下圖所示； 挑選“服務(wù)”頁簽,參數(shù)設(shè)置如下圖所示；轉(zhuǎn)換源地址對象為“40 ”；設(shè)置完成后的規(guī)章如下圖所示；b 定義目的地址轉(zhuǎn)換規(guī)章,使得內(nèi)網(wǎng)文檔組以及外網(wǎng)用戶都可以拜訪area_eth2 區(qū)域的 web服務(wù)器；挑選“目的轉(zhuǎn)換” 挑選“源”頁簽,設(shè)置參數(shù)如下圖所示；不設(shè)置參數(shù),表示不對報文的源進行限制； 挑選“目的”頁簽,設(shè)置參數(shù)

10、如下圖所示； 挑選“服務(wù)”頁簽,設(shè)置參數(shù)如下圖所示；“目的地址轉(zhuǎn)換”為地址資源“”； 設(shè)置完成后的界面如下圖所示；6）挑選菜單防火墻> 拜訪掌握,定義拜訪掌握規(guī)章；a）答應(yīng)內(nèi)網(wǎng)和外網(wǎng)用戶均可以拜訪web服務(wù)器由于 web服務(wù)器所在的 area_eth2 區(qū)域禁止拜訪,所以要答應(yīng)內(nèi)網(wǎng)和外網(wǎng)用戶均可以拜訪 web服務(wù)器,需要定義拜訪掌握規(guī)章如下； 挑選“源”頁簽,參數(shù)設(shè)置如下圖所示；源vlan和源區(qū)域不挑選,表示不對區(qū)域加以限制； 挑選“目的”頁簽,參數(shù)設(shè)置如下圖所示； 挑選“服務(wù)”頁簽,參數(shù)設(shè)置如下圖所示；b）答應(yīng)項目組領(lǐng)導(dǎo)拜訪外網(wǎng),禁止項目組一般員工rd_group拜

11、訪外網(wǎng)；由于外網(wǎng)區(qū)域答應(yīng)拜訪,所以需要添加禁止拜訪外網(wǎng)的規(guī)章如下： 挑選“源”頁簽,參數(shù)設(shè)置如下圖所示； 挑選“目的”頁簽設(shè)置如下圖所示； 挑選“服務(wù)”頁簽,參數(shù)設(shè)置如下圖所示；cli配置步驟1）設(shè)定物理接口eth1 和eth2 的 ip 地址；精品學(xué)習(xí)資料精選學(xué)習(xí)資料 - - - 歡迎下載#network interfaceeth1 ip add 40 mask #network interfaceeth2 ip add mask 2）添加 vlan虛接口,設(shè)定vlan的ip 地址,再挑選相應(yīng)

12、的物理接口加入到已添加的 vlan中；#network vlan add range1、2#network interfacevlan.0001 ip add mask #network interfacevlan.0002 ip add mask #network interfaceeth0 switchporttrunk allowed-vlan1、2 native-vlan1 encapsulation dotlq3）定義主機.子網(wǎng)地址資源；#define host add name172

13、.16.1.3 ipaddr#define host add name43 ipaddr43#define host add namedoc_server ipaddr#define subnet add namerd_group ipaddr mask except 4）設(shè)置區(qū)域資源的缺省拜訪權(quán)限：area_eth0.area_eth2 為禁止拜訪, area_eth1 為答應(yīng)拜訪（缺省權(quán)限,無需再設(shè)定）；#d

14、efine area add namearea_eth0 access off attributeeth0（不答應(yīng)拜訪內(nèi)網(wǎng)）#define area add namearea_eth2 access off attributeeth2（不答應(yīng)拜訪內(nèi)網(wǎng)） 5）定義地址轉(zhuǎn)換規(guī)章；定義源地址轉(zhuǎn)換規(guī)章,使得內(nèi)網(wǎng)用戶能夠拜訪外網(wǎng)；#nat policy add dstareaarea_eth1 trans_src40定義目的地址轉(zhuǎn)換規(guī)章,使得內(nèi)網(wǎng)文檔組以及外網(wǎng)用戶都可以拜訪area_eth2 區(qū)域的web服務(wù)器；#nat policy add orig_dst192.168.1

15、00.143 orig_servicehttp trans_dst 6）定義拜訪掌握規(guī)章；答應(yīng)內(nèi)網(wǎng)和外網(wǎng)用戶均可以拜訪web服務(wù)器#firewall policy add actionaccept dstarea area_eth2 dst service http答應(yīng)項目組領(lǐng)導(dǎo)拜訪外網(wǎng),禁止項目組一般員工拜訪外網(wǎng)#firewall policy add actiondeny srcarea area_eth0 srcvlan vlan.0002 src rd_group dstarea area_eth0 service http留意事項1）目的地址

16、需要挑選web服務(wù)器的真實ip 地址,由于防火墻要先對數(shù)據(jù)包進行目的地址轉(zhuǎn)換處理,當內(nèi)網(wǎng)用戶利用43拜訪 ssn 區(qū)域的 web服務(wù)器時,由于符合 nat目的地址轉(zhuǎn)換規(guī)章,所以數(shù)據(jù)包的目的地址將被轉(zhuǎn)換為；然后才 進行拜訪規(guī)章查詢,此時只有設(shè)定為web服務(wù)器的真實 ip 地址才能達到內(nèi)網(wǎng)用戶拜訪ssn 區(qū)域 web服務(wù)器的目的；網(wǎng)絡(luò)衛(wèi)士系列防火墻處理數(shù)據(jù)包的流程請參考用戶手冊相關(guān)章節(jié)；2）定義目的地址轉(zhuǎn)換規(guī)章時,不能挑選目的區(qū)域與目的vlan ；依據(jù)源端口配置拜訪掌握規(guī)章基本需求案例：某銀行系統(tǒng)應(yīng)用軟件使用特定的端口進行業(yè)務(wù)主機與服務(wù)器間

17、的數(shù)據(jù)通信,為了保證數(shù)據(jù)及設(shè)備的安全,禁止其他對于業(yè)務(wù)主機和服務(wù)器的拜訪；網(wǎng)絡(luò)結(jié)構(gòu)示意圖如下所示；精品學(xué)習(xí)資料精選學(xué)習(xí)資料 - - - 歡迎下載圖 26 依據(jù)源端口進行拜訪掌握示意圖業(yè)務(wù)主機可以使用特別端口拜訪服務(wù)器,不能使用其他端口；業(yè)務(wù)主機區(qū)域和服務(wù)器區(qū)域禁止其他類型的拜訪；配置要點定義區(qū)域： area_eth1. area_eth2；定義服務(wù)端口：fs_port設(shè)置拜訪掌握規(guī)章webui配置步驟1）定義區(qū)域 area_eth1 為禁止拜訪,并與屬性eth1 綁定；挑選資源治理> 區(qū)域,點擊“添加”,如下圖所示；2）定義區(qū)域 area_eth2 為禁止拜訪,并與屬性eth2 綁定；詳

18、細操作與 area_eth1 相像,請參考area_eth1 的定義過程完成；3）定義服務(wù)端口由于系統(tǒng)使用的通信端口為：4500,不為通常使用的協(xié)議端口,在設(shè)置規(guī)章前需要自 定義端口；挑選資源治理> 服務(wù),激活“自定義服務(wù)”頁簽,進入自定義服務(wù)頁面；點擊右側(cè)“添加”,如下圖所示；挑選類型： tcp,設(shè)置名稱：fs_port,服務(wù)器實際使用的端口：4500；完成后點擊“確定”按鈕；4）定義拜訪掌握規(guī)章該規(guī)章為來自area_eth1 區(qū)域使用源端口為4500 的數(shù)據(jù)包答應(yīng)通過防火墻拜訪area_eth2 區(qū)域；a）挑選“源”頁簽,參數(shù)設(shè)置如下； b）挑選“目的”頁簽,參數(shù)設(shè)置如下圖所示；c）

19、挑選“服務(wù)”頁簽,參數(shù)設(shè)置如下圖所示；d）挑選“選項”頁簽設(shè)置參數(shù)如下；精品學(xué)習(xí)資料精選學(xué)習(xí)資料 - - - 歡迎下載由于所使用的軟件系統(tǒng)所建立的連接需要長時期保持,在“連接選項”中挑選“長連接”,依據(jù)需要挑選“日志記錄”；點擊“確定”完成acl規(guī)章設(shè)置；cli配置步驟1）定義區(qū)域：area_eth1.area_eth2#define area add namearea_eth1 access off attributeeth1#define area add namearea_eth2 access off attributeeth2 2）定義服務(wù)端口：fs_port#define serv

20、ice add namefs_port protocol6 port 4500 3）設(shè)置拜訪掌握規(guī)章#firewall policy add actionaccept srcarea area_eth1 dstarea area_eth2 sport fs_port permanentyes log on enable yes留意事項由于環(huán)境所限此案例未能進行實際測試,僅供參考使用；依據(jù)特定服務(wù)配置拜訪掌握規(guī)章基本需求在進行拜訪掌握規(guī)章的設(shè)置時,可以對用戶所能拜訪的服務(wù)進行掌握,系統(tǒng)預(yù)定義了可掌握的常見服務(wù),可以實現(xiàn)二到七層的拜訪掌握,用戶也可以自定義服務(wù)進行拜訪掌握；案例：某企業(yè)網(wǎng)絡(luò)被防火墻

21、化分為三個區(qū)域area_eth0.area_eth1 和area_eth2,三個區(qū)域分別與接口eth0.eth1和eth2 綁定, area_eth0 連接外網(wǎng),答應(yīng)用戶拜訪,area_eth1 和area_eth2 區(qū)域禁止用戶拜訪；服務(wù)器位于area_eth1, ip 地址為 40,內(nèi)網(wǎng) 位于 area_eth2,網(wǎng)絡(luò)地址為；企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示；要求：答應(yīng)內(nèi)網(wǎng)用戶拜訪服務(wù)器的telnet .ssh.ftp 和web_port服務(wù),其中 web_port服務(wù)為自定義服務(wù),端口號為8080；但不能拜訪eth1 口的其他服務(wù)器和其他服務(wù)；

22、 不答應(yīng)外網(wǎng)用戶拜訪eth1口服務(wù)器的 telnet和 ssh 服務(wù)；圖 27 依據(jù)服務(wù)設(shè)置拜訪掌握規(guī)章示意圖配置要點定義區(qū)域和地址資源定義服務(wù)資源定義服務(wù)組資源精品學(xué)習(xí)資料精選學(xué)習(xí)資料 - - - 歡迎下載設(shè)置拜訪掌握規(guī)章webui配置步驟1）定義區(qū)域和地址資源a）定義區(qū)域資源area_eth0.area_eth1 和area_eth2,分別與 eth0.eth1和eth2 綁定；區(qū)域權(quán)限均為“答應(yīng)”；挑選資源治理> 區(qū)域,點擊“添加”添加區(qū)域資源,界面如下圖； 添加區(qū)域 area_eth0； 添加區(qū)域 area_eth1； 添加區(qū)域 area_eth2；服務(wù)熱線： 800810511

23、9 183設(shè)置完成后界面如下圖所示；b）定義 ip 地址資源挑選資源治理> 地址,挑選“主機”頁簽,點擊“添加”,如下圖所示；c 定義子網(wǎng)資源挑選資源治理> 地址,挑選“子網(wǎng)”頁簽,點擊“添加”,如下圖所示；2）設(shè)置自定義服務(wù)挑選資源治理> 服務(wù),激活“自定義服務(wù)”頁簽,配置自定義服務(wù)“web_port ”如下圖所示；3）設(shè)置服務(wù)組資源挑選資源治理> 服務(wù),激活“服務(wù)組”頁簽,配置服務(wù)組“內(nèi)網(wǎng)拜訪服務(wù)”如下圖所示；本例中服務(wù)組名稱為“內(nèi)網(wǎng)拜訪服務(wù)”,包括“web_port .ssh.telnet .ftp”；4 設(shè)置拜訪掌握規(guī)章；由于服務(wù)器所在區(qū)域area_eth1 禁

24、止拜訪,所以只要定義答應(yīng)拜訪的規(guī)章即可；a）設(shè)置答應(yīng)內(nèi)網(wǎng)area_eth2 的網(wǎng)段為 /24 的用戶拜訪 area_eth1 的服務(wù)器（ 40 ）ssh.telnet .ftp 以及 8080 端口服務(wù)的拜訪掌握規(guī)章挑選防火墻> 拜訪掌握,點擊“添加”按鈕,設(shè)置拜訪掌握規(guī)章； 挑選“源”頁簽,參數(shù)設(shè)置如下圖所示； 挑選“目的”頁簽,參數(shù)設(shè)置如下圖所示；服務(wù)熱線： 8008105119 187 挑選“服務(wù)”頁簽,參數(shù)設(shè)置如下圖所示；服務(wù)熱線： 8008105119 188設(shè)置完成的 acl規(guī)章如下圖所示；b）設(shè)置僅答應(yīng)外網(wǎng)區(qū)域（area_

25、eth0）的用戶拜訪服務(wù)器的8080 端口的服務(wù)拜訪掌握規(guī)章；挑選防火墻> 拜訪掌握,點擊“添加”按鈕,設(shè)置拜訪掌握規(guī)章； 挑選“源”頁簽,參數(shù)設(shè)置如下圖所示；服務(wù)熱線： 8008105119 189 挑選“目的”頁簽,參數(shù)設(shè)置如下圖；精品學(xué)習(xí)資料精選學(xué)習(xí)資料 - - - 歡迎下載服務(wù)熱線： 8008105119 190 挑選“服務(wù)”頁簽,參數(shù)設(shè)置如下圖；服務(wù)熱線： 8008105119 191設(shè)置完成后的acl規(guī)章如下圖所示；cli配置步驟1）定義區(qū)域資源#define area add namearea_eth0 access on attributeeth0#define area

26、 add namearea_eth1 access on attributeeth1#define area add namearea_eth2 access on attributeeth22）定義主機和子網(wǎng)地址資源#define host add name40 ipaddr40#define host subnet add name內(nèi)網(wǎng) ipaddr mask 3）設(shè)置自定義服務(wù),服務(wù)名為web_port ,端口號為 8080；#difine service add nameweb_p

27、ort protocoltcp port 8080 4）設(shè)置服務(wù)組資源,組名稱為“內(nèi)網(wǎng)拜訪服務(wù)”,包括web_port.ftp .telnet和ssh 服務(wù)；#difine group_service add name內(nèi)網(wǎng)拜訪服務(wù)member web_port、ftp、telnet、ssh 5）設(shè)置拜訪掌握規(guī)章a）區(qū)域“ area_eth2”的子網(wǎng)對象“內(nèi)網(wǎng)”（/24 ）答應(yīng)拜訪區(qū)域“area_eth1” 的服務(wù)器的 web_port .ftp.telnet和ssh 服務(wù) 有自定義服務(wù)組“內(nèi)網(wǎng)拜訪服務(wù)”綁定,服務(wù)器的 ip 地址為 40 ；#

28、firewall policy add actionaccept srcarea area_eth2 dstarea area_eth1 src 內(nèi) 網(wǎng) dst 40 service內(nèi)網(wǎng)拜訪服務(wù)enable yes服務(wù)熱線： 8008105119 192b）設(shè)置僅答應(yīng)外網(wǎng)用戶拜訪服務(wù)器40的8080 端口的服務(wù)拜訪掌握規(guī)章；#firewall policy add actionaccept srcarea area_eth0 dstarea area_eth1 dst 40 service web_port enab

29、le yes留意事項假如只答應(yīng)開放某些服務(wù),其他服務(wù)均被禁止,可以設(shè)置目的區(qū)域的默認拜訪權(quán)限為 “禁止”,系統(tǒng)在匹配完拜訪掌握規(guī)章后將自動匹配區(qū)域的默認拜訪權(quán)限；依據(jù)轉(zhuǎn)換前目的地址配置拜訪掌握規(guī)章基本需求背景：某企業(yè)的web服務(wù)器（ ip： 6）通過防火墻將其ip 地址 map為 對外供應(yīng) web服務(wù)； web服務(wù)器連在防火墻的eth1口（ ip： ）,且防火墻通過eth0 口（ ip： ）與 internet相連,如下圖所示；精品學(xué)習(xí)資料精選學(xué)習(xí)資料 - - - 歡迎下載圖 28 依據(jù)轉(zhuǎn)換前目的進行

30、拜訪掌握示意圖需求：為了愛護企業(yè)網(wǎng)絡(luò)的安全,網(wǎng)關(guān)eth1接口所屬的區(qū)域area_eth1 設(shè)置為禁止訪 問,要求 internet 用戶只可拜訪企業(yè)web服務(wù)器的 http服務(wù),要求用 web服務(wù)器的map地址 作拜訪掌握；服務(wù)熱線： 8008105119 193配置要點定義主機地址資源定義地址轉(zhuǎn)換策略定義拜訪掌握規(guī)章webui配置步驟1）將防火墻的eth1口所屬區(qū)域的默認拜訪權(quán)限設(shè)置為“禁止”；挑選資源治理> 區(qū)域,點擊“添加”,如下圖；2）定義 web服務(wù)器主機地址資源r-webserver和虛擬主機對象v-webserver ；挑選資源治理> 地址,激

31、活“主機”頁簽,定義主機地址資源r-webserver和v-webserver ；定義 r-webserver主機地址資源圖；服務(wù)熱線： 8008105119 194定義 v-webserver主機地址資源圖；3）定義地址轉(zhuǎn)換規(guī)章；挑選防火墻> 地址轉(zhuǎn)換,并在右側(cè)界面中點擊“添加”定義目的地址轉(zhuǎn)換規(guī)章；挑選“目的轉(zhuǎn)換”；a）挑選“源”頁簽,設(shè)置參數(shù)如下圖；服務(wù)熱線： 8008105119 195b） 挑選“目的”頁簽,參數(shù)設(shè)置如下；服務(wù)熱線： 8008105119 196c）挑選“服務(wù)”頁簽,參數(shù)設(shè)置如下；設(shè)置完成后的目的nat規(guī)章如下圖所示；4）設(shè)置拜訪掌握規(guī)章；挑選防火墻> 拜

32、訪掌握,并在右側(cè)界面中點擊“添加”定義拜訪掌握規(guī)章；服務(wù)熱線： 8008105119 197a）挑選“源”頁簽,參數(shù)設(shè)置如下；精品學(xué)習(xí)資料精選學(xué)習(xí)資料 - - - 歡迎下載b）挑選“目的”頁簽,設(shè)置依據(jù)轉(zhuǎn)換前的目的地址進行拜訪掌握；參數(shù)設(shè)置如下；服務(wù)熱線： 8008105119 198c）挑選“服務(wù)”頁簽,參數(shù)設(shè)置如下；服務(wù)熱線： 8008105119 199設(shè)置完成后的acl規(guī)章如下圖所示；至此, webui方式的配置完成；cli配置步驟1）將防火墻的eth1口所屬區(qū)域的默認拜訪權(quán)限設(shè)置為“禁止”；#define area add namearea_eth1 access off attri

33、buteeth12）定義 web服務(wù)器主機地址資源r-webserver和虛擬主機地址資源v-webserver ；定義 r-webserver主機地址資源#define host add namer-webserver ipaddr6 mask 255.255.255.定義 v-webserver主機地址資源#define host add namev-webserver ipaddr mask 255.255.255. 3）定義地址轉(zhuǎn)換規(guī)章；#nat policy add orig_srcany orig_dstv-webserver orig

34、_servicehttp trans_dst r-webserver enable yes4）設(shè)置拜訪掌握規(guī)章；#firewall policy add srcany orig_dstv-webserver service http action accept enable yes留意事項1）由于該案例要求 internet 用戶只可拜訪內(nèi)網(wǎng)中 web 服務(wù)器的 http 服務(wù),因此需要事先拒絕 internet 用戶的全部拜訪,再定義拜訪掌握規(guī)章答應(yīng)其拜訪 http 服務(wù)；2）對轉(zhuǎn)換前的目的地址進行匹配時,只需在“轉(zhuǎn)換前目的地址”中進行挑選目的地址,而無須在“目的地址”中再挑選地址；3）在配

35、置過程中,請確保沒有與該規(guī)章相沖突的地址轉(zhuǎn)換策略和阻斷策略；依據(jù)轉(zhuǎn)換后目的地址配置拜訪掌握規(guī)章基本需求背景：某企業(yè)的web服務(wù)器（ ip： 6）通過防火墻將其ip 地址 map為 對外供應(yīng) web服務(wù)； web服務(wù)器連在防火墻的eth1口（ ip： ）,且防火墻通過eth2 口（ ip： ）與 internet相連,如下圖所示；精品學(xué)習(xí)資料精選學(xué)習(xí)資料 - - - 歡迎下載需求：為了愛護企業(yè)網(wǎng)絡(luò)的安全,要求internet 用戶只可拜訪企業(yè)web 服務(wù)器的 http服務(wù),要求用web服務(wù)器的 ip 地

36、址 6做拜訪掌握；圖 29 依據(jù)轉(zhuǎn)換后目的進行拜訪掌握示意圖配置要點定義主機地址資源定義地址轉(zhuǎn)換策略定義拜訪掌握規(guī)章webui配置步驟1）將防火墻的eth1口所屬區(qū)域的默認拜訪權(quán)限設(shè)置為“禁止”；挑選資源治理> 區(qū)域,點擊“添加”,如下圖；2）定義 web服務(wù)器主機地址資源r-webserver和虛擬主機地址資源v-webserver ；挑選資源治理> 地址,激活“主機”頁簽,在右側(cè)界面中點擊“添加”定義主機地址資源 r-webserver和v-webserver ；定義 r-webserver主機地址資源；定義 v-webserver主機地址資源；3）定義

37、地址轉(zhuǎn)換規(guī)章；挑選防火墻> 地址轉(zhuǎn)換,并在右側(cè)界面中點擊“添加”定義目的地址轉(zhuǎn)換規(guī)章；挑選“目的轉(zhuǎn)換”；a）挑選“源”頁簽,設(shè)置參數(shù)如下圖；b）挑選“目的”頁簽,參數(shù)設(shè)置如下；c）挑選“服務(wù)”頁簽,參數(shù)設(shè)置如下；設(shè)置完成后的目的nat規(guī)章如下圖所示； 4）設(shè)置拜訪掌握規(guī)章； a）挑選“源”頁簽,參數(shù)設(shè)置如下；b）挑選“目的”頁簽,設(shè)置依據(jù)nat轉(zhuǎn)換后的目的地址（r_webserver）進行拜訪 掌握；參數(shù)設(shè)置如下；c）挑選“服務(wù)”頁簽,參數(shù)設(shè)置如下；精品學(xué)習(xí)資料精選學(xué)習(xí)資料 - - - 歡迎下載設(shè)置完成后的acl規(guī)章如下圖所示；至此, webui方式的配置完成；cli配置步驟1）將防火墻的eth1口所屬區(qū)域的默認拜訪權(quán)限設(shè)置為“禁止”；#define area add namearea_eth1 access off attributeeth12）定義 web服務(wù)