防火墻三種模式配置實例

案例1:路由模式下通過專線訪問外網(wǎng)'192,16￡2山.已4 H92.I6H.3.0/24 '192,16￡2山.已4 H92.I6H.3.0/24 |；192.HjN.1.0/24)用戶需求：1、 內網(wǎng)的機器可以任意訪問外網(wǎng)，也可訪問SSN中的郵件服務器和FTP服務器；2、 外網(wǎng)和SSN的機器不能訪問內網(wǎng)；3、 允許外網(wǎng)主機訪問SSN的HTTP服務器。網(wǎng)絡狀況：網(wǎng)絡劃分為三個區(qū)域：外網(wǎng)、內網(wǎng)和SSN?？偣镜木W(wǎng)絡衛(wèi)士防火墻工作在路由模式。Eth0屬于內網(wǎng)區(qū)域，IP為0。Eth1屬于外網(wǎng)區(qū)域，IP為；Eth2屬于SSN區(qū)域，IP為；內網(wǎng)中存在3個子網(wǎng)，分別為/24，/24，/24。管理員位于內網(wǎng)中在SSN中有三臺服務器，一臺是HTTP服務器（IP地址：），一臺是FTP服務器（IP地址：），一臺是郵件服務器（IP地址：）。配置步驟：1） 為網(wǎng)絡衛(wèi)士防火墻的物理接口配暨地址進入NETWORK組件：topsec#network配置Eth0接口IP：work#interfaceeth0ipadd0mask配置Eth1接口IP：work#interfaceethlipaddmask配置Eth2接口IP：work#interfaceeth2ipaddmask2） 內網(wǎng)中管理員通過瀏覽器登錄網(wǎng)絡衛(wèi)士防火墻，為區(qū)域資源綁定屬性，設置權限設置內網(wǎng)：綁定屬性為“Eth0”，權限選擇為禁止。設置外網(wǎng)：綁定屬性為“Eth1”，權限選擇為允許。設置SSN:綁定屬性為“Eth2”，權限選擇為禁止。3） 定義地址資源定義HTTP服務器： 主機名稱設為HTTP_SERVER,IP為。定義FTP服務器： 主機名稱設為FTP_SERVER,IP為。定義郵件服務器： 主機名稱設為MAIL_SERVER,IP為。定義虛擬HTTP服務器：主機名稱設為V_SERVER，IP為0。4） 定義訪問規(guī)則允許內網(wǎng)用戶訪問故歡服務器：源區(qū)域選擇“內網(wǎng)”；目的區(qū)域選擇“SSN”，目的地址選擇“HTTP_SERVER”；服務選擇“HTTP”；訪問權限選擇“允許”，并啟用該規(guī)則。允許內網(wǎng)用戶訪問郵件服務器源區(qū)域選擇“內網(wǎng)”；目的區(qū)域選擇“SSN”，目的地址選擇“MAIL_SERVER”；服務選擇“POP3”，“SMTP”；訪問權限選擇“允許”，并啟用該規(guī)則。允許內網(wǎng)用戶訪問叮P服務器源區(qū)域選擇“內網(wǎng)”；目的區(qū)域選擇“SSN”，目的地址選擇“FTP_SERVER”；服務選擇“FTP”；訪問權限選擇“允許”，并啟用該規(guī)則。允許外網(wǎng)用戶訪問〃TP服務器源區(qū)域選擇“外網(wǎng)”；目的區(qū)域選擇“SSN”，目的地址選擇“HTTP_SERVER”；服務選擇“HTTP”；訪問權限選擇“允許”，并啟用該規(guī)則。5） 定義地址轉換規(guī)則內網(wǎng)用戶通過源地址轉換訪問外網(wǎng)：轉換控制選擇“源轉換”；源區(qū)域選擇“內網(wǎng)”；目的區(qū)域選擇“外網(wǎng)”；服務不選，表示全部服務；源地址轉換為“eth1”。外網(wǎng)用戶通過目的地址轉換訪|、敢TTP服務器轉換控制選擇“目的轉換”；源區(qū)域選擇“外網(wǎng)”；目的區(qū)域選擇“SSN”，目的地址選擇“V_SERVER”；服務選擇“HTTP”；目的地址轉換為“HTTP_SERVER”。6） 定義路由為內網(wǎng)用戶訪|'問血"“成添加缺省路由!：目的地址設為“”；網(wǎng)關地址設為“”。添加回指路由，為發(fā)往內網(wǎng)的數(shù)據(jù)包指定路由目的地址設為“”；網(wǎng)關地址設為“0”

案例2：混合模式下通過ADSL撥號訪問外網(wǎng)外網(wǎng)即11：?用戶需求：1、 防火墻通過ADSL撥號獲取ethl的公網(wǎng)IP地址。2、 外網(wǎng)的機器不能訪問VLAN-1與VLAN-2；外網(wǎng)的機器可以訪問VLAN-33、 VLAN-1內的機器可以任意訪問外網(wǎng)（NAT方式）4、 VLAN-2和VLAN-3內的機器禁止訪問外網(wǎng)，允許VLAN-2訪問VLAN-3。網(wǎng)絡狀況：分公司的網(wǎng)絡衛(wèi)士防火墻工作在混合模式。Ethl為路由接口，屬于外網(wǎng)區(qū)域，通過路由器與外部網(wǎng)絡及ISP相連（該接口由ADSL撥號獲取公網(wǎng)IP）；Eth0和Eth2均為交換接口，Eth0工作在Trunk方式下，Eth2工作在Access方式下；Eth0下連接著2個VLAN，VLAN-1和VLAN-2；Eth2下連接著1個VLAN，VLAN-3。VLAN-1的IP為/24；VLAN-2的IP為/24；VLAN-3的IP為/24。管理主機位于VLAN-1內。配置步驟：1）通過CONSOLE口登錄網(wǎng)絡衛(wèi)士防火墻，配置基本信息進入network組件:t^psec#network添力口VLAN-1:work#vlanaddid1配置VLAN-1的管理IPwork#interfacevlan.0001ipaddmask配置eth0接口為交換接口work#interfaceeth0switchportmodetrunk設置eth0接口屬于VLAN-1work#interfaceeth0switchporttrunkallowed-vlan00012） 管理員通過JZAM7的管理尸登錄網(wǎng)絡衛(wèi)士防火墻，并綁定敬口和ADSL的撥號屬性、設置區(qū)域資源如相設置區(qū)域（外網(wǎng)）：綁定屬性為“adsl”；權限設為允許訪問。匕添加VLAN-2：管理IP設為“”，MASK設為“”添加VLAN-3：管理IP設為“”，MASK設為“設置eth0接口屬于心游2：VLAN范圍設為“1-2”3） 設置接口（eth2）設置為“交換接口”；接口類型為“access”；VLAN范圍為“3”4） 設置ADSL撥號參數(shù)接口設置為“eth1”；用戶名和密碼根據(jù)ISP服務商提供的參數(shù)值進行設置；綁定屬性為“adsl”5） 定義訪問規(guī)則&禁止VLAN-2用戶訪問外網(wǎng)：源VLAN選擇“VLAN.0002”；目的區(qū)域選擇“外網(wǎng)”；服務不選，表示全部服務；訪問權限選擇“拒絕”，并啟用該規(guī)則。禁止VLAN-3用戶訪問外網(wǎng)：源VLAN選擇“VLAN.0003”；目的區(qū)域選擇“外網(wǎng)”；服務不選，表示全部服務；訪問權限選擇“拒絕”，并啟用該規(guī)則。允許VLAN-2用戶訪問VLAN-3：源VLAN選擇“VLAN.0002”；目的VLAN選擇“VLAN.0003”；服務不選，表示全部服務；訪問權限選擇“允許”，并啟用該規(guī)則。禁止外網(wǎng)用戶訪^VLAN-1：源區(qū)域選擇“外網(wǎng)”；目的VLAN選擇“VLAN.0001”；服務不選，表示全部服務；訪問權限選擇“拒絕”，并啟用該規(guī)則禁止外網(wǎng)用戶訪問VLAN-2：源區(qū)域選擇“外網(wǎng)”；目的VLAN選擇“VLAN.0002”；服務不選，表示全部服務；訪問權限選擇“拒絕”，并啟用該規(guī)則6） 定義地址轉換規(guī)則VLAN-1用戶通過源地址轉換訪問外網(wǎng)轉換控制選擇“源轉換”；源VLAN選擇“VLAN.0001”；目的區(qū)域選擇“外網(wǎng)”；服務不選，表示全部服務；源地址轉換為“adsl”7） 撥號在防火墻上通過選擇網(wǎng)絡管理＞ADSL菜單，并點擊“開始撥號”按鈕進行ADSL撥號。建立ADSL連接成功后，在防火墻的路由表中會增加一條內網(wǎng)用戶訪問Internet的路由信息:源為“/0”；目的為“/0”；網(wǎng)關地址為ISP分配的公網(wǎng)IP地址（如：24）；接口為與Eth1口綁定的ppp0口（撥號成功后，系統(tǒng)自動創(chuàng)建了一個ppp0口）案例3：建立VPN隧道用戶需求：分公司的VLAN-1所在子網(wǎng)/24與總公司子網(wǎng)/24之間建立基于預共享密鑰認證的VPN通信。網(wǎng)絡狀況：總公司防火墻工作在路由模式下，接口Eth1（IP：）通過路由器與Internet相連；分公司防火墻工作在混合模式下，接口Eth1通過路由器與Internet相連，且Eth1口通過ADSL撥號獲取公網(wǎng)IP?？偣痉阑饓Φ腅th0口與Eth2口分別連接公司內網(wǎng)區(qū)和SSN區(qū)域，內網(wǎng)區(qū)有三個子網(wǎng)：/24、/24、/24。分公司防火墻的Eth0口與Eth2口分別連接內網(wǎng)的三個Vlan：VLAN-1、VLAN-2和VLAN-3，其中VLAN-1的IP為/24。配置步驟：1） 配置總公司防火墻，具體的配置步驟請參見（案例。2） 配置分公司防火墻，具體的配置步驟請參見（案例I。==下面只描述與建立VPN隧道有關的操作==3） 在總公司防火墻上開放如SecVPN”服務開放IPSecVPN服務：服務名稱為“IPSecVPN”；控制區(qū)域為“area_eth1”；控制地址為“any”4） 在分公司防火墻上開放服務開放IPSecVPN服務：服務名稱為“IPSecVPN”；控制區(qū)域為“area_eth1”；控制地址為“any”在總公司防火墻上綁定虛接口綁定虛接口：虛接口名為“ipsec0”；綁定接口名為“ethl”；接口地址為“”在分公司防火墻上綁定虛接口綁定虛接口：虛接口名為“ipsec0”；綁定接口名為“ethl”；接口地址為“”。在總公司防火墻上添加靜態(tài)隧道，隧道參數(shù)采用默認設置。添加靜態(tài)隧道：隧道名：zong-fenIKE協(xié)商模式：主模式認證方式=預共享密鑰，密鑰=as34Kui()本地標識：@202_8對方標識：@0_0對方地址：本地子網(wǎng)：本地掩碼：對方子網(wǎng)：對方掩碼：主動發(fā)起協(xié)商：是在分公司防火墻上添加靜態(tài)隧道，隧道參數(shù)采用默認設置添加靜態(tài)隧道：隧道名：fen-zongIKE協(xié)