Amaranten防火墻配置培訓課件

第八章節(jié)透明模式

第八章節(jié)什么是透明模式防火墻工作于透明模式的時候不需要修改原有的網絡中的路由和主機配置防火墻工作在透明模式時同樣可以實現(xiàn)所有的功能（如包過濾、代理、NAT等），毫不損失任何功能及性能阿姆瑞特F系列防火墻的透明工作模式基于ProxyARP技術什么是透明模式防火墻工作于透明模式的時候不需要修改原有的網ProxyARPARP代理路由器一端那些不知道已經劃分了子網的主機試圖直接將數(shù)據發(fā)送給目標主機，而目標主機位于路由器的另外一側，源主機發(fā)出一個ARP請求來查詢目標主機的MAC地址，我們知道，目標主機不會做出響應，因為它根本不會收到請求信息，所以通信就無法完成了。具有ProxyARP功能的路由器（或者是其它網絡設備）可以代替另外一端的主機用自己的MAC地址去響應那樣的ARP請求，接著源主機將數(shù)據發(fā)送給路由器，然后路由器再將數(shù)據包轉發(fā)出去。ProxyARPARP代理ARP地址解析協(xié)議MapIP MACLocalARPIP:Ethernet:0800.0020.2222IP:=???哦，我收到了你的請求，在我發(fā)給你的信息里有我的MAC地址我需要知道IP地址是的MAC地址IP:對應的MAC:0800.0020.2222IP:對應的MAC:0800.0020.1111IP:MAC:0800.0020.1111IP:MAC:0800.0020.2222ARP地址解析協(xié)議MapIP 透明接入原理IP:對應的MAC:0800.0020.2222IP:對應的MAC:0800.0020.1111IP:MAC:0800.0020.1111IP:MAC:0800.0020.2222IP:MAC:0800.0200.3333IP:IP:MAC:0800.0200.4444IP:對應的MAC:0800.0020.3333IP:對應的MAC:0800.0020.4444ARPProxy透明接入原理IP:IP:172.16.3配置防火墻－簡單示例Internetgw-worldint-net/24Internetgw-worldint-net/24配置防火墻－簡單示定義主機和網絡增加相應的主機和網絡第一條，第二條定義防火墻內口的ip地址以及廣播地址第三條，第四條定義防火墻外口的ip地址以及廣播地址第五條定義內網網段第六條定義管理網段第七條定義默認網關5555定義主機和網絡增加相應的主機和網絡192定義路由規(guī)則增加相應的路由規(guī)則第一條規(guī)則定義了到管理網絡的路由（為了不占用ip地址，防火墻內口使用了不同網段的ip地址）第二條規(guī)則定義了到內部網絡的路由，同時通過防火墻的外部網口ProxyARP內部網絡(/24)上所有主機的MAC地址。第三條規(guī)則定義了到網關的路由，同時通過防火墻的內部網口ProxyARP網關(/32)的MAC地址到內部網絡。第四條規(guī)則定義了防火墻的缺省路由。DMZ定義路由規(guī)則增加相應的路由規(guī)則DMZ制定過濾規(guī)則增加相應的過濾規(guī)則第一條規(guī)則刪除了所有NetBIOS數(shù)據包第二條規(guī)則允許管理網絡上的所有主機向防火墻發(fā)送ICMPechorequest(Ping)數(shù)據包第三條規(guī)則允許內部網絡上的主機和Internet上的主機進行通訊第四條規(guī)則刪除所有的數(shù)據包并對其進行記錄制定過濾規(guī)則增加相應的過濾規(guī)則試驗九：用戶可以提供2個可用的IP地址試驗十：用戶可以提供1個可用的IP地址試驗十一：用戶無法提供可用的IP地址試驗九：用戶可以提供2個可用的IP地址第九章節(jié)混合模式第九章節(jié)混合模式混合模式總體描敘：網絡中存在兩類IP地址。一種是公網IP。一種是私有IP,因此需要將防火墻工作在透明和路由/NAT模式下?；旌夏Ｊ娇傮w描敘：防火墻模式混合拓撲圖internet/24EXT:40INT:0DMZ:05防火墻模式混合拓撲圖internet/混合模式（一）防火墻模式混合Ext<------>DMZ透明INT-------->EXTNATDMZ<------>INT路由

混合模式（一）防火墻模式混合主機和網絡主機和網絡路由UseLocalIP

路由UseLocalIP過濾規(guī)則DMZEXTAll-netscompaqHttp-inAny_Allow_DMZ過濾規(guī)則DMZEXTAll-netscompaqHttp-i規(guī)則說明第四條規(guī)則內部區(qū)域連接到INTERNET經過NAT模式。第六條規(guī)則DMZ區(qū)域連接到INTERNET經過透明模式。規(guī)則說明第四條規(guī)則接口模式混合拓撲圖Internetfirewall/24EXT:00INT:50—70GW:0INT:49接口模式混合拓撲圖Internetfirewall192.1混合模式（二）端口模式混合Ext<------>INT即做透明又做地址翻譯。內網和外網即有公網IP.又有私有IP.這就是所謂的端口模式混合。1.在內網的公網IP經過透明出去。(雙向)2.在內網的私有IP經過NAT出去.(單向)混合模式（二）端口模式混合接口模式混合主機和網絡接口模式混合主機和網絡ARP綁定ARP綁定路由gateway路由gateway過濾規(guī)則過濾規(guī)則試驗十二：防火墻混合模式試驗十三：接口混合模式試驗十二：防火墻混合模式第十章節(jié):預共享密鑰式的VPN第十章節(jié):預共享密鑰式的VPN配置Pre-shareVPN隧道InternetLan5:0Lan5:0Lan1:Lan1:TypicaltopologyusedforconfiguringtheCorporateAmarantenforPre-sharekeysVPNBothendsofthetunnelwillneedtoconfigured配置Pre-shareVPN隧道InternetLan5開始配置預共享密鑰AVPNusingPre-sharedKeysrequirebothendsofthetunnelbemanuallyconfigured開始配置預共享密鑰AVPNusingPre-sharVPN隧道CreatenewVPNtunnelVPN隧道CreatenewVPNtunnelVPN隧道遠程Amaranten防火墻配置TunnelName:VPN_NANJINGLocalNetwork:/24RemoteNetwork:/24RemoteGateway:0

IKEProposal:ike-lantolanIPSecProposal:esp-tn-lantolan

Authenticaion:VPN_KEYVPN隧道遠程Amaranten防火墻配置預共享密鑰VPN隧道–總結TheVPNPre-sharedkeytableshowsalistofthePre-sharekeyscreated預共享密鑰VPN隧道–總結TheVPNPre-sh路由表的要求IN8.2orAbove8.2Thevpninterfaceregradedasanactualinteface路由表的要求IN8.2orAbove8.2The需要什么樣的規(guī)則CreateBi-directionRulsforvpnThevpnrulesshouldbeputatthetoptotherules需要什么樣的規(guī)則CreateBi-directionRuVpn監(jiān)控Cmd>vpnstats---IPsecSAs:1VPNTunnel:vpn-shanghaiEndpoints:/24Remotegateway:0Protocol:ESP:rijndael-cbchmac-sha1-962VPNTunnel:vpn-nanjingEndpoints:/24Remotegateway:0Protocol:ESP:rijndael-cbchmac-sha1-96Cmd>Vpn監(jiān)控Cmd>vpnstats試驗十四：共享密鑰的VPN配置

試驗十四：共享密鑰的VPN配置第十一章:ClavisterVPN客戶端軟件ConfiguringtheRemoteClientSoftwareUsingPre-sharedKeys第十一章:ClavisterVPN客戶端軟件Config如何工作?InternetVPNTunnel00Lan5:0Lan1:00ClientVPNisbuiltfromClientAtoDestinationNetwork－ConfiguredfromHostPCtoFirewall－Notdonefromfirewalltofirewall如何工作?InternetVPNTunnel172.30.開始WindwosTaskbarAfterInstallingAmaranten-RemoteSoftware,havingselectingallthedefaults,RebootYourPC－AfterthePCisrebooted,－3stepstoconfigureAmarantenRemoteAddPre-sharedKeysAddnewVPNConnectionDefinetheIPSecProtocols開始WindwosTaskbarAfterInstall創(chuàng)建一個預共享密鑰創(chuàng)建一個預共享密鑰添加新的VPN連接Bydefault,noVPNconnectionArecreated添加新的VPN連接Bydefault,noVPNc添加遠程網絡

hereyouneeddeployremotesubnetandsubmask添加遠程網絡

hereyouneeddeployr舉例如下舉例如下添加VPN舉例添加VPN舉例加密算法youcanselectanotherkindsofencryptionalgorithmsaccordingtoyourrequirements加密算法youcanselectanotherkin第十二章實現(xiàn)阿姆瑞特防火墻的

PBR功能

<下接三層設備>實驗機型：AS_F300-pro內核版本：8.40.01第十二章實現(xiàn)阿姆瑞特防火墻的

PBR功能

<下接三層設備>拓撲環(huán)境描述InternetSiSi計算機計算機計算機計算機Net_LAN-01:/24Net_LAN-02:/24IP_LAN-R:/30GW_Internal:/30IP_WAN-Telcom:/29IP_WAN-CNC:/29GW_World-Telcom:/29GW_World-CNC:/29拓撲環(huán)境描述InternetSiSi計算機計算機計算機計算機實驗環(huán)境描述：網絡有兩個出口，分別是中國電信和中國網通，都可以接入因特網內網有多個子網，由三層交換接入防火墻lan1接口防火墻接口定義：lan1接內網，連接三層交換機，IP地址為：/30，內部網關為：/30lan2接中國電信GW_World-Telcom:/29 接口IP地址為：Net_WAN-Telcom:/29lan3接中國電信GW_World-CNC:/29 接口IP地址為：Net_WAN-CNC:/29實驗達到的目的：使用PBR，使內網中/24網絡的計算機從中國電信 GW_World-Telcom出去上網，使內網/24網絡從 中國網通GW_World-CNC出去上網拓撲環(huán)境描述和目的實驗環(huán)境描述：實驗達到的目的：拓撲環(huán)境描述和目的建立網絡對象： 在“局部對象”-

“主機和網絡”中定義網絡拓撲中出現(xiàn)的所有對象，命名策略必須遵照“阿姆瑞特命名規(guī)范.PPT”防火墻配置第一步<1>建立網絡對象： 在“局部對象”-“主機和網絡”中定義網防火墻配置第一步<2>建立網絡對象：

檢查“局部對象”-

“主機和網絡”中定義網絡拓撲中出現(xiàn)的所有對象定義電信接口lan2的IP地址,以及電信分配的接口lan2所連接網絡的廣播地址和網絡地址；Internet的電信網關地址：GW_World-Telcom定義內網接口lan1的IP地址（lan1下聯(lián)三層設備）,以及內網接口lan1所連接網絡的廣播地址和網絡地址；Internal網關地址：GW_Internal定義網通接口lan3的IP地址,以及網通分配的接口lan3所連接網絡的廣播地址和網絡地址；Internet的網通網關地址：GW_World-CNC定義內網接口三層設備（GW_Internal）所連接的網絡,并將連接的網絡Net_LAN01和Net_LAN02組合成為一個Group_All_LAN組防火墻配置第一步<2>建立網絡對象： 檢查“局部對象配置置接口的地址和所連接網絡的廣播地址： 在“網絡接口”-

“以太網”里確定IP地址和廣播地址的綁定防火墻配置第二步<1>配置置接口的地址和所連接網絡的廣播地址： 在“網絡接口”-防火墻配置第二步<2>配置接口速度和雙工模式： 在“網絡接口”-

“以太網”里配置相應接口的速度和雙工模式防火墻配置第二步<2>配置接口速度和雙工模式： 在“網添加和配置主路由： 在“路由設置”-

“主路由表”里添加和設置路由防火墻配置第三步<1>添加和配置主路由： 在“路由設置”-“主路由表”里添加防火墻配置第三步<2>確定在“主路由表”里添加和配置的主路由的順序4、檢查內網接口lan1直連三層設備的路由7、檢查網通接口lan3直連網絡的直接路由9、檢查電信接口lan2的缺省路由設置（必須放在最后）

1、檢查管理接口lan5直連網絡的直接路由5、內網接口lan1通過三層設備GW_Internal到達Group_ALL_LAN。8、檢查電信接口lan2直連網絡的直接路由防火墻配置第三步<2>確定在“主路由表”里添加和配置的添加和配置策略路由： 在“路由設置”-

“基于策略的路由表”里添加和設置策略路由防火墻配置第三步<3>Default-表示首先要查詢主路由表。如果只有缺省路由(/0)匹配，則查詢命名路由表。如果在命名路由表的查詢失敗，就認為整個查詢失敗了。First-

表示首先要查詢的命名路由表。如果查詢失敗，則在主路由表里繼續(xù)查詢。添加和配置策略路由： 在“路由設置”-“基于策略的路由防火墻配置第三步<4>添加和配置策略路由： 在“路由設置”-“基于策略的路由規(guī)則”里添加和設置策略路由的規(guī)則注意：只有基于策略的路由規(guī)則與過濾規(guī)則匹配時，才會激活策略路由，就是說在過濾規(guī)則里也需要有和策略路由規(guī)則相同的規(guī)則才行。目標的接口地址必須選擇選擇any，絕對不可以選擇策略路由里的接口Net_lan-02Net_lan-02Net_lan-02防火墻配置第三步<4>添加和配置策略路由： 在“路由設添加PBR出口的access規(guī)則添加PBR出口的access規(guī)則配置過濾規(guī)則： 在“過濾規(guī)則”里設置訪問控制規(guī)則，規(guī)則的設計是根據客戶的需求來定義的，且規(guī)則的建立必須在“DropAll”規(guī)則之上防火墻配置第四步配置過濾規(guī)則： 在“過濾規(guī)則”里設置訪問控制規(guī)則，規(guī)則的設計第1步 新建規(guī)則：右鍵單擊“DropAll”，選擇“NewRules”,規(guī)則名稱必須遵照“阿姆瑞特命名規(guī)范.doc”，按照設計思路定義源接口、源網絡、目標接口和目標網絡設置過濾規(guī)則第1步Net_lan-02any第1步 新建規(guī)則：右鍵單擊“DropAll”，選擇“New第2步 設置服務：根據客戶需求打開相應的服務，不確定的用“標準”，基于安全考慮，Web服務器只需要對外開放80端口就可以。設置過濾規(guī)則第2步第2步 設置服務：根據客戶需求打開相應的服務，不確定的用“標第3步設置日志記錄方式： 根據客戶需求打開或關閉此條規(guī)則的日志記錄，不確定的“程度”選擇“Notice”；“日志服務器”選擇“All”設置過濾規(guī)則第3步第3步設置日志記錄方式： 根據客戶需求打開或關閉此條規(guī)第4步 確定規(guī)則設置順序，完成后的過濾規(guī)則如下圖設置過濾規(guī)則第4步1、丟棄所有的NetBIOS/SMB數(shù)據包

（默認規(guī)則）

3、允許Net_LAN-01通過電信出口lan2訪問Internet上的FTP服務器4、允許Net_LAN-02通過網通出口lan3訪問Internet上的FTP服務器（必須和策略路由規(guī)則一樣）9、丟棄所有與上面規(guī)則不匹配的數(shù)據包（默認規(guī)則）

注意：阿姆瑞特防火墻的過濾規(guī)則是按照由上到小的順序執(zhí)行的，所以在設計過濾規(guī)則的時候必須注意順序8、允許管理網絡可以Ping防火墻5、允許Net_LAN-01通過電信出口lan2訪問Internet6、允許Net_LAN-02通過網通出口lan3訪問Internet（必須和策略路由規(guī)則一樣）第4步 確定規(guī)則設置順序，完成后的過濾規(guī)則如下圖設置過濾規(guī)則將配置簽入:在“工具欄”里點擊或如下圖，成功后防火墻旁邊的小紅點將消失防火墻配置第五步將配置簽入:在“工具欄”里點擊將配置上傳到防火墻并激活：在“工具欄”里點擊或，選擇需要配置的防火墻防火墻配置第六步將配置上傳到防火墻并激活：在“工具欄”里點擊

分別在Net_LAN-01，Net_LAN-02的網絡中訪問外網，簡單的可以做Ping測試，Ping一個外網的DNS服務器，例如：，并對內網訪問Internet的規(guī)則進行日志記錄，我們可以抓取實時日志進行分析。測試分別在Net_LAN-01，Net_LAN-02試驗十五：PBR配置

試驗十五：PBR配置

謝謝Amaranten防火墻配置培訓演講完畢，謝謝觀看！演講完畢，謝謝觀看！第八章節(jié)透明模式

第八章節(jié)什么是透明模式防火墻工作于透明模式的時候不需要修改原有的網絡中的路由和主機配置防火墻工作在透明模式時同樣可以實現(xiàn)所有的功能（如包過濾、代理、NAT等），毫不損失任何功能及性能阿姆瑞特F系列防火墻的透明工作模式基于ProxyARP技術什么是透明模式防火墻工作于透明模式的時候不需要修改原有的網ProxyARPARP代理路由器一端那些不知道已經劃分了子網的主機試圖直接將數(shù)據發(fā)送給目標主機，而目標主機位于路由器的另外一側，源主機發(fā)出一個ARP請求來查詢目標主機的MAC地址，我們知道，目標主機不會做出響應，因為它根本不會收到請求信息，所以通信就無法完成了。具有ProxyARP功能的路由器（或者是其它網絡設備）可以代替另外一端的主機用自己的MAC地址去響應那樣的ARP請求，接著源主機將數(shù)據發(fā)送給路由器，然后路由器再將數(shù)據包轉發(fā)出去。ProxyARPARP代理ARP地址解析協(xié)議MapIP MACLocalARPIP:Ethernet:0800.0020.2222IP:=???哦，我收到了你的請求，在我發(fā)給你的信息里有我的MAC地址我需要知道IP地址是的MAC地址IP:對應的MAC:0800.0020.2222IP:對應的MAC:0800.0020.1111IP:MAC:0800.0020.1111IP:MAC:0800.0020.2222ARP地址解析協(xié)議MapIP 透明接入原理IP:對應的MAC:0800.0020.2222IP:對應的MAC:0800.0020.1111IP:MAC:0800.0020.1111IP:MAC:0800.0020.2222IP:MAC:0800.0200.3333IP:IP:MAC:0800.0200.4444IP:對應的MAC:0800.0020.3333IP:對應的MAC:0800.0020.4444ARPProxy透明接入原理IP:IP:172.16.3配置防火墻－簡單示例Internetgw-worldint-net/24Internetgw-worldint-net/24配置防火墻－簡單示定義主機和網絡增加相應的主機和網絡第一條，第二條定義防火墻內口的ip地址以及廣播地址第三條，第四條定義防火墻外口的ip地址以及廣播地址第五條定義內網網段第六條定義管理網段第七條定義默認網關5555定義主機和網絡增加相應的主機和網絡192定義路由規(guī)則增加相應的路由規(guī)則第一條規(guī)則定義了到管理網絡的路由（為了不占用ip地址，防火墻內口使用了不同網段的ip地址）第二條規(guī)則定義了到內部網絡的路由，同時通過防火墻的外部網口ProxyARP內部網絡(/24)上所有主機的MAC地址。第三條規(guī)則定義了到網關的路由，同時通過防火墻的內部網口ProxyARP網關(/32)的MAC地址到內部網絡。第四條規(guī)則定義了防火墻的缺省路由。DMZ定義路由規(guī)則增加相應的路由規(guī)則DMZ制定過濾規(guī)則增加相應的過濾規(guī)則第一條規(guī)則刪除了所有NetBIOS數(shù)據包第二條規(guī)則允許管理網絡上的所有主機向防火墻發(fā)送ICMPechorequest(Ping)數(shù)據包第三條規(guī)則允許內部網絡上的主機和Internet上的主機進行通訊第四條規(guī)則刪除所有的數(shù)據包并對其進行記錄制定過濾規(guī)則增加相應的過濾規(guī)則試驗九：用戶可以提供2個可用的IP地址試驗十：用戶可以提供1個可用的IP地址試驗十一：用戶無法提供可用的IP地址試驗九：用戶可以提供2個可用的IP地址第九章節(jié)混合模式第九章節(jié)混合模式混合模式總體描敘：網絡中存在兩類IP地址。一種是公網IP。一種是私有IP,因此需要將防火墻工作在透明和路由/NAT模式下?；旌夏Ｊ娇傮w描敘：防火墻模式混合拓撲圖internet/24EXT:40INT:0DMZ:05防火墻模式混合拓撲圖internet/混合模式（一）防火墻模式混合Ext<------>DMZ透明INT-------->EXTNATDMZ<------>INT路由

混合模式（一）防火墻模式混合主機和網絡主機和網絡路由UseLocalIP

路由UseLocalIP過濾規(guī)則DMZEXTAll-netscompaqHttp-inAny_Allow_DMZ過濾規(guī)則DMZEXTAll-netscompaqHttp-i規(guī)則說明第四條規(guī)則內部區(qū)域連接到INTERNET經過NAT模式。第六條規(guī)則DMZ區(qū)域連接到INTERNET經過透明模式。規(guī)則說明第四條規(guī)則接口模式混合拓撲圖Internetfirewall/24EXT:00INT:50—70GW:0INT:49接口模式混合拓撲圖Internetfirewall192.1混合模式（二）端口模式混合Ext<------>INT即做透明又做地址翻譯。內網和外網即有公網IP.又有私有IP.這就是所謂的端口模式混合。1.在內網的公網IP經過透明出去。(雙向)2.在內網的私有IP經過NAT出去.(單向)混合模式（二）端口模式混合接口模式混合主機和網絡接口模式混合主機和網絡ARP綁定ARP綁定路由gateway路由gateway過濾規(guī)則過濾規(guī)則試驗十二：防火墻混合模式試驗十三：接口混合模式試驗十二：防火墻混合模式第十章節(jié):預共享密鑰式的VPN第十章節(jié):預共享密鑰式的VPN配置Pre-shareVPN隧道InternetLan5:0Lan5:0Lan1:Lan1:TypicaltopologyusedforconfiguringtheCorporateAmarantenforPre-sharekeysVPNBothendsofthetunnelwillneedtoconfigured配置Pre-shareVPN隧道InternetLan5開始配置預共享密鑰AVPNusingPre-sharedKeysrequirebothendsofthetunnelbemanuallyconfigured開始配置預共享密鑰AVPNusingPre-sharVPN隧道CreatenewVPNtunnelVPN隧道CreatenewVPNtunnelVPN隧道遠程Amaranten防火墻配置TunnelName:VPN_NANJINGLocalNetwork:/24RemoteNetwork:/24RemoteGateway:0

IKEProposal:ike-lantolanIPSecProposal:esp-tn-lantolan

Authenticaion:VPN_KEYVPN隧道遠程Amaranten防火墻配置預共享密鑰VPN隧道–總結TheVPNPre-sharedkeytableshowsalistofthePre-sharekeyscreated預共享密鑰VPN隧道–總結TheVPNPre-sh路由表的要求IN8.2orAbove8.2Thevpninterfaceregradedasanactualinteface路由表的要求IN8.2orAbove8.2The需要什么樣的規(guī)則CreateBi-directionRulsforvpnThevpnrulesshouldbeputatthetoptotherules需要什么樣的規(guī)則CreateBi-directionRuVpn監(jiān)控Cmd>vpnstats---IPsecSAs:1VPNTunnel:vpn-shanghaiEndpoints:/24Remotegateway:0Protocol:ESP:rijndael-cbchmac-sha1-962VPNTunnel:vpn-nanjingEndpoints:/24Remotegateway:0Protocol:ESP:rijndael-cbchmac-sha1-96Cmd>Vpn監(jiān)控Cmd>vpnstats試驗十四：共享密鑰的VPN配置

試驗十四：共享密鑰的VPN配置第十一章:ClavisterVPN客戶端軟件ConfiguringtheRemoteClientSoftwareUsingPre-sharedKeys第十一章:ClavisterVPN客戶端軟件Config如何工作?InternetVPNTunnel00Lan5:0Lan1:00ClientVPNisbuiltfromClientAtoDestinationNetwork－ConfiguredfromHostPCtoFirewall－Notdonefromfirewalltofirewall如何工作?InternetVPNTunnel172.30.開始WindwosTaskbarAfterInstallingAmaranten-RemoteSoftware,havingselectingallthedefaults,RebootYourPC－AfterthePCisrebooted,－3stepstoconfigureAmarantenRemoteAddPre-sharedKeysAddnewVPNConnectionDefinetheIPSecProtocols開始WindwosTaskbarAfterInstall創(chuàng)建一個預共享密鑰創(chuàng)建一個預共享密鑰添加新的VPN連接Bydefault,noVPNconnectionArecreated添加新的VPN連接Bydefault,noVPNc添加遠程網絡

hereyouneeddeployremotesubnetandsubmask添加遠程網絡

hereyouneeddeployr舉例如下舉例如下添加VPN舉例添加VPN舉例加密算法youcanselectanotherkindsofencryptionalgorithmsaccordingtoyourrequirements加密算法youcanselectanotherkin第十二章實現(xiàn)阿姆瑞特防火墻的

PBR功能

<下接三層設備>實驗機型：AS_F300-pro內核版本：8.40.01第十二章實現(xiàn)阿姆瑞特防火墻的

PBR功能

<下接三層設備>拓撲環(huán)境描述InternetSiSi計算機計算機計算機計算機Net_LAN-01:/24Net_LAN-02:/24IP_LAN-R:/30GW_Internal:/30IP_WAN-Telcom:/29IP_WAN-CNC:/29GW_World-Telcom:/29GW_World-CNC:/29拓撲環(huán)境描述InternetSiSi計算機計算機計算機計算機實驗環(huán)境描述：網絡有兩個出口，分別是中國電信和中國網通，都可以接入因特網內網有多個子網，由三層交換接入防火墻lan1接口防火墻接口定義：lan1接內網，連接三層交換機，IP地址為：/30，內部網關為：/30lan2接中國電信GW_World-Telcom:/29 接口IP地址為：Net_WAN-Telcom:/29lan3接中國電信GW_World-CNC:/29 接口IP地址為：Net_WAN-CNC:/29實驗達到的目的：使用PBR，使內網中/24網絡的計算機從中國電信 GW_World-Telcom出去上網，使內網/24網絡從 中國網通GW_World-CNC出去上網拓撲環(huán)境描述和目的實驗環(huán)境描述：實驗達到的目的：拓撲環(huán)境描述和目的建立網絡對象： 在“局部對象”-

“主機和網絡”中定義網絡拓撲中出現(xiàn)的所有對象，命名策略必須遵照“阿姆瑞特命名規(guī)范.PPT”防火墻配置第一步<1>建立網絡對象： 在“局部對象”-“主機和網絡”中定義網防火墻配置第一步<2>建立網絡對象：

檢查“局部對象”-

“主機和網絡”中定義網絡拓撲中出現(xiàn)的所有對象定義電信接口lan2的IP地址,以及電信分配的接口lan2所連接網絡的廣播地址和網絡地址；Internet的電信網關地址：GW_World-Telcom定義內網接口lan1的IP地址（lan1下聯(lián)三層設備）,以及內網接口lan1所連接網絡的廣播地址和網絡地址；Internal網關地址：GW_Internal定義網通接口lan3的IP地址,以及網通分配的接口lan3所連接網絡的廣播地址和網絡地址；Internet的網通網關地址：GW_World-CNC定義內網接口三層設備（GW_Internal）所連接的網絡,并將連接的網絡Net_LAN01和Net_LAN02組合成為一個Group_All_LAN組防火墻配置第一步<2>建立網絡對象： 檢查“局部對象配置置接口的地址和所連接網絡的廣播地址： 在“網絡接口”-

“以太網”里確定IP地址和廣播地址的綁定防火墻配置第二步<1>配置置接口的地址和所連接網絡的廣播地址： 在“網絡接口”-防火墻配置第二步<2>配置接口速度和雙工模式： 在“網絡接口”-

“以太網”里配置相應接口的速度和雙工模式防火墻配置第二步<2>配置接口速度和雙工模式： 在“網添加和配置主路由： 在“路由設置”-

“主路由表”里添加和設置路由防火墻配置第三步<1>添加和配置主路由： 在“路由設置”-“主路由表”里添加防火墻配置第三步<2>確定在“主路由表”里添加和配置的主路由的順序4、檢查內網接口lan1直連三層設備的路由7、檢查網通接口lan3直連網絡的直接路由9、檢查電信接口lan2的缺省路由設置（必須放在最后）

1、檢查管理接口lan5直連網絡的直接路由5、內網接口lan1通過三層設備GW_Internal到達Group_ALL_LAN。8、檢查電信接口lan2直連網絡的直接路由防火墻配置第三步<2>確定在“主路由表”里添加和配置的添加和配置策略路由： 在“路由設置”-

“基于策略的路由表”里添加和設置策略路由防火墻配置第三步<