防火墙典型配置举例

SecPath系列防火墙IPSec典型配置举例关键词：IKE、IPSec摘要：本章首先介绍了IKE和IPSec的基本概念，随后说明了防火墙的配置方法，最后给出两种典型应用的举例。

缩略语：缩略语英文全名中文解释IKE Internet Key Exchange 因特网密钥交换Security IP网络安全协议IPsec IP目录1 特性简介 (3)1.1 IPSec基本概念 (3)1.1.1 SA (3)1.1.2 封装模式 (3)2 应用场合 (4)3 配置指南 (4)3.1 配置概述 (4)3.2 配置ACL (6)3.3 配置IKE (6)3.3.1 配置IKE全局参数 (6)3.3.2 配置IKE安全提议 (7)3.3.3 配置IKE对等体 (8)3.4 IPSec安全提议 (10)3.5 配置安全策略模板 (12)3.6 配置安全策略 (14)3.7 应用安全策略组 (16)4 配置举例一：基本应用 (17)4.1 组网需求 (17)4.2 使用版本 (18)4.3 配置步骤 (18)4.4 配置结果验证 (27)4.4.1 查看IPSec安全联盟 (27)4.4.2 查看报文统计 (27)5 配置举例二：与NAT结合 (27)5.1 组网需求 (27)5.2 配置说明 (28)5.3 配置步骤 (28)5.4 配置验证结果 (34)5.4.1 查看IPSec安全联盟 (34)5.4.2 查看报文统计 (35)6 注意事项 (35)7 相关资料 (35)7.1 相关协议和标准 (35)7.2 其它相关资料 (36)1 特性简介IPsec（IP Security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。

特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

IPsec通过AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）这两个安全协议来实现上述目标，并且还可以通过IKE（Internet Key Exchange，因特网密钥交换协议）为IPsec提供自动协商交换密钥、建立和维护安全联盟的服务，以简化IPsec 的使用和管理。

防火墙透明模式典型配置举例防火墙透明模式是一种常见的网络安全配置，它允许防火墙在网络上作为透明的桥接设备，无需修改网络设备的IP地址和配置，对所有网络流量进行过滤和监控。

本文将以一个典型的企业网络环境为例，详细介绍防火墙透明模式的配置。

1.网络拓扑假设企业网络中有一个内部局域网（LAN）和一个外部网络（WAN），分别连接到防火墙的两个接口。

内部局域网的网段为192.168.0.0/24，防火墙的局域网接口IP地址为192.168.0.1；外部网络的网段为202.100.100.0/24，防火墙的广域网接口IP地址为202.100.100.1、防火墙的透明模式设置在两个接口之间。

2.配置步骤（1）配置局域网接口IP地址：登录防火墙管理界面，在网络设置中找到局域网接口，设置IP地址为192.168.0.1，子网掩码为255.255.255.0。

这样，防火墙就可以与内部网络通信。

（2）配置广域网接口IP地址：同样在网络设置中找到广域网接口，设置IP地址为202.100.100.1，子网掩码为255.255.255.0。

这样，防火墙就可以与外部网络通信。

（3）配置透明模式：在防火墙的透明模式设置中，将局域网接口和广域网接口进行桥接。

在桥接配置中，选择透明模式，并将局域网接口和广域网接口绑定在一个桥接组中。

（4）配置ACL（访问控制列表）：通过ACL可以定义防火墙的过滤规则，控制允许和禁止的流量。

例如，可以设置允许内部网络对外访问的规则，禁止特定IP地址的访问规则等。

在防火墙管理界面的策略设置中，创建相应的ACL规则。

（5）配置NAT（网络地址转换）：NAT可以将内部网络的私有IP地址映射为公共IP地址，实现内部网络对外部网络的访问。

在防火墙的NAT设置中，配置相应的NAT规则。

（6）配置日志功能：在防火墙中启用日志功能，记录所有的网络流量和安全事件。

可以将日志信息发送到指定的日志服务器，方便网络管理员进行监控和分析。

SecBlade防火墙插卡配置管理典型配置举例关键词：配置管理，备份摘要：配置管理模块主要用于对SecBlade防火墙插卡进行配置保存（加密和非加密）、备份、配置恢复和恢复出厂配置，用户可以在web页面方便地对设备的配置进行维护和管理。

缩略语：缩略语英文全名中文解释- - -目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (3)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 基本配置 (4)4.4.2 配置管理 (4)4.5 验证结果 (6)4.5.1 配置保存 (6)4.5.2 配置备份 (7)4.5.3 配置恢复 (7)4.5.4 恢复出厂配置 (7)4.5.5 软件升级 (7)4.5.6 设备重启 (7)1 特性简介配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。

配置保存可以加密保存配置，如果将配置信息备份下来，打开文件查看时，看到的是密文显示。

在此页面可以对当前的配置信息进行配置备份和备份恢复。

软件升级和系统重启可以让用户通过web页面对设备进行管理和操作。

2 应用场合用于设备的日常维护，当配置修改后，可以保存配置以免设备断电配置信息丢失。

也可以将配置信息备份下来，用于日后的配置恢复。

如果想清空配置信息时，可以恢复出厂配置。

3 注意事项(1) 软件升级时，尽量在流量少的时候操作，以免影响用户正常使用。

(2) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。

4 配置举例4.1 组网需求本配置举例中，设备使用的是Secblade II防火墙插卡。

本典型配置举例同样适合Secblade LB插卡。

图1配置管理组网图4.2 配置思路GE0/1所在的局域网（内网）接口配置地址为192.168.252.98/22，加入ManageMent域，使GE0/1成为管理口。

华依防火墙简明图文配置说明首先接通防火墙的电源，把管理机与防火墙的e0/0接口连接，管理机的IP 设置为192.168.1.2－192.168.1.254中的任意一个。

然后打开IE浏览器，输入http://192.168.1.1 即可打开WEB管理界面，默认的用户名：admin密码：admin，登录即可。

路由模式常见的拓扑配置说明上图是一个典型的网络结构，包括外网，服务器区以及客户端。

我们假设IP地址如下：客户端的地址为192.168.1.X网关为192.168.1.1掩码为255.255.255.0接防火墙的e0/0口服务器的地址为192.168.2.X 网关为192.168.2.1掩码为255.255.255.0 接防火墙的e0/1口外网的地址为202.101.1.2 网关为202.101.1.1掩码为255.255.255.252接防火墙的e0/2口服务器192.168.2.2对外提供WEB服务，对外的地址是202.101.1.2进入防火墙的界面，选择网络->接口，因为e0/0的接口地址与假定的地址一致，所以不用改动，如果实际不一致可以自行更改。

选择e0/1点一下后面笔的那个形状进行编辑，安全域类型选择第三层安全域，因为此接口接的是服务器，所以我们安全域选择DMZ，其他设置见图：同样设置e0/2接口，安全域选择untrust配置好后点击防火墙的路由菜单选择新建，设置如下，网关处填写的是运营商提供的地址。

配置好后，选择NAT->源NAT，选择新建基本配置出接口选择外网的接口，本例中是ethernet0/2口。

接下来做服务器对外的映射，首先到定义服务器的地址以及映射后的地址选择“对象”->地址薄->新建先建服务器的地址，名称可以填自己想要的名称，只是一种标识，其他的见图再建映射后的地址打开网络->NAT-目的NAT，选择新建端口映射，本例以WEB服务为例，如有其他服务，再新建即可。

综合案例案例1：路由模式下通过专线访问外网路由模式下通过专线访问外网，主要描述总公司接入网络卫士防火墙后的简单配置，总公司的网络卫士防火墙工作在路由模式下。

（提示：用LAN 或者WAN 表示方式。

一般来说，WAN 为外网接口，LAN 为内网接口。

）图 1 网络卫士防火墙的路由模式网络状况：●总公司的网络卫士防火墙工作在路由模式。

Eth1 属于外网区域，IP 为202.69.38.8；Eth2 属于SSN 区域，IP 为172.16.1.1；Eth0 属于内网区域，IP 为192.168.1.254。

●网络划分为三个区域：外网、内网和SSN。

管理员位于内网中。

内网中存在3个子网，分别为192.168.1.0/24，192.168.2.0/24，192.168.3.0/24。

●在SSN 中有三台服务器，一台是HTTP 服务器（IP 地址：172.16.1.2），一台是FTP 服务器（IP 地址：172.16.1.3），一台是邮件服务器（IP 地址：172.16.1.4）。

用户需求：●内网的机器可以任意访问外网，也可访问SSN 中的HTTP 服务器、邮件服务器和FTP 服务器；●外网和SSN 的机器不能访问内网；●允许外网主机访问SSN 的HTTP 服务器。

配置步骤：1) 为网络卫士防火墙的物理接口配置IP 地址。

进入NETWORK 组件topsec# network配置Eth0 接口IP work# interface eth0 ip add 192.168.1.254 mask255.255.255.0配置Eth1 接口IP work# interface eth1 ip add 202.69.38.8 mask255.255.255.0配置Eth2 接口IP work# interface eth2 ip add 172.16.1.1 mask255.255.255.02）内网中管理员通过浏览器登录网络卫士防火墙，为区域资源绑定属性，设置权限。

防火墙配置规则表
防火墙配置规则表是一组规则，用于定义如何处理通过网络防火墙的流量。

这些规则可以根据特定的条件和要求进行配置，以确保网络安全和保护敏感数据。

以下是一个示例的防火墙配置规则表：
1. 规则ID：1
条件：源IP地址为/24
操作：允许进出的TCP流量（端口范围为80-85）
注释：允许内部网络访问互联网上的HTTP和HTTPS服务。

2. 规则ID：2
条件：目的IP地址为/24
操作：拒绝进出的所有流量
注释：禁止对内部网络的任何访问。

3. 规则ID：3
条件：源IP地址为，目的端口为53
操作：允许进出的UDP流量
注释：允许DNS查询流量通过防火墙。

4. 规则ID：4
条件：源IP地址为外部IP地址
操作：拒绝进出的所有流量，除了HTTP和HTTPS
注释：限制外部网络对内部网络的访问，只允许通过HTTP和HTTPS协议进行访问。

这只是一种示例配置，实际的防火墙配置规则表可以根据具体的需求和网络环境进行调整和定制。

在配置防火墙规则时，需要考虑各种因素，如源IP 地址、目的IP地址、端口号、协议类型等，并根据安全策略来制定相应的规则。

在网络中，防火墙、交换机和路由器通常是网络安全的重要组成部分。

以下是一个简单的示例，演示如何配置一个具有防火墙功能的路由器和交换机。

请注意，实际配置可能会根据您的网络架构和设备型号而有所不同。

设备列表：路由器：使用Cisco设备作为示例，实际上可以是其他厂商的路由器。

路由器IP地址：192.168.1.1交换机：同样，使用Cisco设备作为示例。

交换机IP地址：192.168.1.2防火墙规则：允许内部网络向外部网络发出的通信。

阻止外部网络对内部网络的未经请求的通信。

配置示例：1. 配置路由器：Router(config)# interface GigabitEthernet0/0Router(config-if)# ip address 192.168.1.1 255.255.255.0Router(config-if)# no shutdownRouter(config)# interface GigabitEthernet0/1Router(config-if)# ip address [外部IP地址] [外部子网掩码]Router(config-if)# no shutdownRouter(config)# ip route 0.0.0.0 0.0.0.0 [外部网关]2. 配置防火墙规则：Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 anyRouter(config)# access-list 101 deny ip any 192.168.1.0 0.0.0.255Router(config)# access-list 101 permit ip any anyRouter(config)# interface GigabitEthernet0/1Router(config-if)# ip access-group 101 in3. 配置交换机：Switch(config)# interface Vlan1Switch(config-if)# ip address 192.168.1.2 255.255.255.0Switch(config-if)# no shutdown配置说明：路由器通过两个接口连接内部网络（192.168.1.0/24）和外部网络。

详解防火墙配置方案Internet已经走进千家万户，当我们尽情地在Internet上畅游时，往往把网络的安全问题抛在脑后。

其实危险无处不在，防火墙是网络安全的一个重要防护措施，用于对网络和系统的保护。

监控通过防火墙的数据，根据管理员的要求，允许和禁止特定数据包的通过，并对所有事件进行监控和记录。

最简单的防火墙配置，就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。

为更好地实现网络安全，有时还要将几种防火墙组合起来构建防火墙系统。

目前比较流行的有以下三种防火墙配置方案：1、双宿主机网关Dual Homed Gateway这种配置是用一台装有两个网络适配器的双宿主机做防火墙。

双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。

堡垒主机上运行着防火墙软件通常是代理服务器，可以转发应用程序，提供服务等。

双宿主机网关有一个致命弱点，一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内部网络。

2、屏蔽主机网关Screened Host Gateway屏蔽主机网关易于实现，安全性好，应用广泛。

它又分为单宿堡垒主机和双宿堡垒主机两种类型。

先来看单宿堡垒主机类型。

一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。

堡垒主机只有一个网卡，与内部网络连接。

通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从Internet惟一可以访问的主机，确保了内部网络不受未被授权的外部用户的攻击。

而Intranet内部的客户机，可以受控制地通过屏蔽主机和路由器访问Internet。

双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器。

双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。

3、屏蔽子网Screened Subnet这种方法是在Intranet和Internet之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与Intranet和Internet分开。

___USG防火墙配置实例详解
本文档将详细介绍如何配置___USG防火墙。

以下是一个设置示例，供参考：
环境准备
首先，确保你已经具备以下条件和环境：
1. 一台已经安装好___USG防火墙的设备。

2. 一台连接到防火墙的电脑。

3. 拥有管理员权限的账户。

配置步骤
步骤一：登录防火墙
打开你的浏览器，输入防火墙的IP地址。

在登录页面上输入你的用户名和密码，然后点击登录。

步骤二：创建安全策略
在防火墙的管理界面中，点击“安全策略”选项。

然后，点击
“新建”按钮来创建一个新的安全策略。

步骤三：配置安全策略规则
在安全策略页面上，点击“新建”按钮，开始配置安全策略规则。

1. 首先，选择要应用该规则的接口。

可以选择输入接口、输出
接口或者双向接口。

2. 然后，配置规则动作。

你可以选择允许、拒绝或者指定其他
动作。

3. 接下来，配置源地址、目的地址、协议和端口范围等信息。

4. 最后，为该规则指定一个描述信息，并点击“完成”。

步骤四：保存并生效
在安全策略页面上，点击“保存”按钮来保存你的配置。

然后，
点击“生效”按钮来使配置生效。

步骤五：验证配置
验证防火墙的配置是否生效，通过向设备发送相应的流量，并查看防火墙的日志是否记录了相应的事件。

总结
通过本文档的配置示例，你可以学习如何使用___USG防火墙进行基本的安全策略配置。

请根据自己的需求和网络环境进行相应的配置调整。

SecPath系列防火墙配置管理典型配置举例关键词：配置管理，备份摘要：配置管理模块主要用于对设备进行配置保存（加密和非加密）、备份、配置恢复和恢复出厂配置，用户可以在Web页面方便地对设备的配置进行维护和管理。

缩略语：缩略语英文全名中文解释- - -目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (4)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 基本配置 (4)4.4.2 配置管理 (6)4.5 验证结果 (8)4.5.1 配置保存 (8)4.5.2 配置备份 (9)4.5.3 配置恢复 (9)4.5.4 恢复出厂配置 (9)4.5.5 软件升级 (9)4.5.6 设备重启 (9)1 特性简介配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。

配置保存可以加密保存配置，如果将配置信息备份下来，打开文件查看时，看到的是密文显示。

在此页面可以对当前的配置信息进行配置备份和备份恢复。

软件升级和系统重启可以让用户通过Web页面对设备进行管理和操作。

2 应用场合用于设备的日常维护，当配置修改后，可以保存配置以免设备断电配置信息丢失。

也可以将配置信息备份下来，用于日后的配置恢复。

如果想清空配置信息时，可以恢复出厂配置。

3 注意事项(1) 软件升级时，尽量在流量少的时候操作，以免影响用户正常使用。

(2) 通过在命令行下输入save或在Web管理页面点击“配置保存”，可以对当前配置进行保存。

保存的配置文件有两个，分别为startup.cfg和system.xml。

(3) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。

4 配置举例4.1 组网需求本配置举例中，设备使用的是U200-S。

本典型配置适合SecPath F5000-A5、SecPath F1000E、SecPath UTM 200-A/200-M/200-S防火墙图1配置管理组网图设备默认出厂配置，GE0/0口为管理口，地址为192.168.0.1/24，用户可以将管理PC的网卡与设备的GE0/0口连接，并设置网卡地址为同网段的地址，则可以通过在浏览器的地址栏输入http://192.168.0.1 登录设备的Web网管，进行其他配置操作。