實(shí)驗(yàn)十一藍(lán)盾防火墻的連接與登錄配置

藍(lán)盾防火墻IP地址:藍(lán)盾防火墻IP地址:00子網(wǎng)掩碼：SC實(shí)驗(yàn)十一藍(lán)盾防火墻的連接與登錄配置【實(shí)驗(yàn)名稱(chēng)】防火墻的連接與登錄配置【計(jì)劃學(xué)時(shí)】2學(xué)時(shí)【實(shí)驗(yàn)?zāi)康摹?、 掌握防火墻的基本連線(xiàn)方法；2、 通過(guò)安裝控制中心，實(shí)現(xiàn)防火墻的登錄；3、了解防火墻的基本設(shè)置、管理模式和操作規(guī)范；4、理解規(guī)則的建立過(guò)程。【基本原理】對(duì)于防火墻的連接，在本實(shí)驗(yàn)里設(shè)定LAN口為內(nèi)網(wǎng)接口，WAN口為外網(wǎng)接口。DMZ(DemilitarizedZone)，即”非軍事化區(qū)”，它是一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開(kāi)的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過(guò)這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對(duì)攻擊者來(lái)說(shuō)又多了一道關(guān)卡。藍(lán)盾防火墻允許網(wǎng)口信息名稱(chēng)自定義，支持多線(xiàn)接入，使得應(yīng)用范圍擴(kuò)大?！緦?shí)驗(yàn)拓?fù)洹抗芾砜谀J(rèn)IP地址：子網(wǎng)掩碼：實(shí)驗(yàn)步驟】、了解防火墻初始配置1、端口默認(rèn)配置：網(wǎng)口IP地址掩碼備注Ethl—ADMIN默認(rèn)管理口Eth2—LAN默認(rèn)內(nèi)網(wǎng)口Eth3—DMZ48默認(rèn)DMZ口

Eth4—WAN可上網(wǎng)的IP,本教材以為外網(wǎng)IP默認(rèn)外網(wǎng)口其中，Ethl（即ADMIN口，以后提到以ADMIN代替，其他網(wǎng)口以同樣規(guī)則稱(chēng)呼）默認(rèn)的打開(kāi)了81端口（HTTP）和441端口（HTTPS）以供管理防火墻使用。本實(shí)驗(yàn)我們利用網(wǎng)線(xiàn)連接ADMIN口與管理PC，并設(shè)置好管理PC的IP地址。2、默認(rèn)所有配置均為空，可在管理界面得到防火墻詳細(xì)的運(yùn)行信息。二、利用瀏覽器登陸防火墻管理界面1、 根據(jù)拓?fù)鋱D將PC機(jī)與防火墻的ADMIN網(wǎng)口連接起來(lái)，當(dāng)需要連接內(nèi)部子網(wǎng)或外線(xiàn)連接時(shí)也只需要將線(xiàn)路連接在對(duì)應(yīng)網(wǎng)口上2、 客戶(hù)端設(shè)置，以XP為例，打開(kāi)網(wǎng)絡(luò)連接，設(shè)置本地連接IP地址：此連接應(yīng)用下刮琪目①取梢迪—?jiǎng)“⒒旮舻恼杉痛駿U機(jī)共草型空空少+.fctfsff,箱動(dòng)數(shù)據(jù)包此連接應(yīng)用下刮琪目①取梢迪—?jiǎng)“⒒旮舻恼杉痛駿U機(jī)共草型空空少+.fctfsff,箱動(dòng)數(shù)據(jù)包狀態(tài)：詩(shī)續(xù)時(shí)間:湮度：連按時(shí)便用崛ImtclmPS0/100*A1<KonLW配豐瞪).說(shuō)明緊用0綿am |Internet悔iR(TiCFflT)屋性廠(chǎng)目動(dòng)菽篠IP睛址翅斤砸"Fife的TF池韭⑥IF地址⑴152 ]B3 0 .L9Dr -：c存便用下近的JiEJ?務(wù)劈地址ITS'AMS照務(wù)器②: | : : _事用M3黒務(wù)更⑥:3、“開(kāi)始”“運(yùn)行”，輸入“CMD”，打開(kāi)命令行窗口，使用ping命令測(cè)試防火墻和管理PC間是否能互通。C；\DocunentsandSettingsxildministrator>pingrPinginguith32bytesofdatafrom192.168..0.1：bytes=32time<lmsITL=64fron192.168..0.1：bytes=32time<lmsTTL-64￡i*on192.,1&8..0.1：bytes=32time<lmsTTL=64￡1*0Ft192,.168,1：bytes=32time<lmsTTL-64RepipReplyReplyReplyPingstatisticsfor：Packets:Sent=4,Raceiued=4,Lost=0(0Zloss),Approxinateroundtriptinesinnilli-seconds:Mininum=0ms,Maxinun=0ns,Auerage=Bns4、打開(kāi)IE瀏覽器，輸入管理地址http://:81或是https://:441，進(jìn)入歡迎界面:如果是通過(guò)HTTPS訪(fǎng)問(wèn)，會(huì)出現(xiàn)安全證書(shū)提示。點(diǎn)擊“是”，會(huì)出現(xiàn)登錄窗口

密碼:用戶(hù)君藍(lán)倍息安全技術(shù)股份有限公司bluedone密碼:用戶(hù)君藍(lán)倍息安全技術(shù)股份有限公司bluedone國(guó)藍(lán)盾BLUEDONOFCHINA5、在防火墻的歡迎界面輸入用戶(hù)名和密碼，默認(rèn)用戶(hù)名和密碼為admin/888888，點(diǎn)擊登錄”進(jìn)入防火墻管理系統(tǒng)。宿況速率網(wǎng)絡(luò)設(shè)置.對(duì)象設(shè)蚤防火墻LI1AP認(rèn)證帶寬管理血圉渥盾藍(lán)盾多功能防火墻BLUEDOHOFCHINA黃于藍(lán)盾信息安全技術(shù)股份有限公司CgWciht?2008?231版權(quán)所有系統(tǒng)服務(wù)“網(wǎng)絡(luò)接口信息m?⑧ri 茵頁(yè) 舉助 懊定 退出CPU(E%}內(nèi)存(7%)妄聞昵；?更新時(shí)閆LA.N1LAN2I卩地址192.16B.0.1MAC地址 MTU00:EO:4C:50:34:98 150000：E0:4C：50：3499 1500接收（出樹(shù)2561433483S332LAN宿況速率網(wǎng)絡(luò)設(shè)置.對(duì)象設(shè)蚤防火墻LI1AP認(rèn)證帶寬管理血圉渥盾藍(lán)盾多功能防火墻BLUEDOHOFCHINA黃于藍(lán)盾信息安全技術(shù)股份有限公司CgWciht?2008?231版權(quán)所有系統(tǒng)服務(wù)“網(wǎng)絡(luò)接口信息m?⑧ri 茵頁(yè) 舉助 懊定 退出CPU(E%}內(nèi)存(7%)妄聞昵；?更新時(shí)閆LA.N1LAN2I卩地址192.16B.0.1MAC地址 MTU00:EO:4C:50:34:98 150000：E0:4C：50：3499 1500接收（出樹(shù)2561433483S332LAN31Q.0.0.100:E0:4C:50:34:9A 150000：EO：4C：50：34:9B 15007873139117S7728544S0256k網(wǎng)絡(luò)服務(wù)卜VPN卜報(bào)表曰志.02:29:49up23:53,1user,loadaverage:0.08,0.02,0.01笈送（出牌］37367921119254100Mb1000MbDHCP甦SIP手冬VPNIPSec惑VPNL2TP歪務(wù)腰心應(yīng)用日志韻務(wù)器沛瑩栓測(cè)烹篷甬戶(hù)認(rèn)證韻務(wù)?恙壬玉藝闍絡(luò)時(shí)鐘菠務(wù)匚忖S一主E圣廷SNMP棧理三、防火墻配置術(shù)語(yǔ)與約定操作1、網(wǎng)絡(luò)、主機(jī)、端口IP地址定義格式類(lèi)同：

IP地址范圍指在一個(gè)IP網(wǎng)段連續(xù)的IP地址，也可以跨越不同的子網(wǎng)，定義格式類(lèi)同：-68子網(wǎng)定義為在同一網(wǎng)絡(luò)的IP地址段，格式為任何一IP地址和掩碼地址，有兩種定義方式：//24端口是服務(wù)的端口（范圍：1-65535），防火墻中已經(jīng)預(yù)定義了常用的端口，也提供自定義端口，端口定義格式類(lèi)同：217070端口范圍定義格式為：137:1392、 描述防火墻中，幾乎所有的配置都可以加入備注，主要是為了管理員方便記憶和識(shí)別序號(hào)▲￡ip燥則描述啟動(dòng)廠(chǎng)118全部允許這里是備注涉廠(chǎng)13:全部允許◎廠(chǎng)3、 視圖操作防火墻有一部分內(nèi)容（如報(bào)表視圖）小標(biāo)題左側(cè)有加減號(hào)，通過(guò)點(diǎn)擊該符號(hào)可以起到展開(kāi)收起的功能，可以使視圖更為簡(jiǎn)潔明了：□網(wǎng)貉盍量SS計(jì)2010-04-0500:45:00」 網(wǎng)口周期A(yíng)dmin□網(wǎng)貉盍量SS計(jì)2010-04-0500:45:00」 網(wǎng)口周期A(yíng)dmin當(dāng)前以前LAN 當(dāng)前以前WAN 當(dāng)前以前向菟進(jìn)出進(jìn)出進(jìn)出進(jìn)出進(jìn)出進(jìn)出當(dāng)前比率0.0bib's0.0bit/s0.0bib's0.0bit's0.0b詵0.0bit/s水時(shí)1.1MBMB2.9MBMB0.0KBC.CKB0.0KBC.OKB955.0KBMB1.3MBMBMB14MBMB5&E-.2MBO.QKBC.CKBMB150.6MB555.0KB1.5MBMBMB周1.1GBS&7.014BO.OKBC.CKB168.2M3740.5I4BQ.QKBC.CKB645.0MB32-2.0MBQ.QKBC.CKBGBMB0.0KBC.CKBMBI4BQ.QKBC.CKBMB32-0.7I4BO.QKBC.CKB4、 創(chuàng)建、編輯、刪除規(guī)則防火墻中需要對(duì)規(guī)則進(jìn)行操作，比如NAT、屏蔽IP、管理界面訪(fǎng)問(wèn)權(quán)限等；典型的規(guī)則配置過(guò)程如下（以SNAT策略為例）：添加策略：在“增加設(shè)置”中，設(shè)置相應(yīng)參數(shù)，單擊保存則在“設(shè)置列表”添加了一個(gè)規(guī)則：

編輯現(xiàn)有的規(guī)則