您的位置:360文档中心› 防火墙配置案例

防火墙配置案例

合集下载

天融信防火墙双链路配置案例

天融信防火墙双链路配置案例

案例设计需求:电信和网通用户分别通过两个公网地址来访问企业内网服务器内网服务器回复报文遵循电信用户使用电信出口,网通用户使用网通出口的规则。

双出口链路环境:企业网络通过防火墙连接了两个ISP(电信和网通),其中eth1口与电信相连,其公网地址为202.98.1.1,;eth2口与网通相连,其公网地址为58.118.100.1。

电信与网通用户访问eth0口企业内网的一台服务器(192.168.7.100)配置要点:外网访问内网的映射:策略路由配置WEBUI 配置步骤1、首先配置目的地址转换策略,电信线路访问电信的出口地址,目的转化为内部服务器;网通的线路访问网通的出口地址,目的转化为内部的服务器。

2、先在静态路由中添加两条默认路由,再添加两条策略路由,进行智能选路功能。

在入接口收到报文时反查回去的路由,如果反查成功,则实现路由的原去原回,如果反查不成功,则按正常路由匹配顺序进行查找;新建立一条策略路由,自定义名称,选择global属性在新建立的策略路由组下,点击“路由条目”添加两条策略路由,需要注意的地方是反查时的策略路由,其绑定属性是在发起报文的入接口,而不是在回复报文的入接口,所以策略路由按下方式填写,注意最后一项,需要开启“转换后的源”。

配置好的策略路由如下图:CLI 配置步骤:策略路由配置:1.添加1个策略路由名称TopsecOS#network route-policy add name 智能选路2.绑定策略路由属性。

外网对内网的策略路由绑定在global属性上。

TopsecOS#network route-policy global-bind set 智能选路3.添加策略路由条目TopsecOS#network route-policy add-entry name 智能选路src 202.98.1.0/24 gw 202.99.1.254 masq-src onTopsecOS#network route-policy add-entry name 智能选路src 58.118.100.0/24 gw58.118.100.354 masq-src on。

防火墙gre隧道配置实例

防火墙gre隧道配置实例

防火墙gre隧道配置实例
防火墙GRE隧道的配置实例如下:
1. 拓扑图:北京总公司与上海分公司通过广域网连接,使用一个三层交换机模拟广域网,并使用两个H3C的防火墙进行GRE接入。

2. 配置广域网通信:首先,在交换机上创建两个VLAN,分别是VLAN 10和VLAN 20,并将相应的端口加入到相应的VLAN中。

然后,在VLAN 10上配置IP地址。

3. 配置防火墙:在两个防火墙(FW1和FW2)上配置GRE隧道,使它们能够通过Internet相互通信。

4. 测试:测试北京总公司与上海分公司之间的内网通信是否正常。

请注意,上述配置是一个简化的示例,实际配置可能因网络环境、设备型号和需求而有所不同。

在进行实际配置之前,建议仔细阅读设备文档并咨询专业人士。

防火墙透明模式典型配置举例

防火墙透明模式典型配置举例

防火墙透明模式典型配置举例防火墙透明模式是一种常见的网络安全配置,它允许防火墙在网络上作为透明的桥接设备,无需修改网络设备的IP地址和配置,对所有网络流量进行过滤和监控。

本文将以一个典型的企业网络环境为例,详细介绍防火墙透明模式的配置。

1.网络拓扑假设企业网络中有一个内部局域网(LAN)和一个外部网络(WAN),分别连接到防火墙的两个接口。

内部局域网的网段为192.168.0.0/24,防火墙的局域网接口IP地址为192.168.0.1;外部网络的网段为202.100.100.0/24,防火墙的广域网接口IP地址为202.100.100.1、防火墙的透明模式设置在两个接口之间。

2.配置步骤(1)配置局域网接口IP地址:登录防火墙管理界面,在网络设置中找到局域网接口,设置IP地址为192.168.0.1,子网掩码为255.255.255.0。

这样,防火墙就可以与内部网络通信。

(2)配置广域网接口IP地址:同样在网络设置中找到广域网接口,设置IP地址为202.100.100.1,子网掩码为255.255.255.0。

这样,防火墙就可以与外部网络通信。

(3)配置透明模式:在防火墙的透明模式设置中,将局域网接口和广域网接口进行桥接。

在桥接配置中,选择透明模式,并将局域网接口和广域网接口绑定在一个桥接组中。

(4)配置ACL(访问控制列表):通过ACL可以定义防火墙的过滤规则,控制允许和禁止的流量。

例如,可以设置允许内部网络对外访问的规则,禁止特定IP地址的访问规则等。

在防火墙管理界面的策略设置中,创建相应的ACL规则。

(5)配置NAT(网络地址转换):NAT可以将内部网络的私有IP地址映射为公共IP地址,实现内部网络对外部网络的访问。

在防火墙的NAT设置中,配置相应的NAT规则。

(6)配置日志功能:在防火墙中启用日志功能,记录所有的网络流量和安全事件。

可以将日志信息发送到指定的日志服务器,方便网络管理员进行监控和分析。

防火墙双机热备配置案例

防火墙双机热备配置案例

双机热备网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。

在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。

当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。

在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。

每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。

在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。

当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。

双机热备模式基本需求图 1双机热备模式的网络拓扑图上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。

配置要点➢设置HA心跳口属性➢设置除心跳口以外的其余通信接口属于VRID2➢指定HA的工作模式及心跳口的本地地址和对端地址➢主从防火墙的配置同步WEBUI配置步骤1)配置HA心跳口和其他通讯接口地址HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。

接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。

➢主墙a)配置HA心跳口地址。

①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。

点击“确定”按钮保存配置。

华为USG5500防火墙配置实验一

华为USG5500防火墙配置实验一

华为USG5500防火墙配置实验1、实验拓扑内网:192.168.0.0/24外网:192.168.1.0/24其他设备地址规划如图,按照拓扑图搭建网络,并配置设备地址2、具体配置命令AR1<Huawei>system-view[Huawei]sysname AR1[AR1]interface g0/0/0[AR1-GigabitEthernet0/0/0]ip address 192.168.0.150 24[AR1-GigabitEthernet0/0/0]quit 退出[AR1]ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 配置默认路由AR1开启Telnet服务[AR1]user-interface vty 0 4 开启远程线程[AR1-ui-vty0-4]au[AR1-ui-vty0-4]authentication-mode password 认证方式为password Please configure the login password (maximum length 16):888 登录密码 [AR1-ui-vty0-4]user privilege level 3 设置用户等级[AR1-ui-vty0-4]AR2<Huawei>system-view[Huawei]sysname AR2[AR2]interface g0/0/0[AR2-GigabitEthernet0/0/0]ip add[AR2-GigabitEthernet0/0/0]ip address 192.168.1.150 24[AR2-GigabitEthernet0/0/0]q[AR1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1AR2配置TelnetAR2]us[AR2]user-interface v[AR2]user-interface vty 0 4[AR2-ui-vty0-4]au[AR2-ui-vty0-4]authentication-mode p[AR2-ui-vty0-4]authentication-mode passwordPlease configure the login password (maximum length 16):666 或者[AR2-ui-vty0-4]set authentication password cipher 666[AR2-ui-vty0-4]user privilege level 3[AR2-ui-vty0-4]q防火墙配置:The device is running!<SRG>system-view[SRG]sysname FW1[FW1]interface g0/0/0[FW1-GigabitEthernet0/0/0]ip add 192.168.0.1 24Warning: Address already exists! 默认接口地址已经存在,不用管[FW1-GigabitEthernet0/0/0]q[FW1]interface g0/0/1[FW1-GigabitEthernet0/0/1]ip add 192.168.1.1 24[FW1-GigabitEthernet0/0/1]q[FW1]display zone 显示区域配置localpriority is 100#trustpriority is 85interface of the zone is (1):GigabitEthernet0/0/0#untrustpriority is 5interface of the zone is (0):#dmzpriority is 50interface of the zone is (0):#[FW1][FW1]firewall zone name outside 创建一个名字为outside的区域[FW1-zone-outside]set priority 30 设置安全等级为30[FW1-zone-outside]q[FW1]firewall zone name inside[FW1-zone-inside]set priority 90[FW1-zone-inside]q[FW1]display zone[FW1]firewall zone outside 进入outside区域,把接口g0/0/1接入该区域[FW1-zone-outside]add interface GigabitEthernet 0/0/1[FW1-zone-outside]display this 显示当前的配置#firewall zone name outsideset priority 30add interface GigabitEthernet0/0/1#return[FW1-zone-outside]q[FW1]display policy all 查看策略policy zone local#policy zone trust#policy zone untrust#policy zone dmz#policy zone outside#policy zone inside#policy interzone local trust inboundfirewall default packet-filter is permit#policy interzone local trust outboundfirewall default packet-filter is permit#policy interzone local untrust inboundfirewall default packet-filter is deny#policy interzone local untrust outbound firewall default packet-filter is permit #policy interzone local dmz inboundfirewall default packet-filter is deny#policy interzone local dmz outboundfirewall default packet-filter is permit #policy interzone local outside inboundfirewall default packet-filter is deny#policy interzone local outside outbound firewall default packet-filter is permit #policy interzone local inside inboundfirewall default packet-filter is deny#policy interzone local inside outboundfirewall default packet-filter is permit #policy interzone trust untrust inboundfirewall default packet-filter is deny#policy interzone trust untrust outbound firewall default packet-filter is deny#policy interzone trust dmz inboundfirewall default packet-filter is deny#policy interzone trust dmz outboundfirewall default packet-filter is deny#policy interzone trust outside inboundfirewall default packet-filter is deny#policy interzone trust outside outbound firewall default packet-filter is deny#policy interzone inside trust inboundfirewall default packet-filter is deny#policy interzone inside trust outboundfirewall default packet-filter is deny#policy interzone dmz untrust inboundfirewall default packet-filter is deny#policy interzone dmz untrust outboundfirewall default packet-filter is deny#policy interzone outside untrust inboundfirewall default packet-filter is deny#policy interzone outside untrust outboundfirewall default packet-filter is deny#policy interzone inside untrust inboundfirewall default packet-filter is deny#policy interzone inside untrust outboundfirewall default packet-filter is deny#policy interzone dmz outside inboundfirewall default packet-filter is deny#policy interzone dmz outside outboundfirewall default packet-filter is deny#policy interzone inside dmz inboundfirewall default packet-filter is deny#policy interzone inside dmz outboundfirewall default packet-filter is deny#policy interzone inside outside inboundfirewall default packet-filter is deny#policy interzone inside outside outboundfirewall default packet-filter is deny#[FW1]创建策略放行outbound流量[FW1]policy interzone trust outside outbound 定义outbound流量 [FW1-policy-interzone-trust-outside-outbound]poli[FW1-policy-interzone-trust-outside-outbound]policy 1[FW1-policy-interzone-trust-outside-outbound-1]poli[FW1-policy-interzone-trust-outside-outbound-1]policy so[FW1-policy-interzone-trust-outside-outbound-1]policy source192.168.0.150 001:27:13 2016/11/15[FW1-policy-interzone-trust-outside-outbound-1]poli[FW1-policy-interzone-trust-outside-outbound-1]policy de[FW1-policy-interzone-trust-outside-outbound-1]policy destination any 01:27:25 2016/11/15[FW1-policy-interzone-trust-outside-outbound-1]ac[FW1-policy-interzone-trust-outside-outbound-1]action p[FW1-policy-interzone-trust-outside-outbound-1]action permit01:27:34 2016/11/15[FW1-policy-interzone-trust-outside-outbound-1][FW1-policy-interzone-trust-outside-outbound-1]q01:27:37 2016/11/15[FW1-policy-interzone-trust-outside-outbound][FW1-policy-interzone-trust-outside-outbound]q01:27:38 2016/11/15[FW1][FW1][FW1]dis[FW1]display po[FW1]display poli[FW1]display policy i[FW1]display policy interzone t[FW1]display policy interzone trust o[FW1]display policy interzone trust outside outbound01:27:55 2016/11/15policy interzone trust outside outboundfirewall default packet-filter is denypolicy 1 (0 times matched)action permitpolicy service service-set ippolicy source 192.168.0.0 mask 255.255.255.0policy source 192.168.0.150 0policy destination any[FW1]firewall packet-filter default permit interzone trust outside Warning:Setting the default packet filtering to permit poses security risks. Youare advised to configure the security policy based on the actual data flows. Are you sure you want to continue?[Y/N]y[FW1]dis[FW1]display policy interzone trust outside outbound01:28:23 2016/11/15policy interzone trust outside outboundfirewall default packet-filter is permitpolicy 1 (0 times matched)action permitpolicy service service-set ippolicy source 192.168.0.0 mask 255.255.255.0policy source 192.168.0.150 0policy destination any恢复默认值deny[FW1]firewall packet-filter default deny interzone trust outside [FW1]display policy interzone trust outside outbound01:32:06 2016/11/15policy interzone trust outside outboundfirewall default packet-filter is denypolicy 1 (0 times matched)action permitpolicy service service-set ippolicy source 192.168.0.0 mask 255.255.255.0policy source 192.168.0.150 0policy destination any用内网的路由Telnet AR2后,可以登录在防火墙查看会话状态[FW1]display firewall session table verbose00:58:32 2016/11/15Current Total Sessions : 2telnet VPN:public --> publicZone: trust--> outside TTL: 00:00:10 Left: 00:00:00Interface: GigabitEthernet0/0/1 NextHop: 192.168.1.150 MAC: 00-e0-fc-7a-0b-5a<--packets:18 bytes:867 -->packets:17 bytes:728192.168.0.150:49272-->192.168.1.150:23telnet VPN:public --> publicZone: trust--> outside TTL: 00:10:00 Left: 00:09:55Interface: GigabitEthernet0/0/1 NextHop: 192.168.1.150 MAC: 00-e0-fc-7a-0b-5a<--packets:16 bytes:725 -->packets:17 bytes:726192.168.0.150:49957-->192.168.1.150:23[FW1]如何允许外网的用户Telnet到内网的路由器[FW1]policy interzone trust outside inbound[FW1-policy-interzone-trust-outside-inbound]policy 1[FW1-policy-interzone-trust-outside-inbound-1]policy source 192.168.1.150 0[FW1-policy-interzone-trust-outside-inbound-1]policy destination 192.168.0.150 0[FW1-policy-interzone-trust-outside-inbound-1]policy service service-set telnet[FW1-policy-interzone-trust-outside-inbound-1]action permit验证试验效果。

USG防火墙SSLVPN配置案例

USG防火墙SSLVPN配置案例

USG防火墙SSLVPN配置案例USG防火墙(Unified Security Gateway)是一种集合了防火墙、虚拟专用网络(VPN)和入侵防御系统(IDS)等功能的网络安全设备。

其中,SSL VPN(Secure Sockets Layer Virtual Private Network)是一种通过加密技术为用户提供安全远程访问私有网络的方法。

本文将为您提供一个USG防火墙配置SSL VPN的实用案例。

在此案例中,我们将假设您已经添加了USG防火墙设备并熟悉其基本配置。

以下是配置USG防火墙的步骤:1.打开USG防火墙的管理界面,确保您已经获得管理员权限。

2.在管理界面中,找到“VPN”选项,并选择“远程接入”子选项。

3.在“远程接入”页面中,找到“SSLVPN”选项,并点击“添加”按钮。

4.在“SSLVPN配置向导”中,为您的VPN连接取一个名称,并为其选择一个安全的密码。

5.选择适当的证书,这可以是您自己的证书或从可信的证书颁发机构(CA)处获取的证书。

6.选择VPN连接的用户身份验证方式。

可以选择本地数据库、RADIUS服务器、LDAP服务器或其他认证方式。

7.根据您的具体需求选择“用户角色”。

您可以为不同的用户或用户组定义不同的访问权限。

8.为SSLVPN配置提供一个本地IP地址池,以供连接时分配给客户端设备。

9.在“高级选项”中,根据您的需要进行配置设置。

您可以设置连接超时时间、允许或阻止特定协议和应用程序等。

10.完成向导后,单击“应用”按钮以保存并应用您的配置。

11.通过USG防火墙为您的用户提供SSLVPN配置信息,包括网关地址、用户名和密码等。

12.用户可以通过Internet连接使用SSL VPN客户端程序连接到您的私有网络。

13.一旦连接成功,用户即可安全地访问您的私有网络资源,如文件、应用程序和内部网站等。

14.管理员可以在USG防火墙管理界面中监控和管理SSLVPN连接。

天融信的实验—防火墙

天融信的实验—防火墙

202.99.27.250 /24 ETH0
58.20.51.1 /24 ETH2
192.168.1.254 /24 ETH1
192.168.1.0 /24
192.168.2.0 /24
扩展实验2:
需求 1、用户有两台服务器,同时需 要公网来进行访问,但此时 用户只有一个公网地址。 2、假设172.16.1.100为FTP服 务器,假设192.168.1.254 为WEB服务器 3、通过防火墙映射功能,实现 当202.99.26.2访问202.99. 27.250的FTP端口时,实际 访问的是FTP服务器,而访 问该地址的WWW服务时, 实际访问的是WEB服务器 WEB服务器
202.99.27.0/24
配置案例3(综合模式):
202.99.26.2 /24 防火墙VLAN 防火墙 透明域) 地址 (透明域) IP地址 202.99.27.254 202.99.27.193 ETH0 ETH2 ETH1 192.168.16.254
实验步骤:
1、防火墙ETH0和ETH2为一个透明域 2、内网访问外网和服务器区时,由防 火墙进行NAT转换。 3、防火墙上做访问控制,允许内网和 3 外网访问服务器的应用服务,但不 允许访问未授权的端口。 4、外网不允许访问内网。
192.168.1.254
202.99.26.2 /24
FTP服务器
202.99.27.250 /24 ETH0 ETH2 172.16.1.100 /24
192.168.1.254 /24 ETH1
192.168.1.0 /24
实验步骤:
1、内网和服务器区访问202.99.26.2这台模拟外网机器时,通过防火墙进行 NAT转换访问。 2、内网通过防火墙路由访问服务器区服务器。 3、外网模拟机202.99.26.2访问服务器区172.16.1.100时,通过访问防火墙 映射出来的的虚地址202.99.26.3进行访问 4、服务器上开放一个应用端口,(比如:FTP)防火墙上做访问控制策略, 只允许外网访问该应用端口。 5、内网机器能够通过访问服务器在防火墙上映射的公网地址202.99.26.3访 问服务器 6、开放权限设置,防火墙上所有端口都开放TELNET、WEBUI和PING权限

交换机路由防火墙配置实例

交换机路由防火墙配置实例

在网络中,防火墙、交换机和路由器通常是网络安全的重要组成部分。

以下是一个简单的示例,演示如何配置一个具有防火墙功能的路由器和交换机。

请注意,实际配置可能会根据您的网络架构和设备型号而有所不同。

设备列表:路由器:使用Cisco设备作为示例,实际上可以是其他厂商的路由器。

路由器IP地址:192.168.1.1交换机:同样,使用Cisco设备作为示例。

交换机IP地址:192.168.1.2防火墙规则:允许内部网络向外部网络发出的通信。

阻止外部网络对内部网络的未经请求的通信。

配置示例:1. 配置路由器:Router(config)# interface GigabitEthernet0/0Router(config-if)# ip address 192.168.1.1 255.255.255.0Router(config-if)# no shutdownRouter(config)# interface GigabitEthernet0/1Router(config-if)# ip address [外部IP地址] [外部子网掩码]Router(config-if)# no shutdownRouter(config)# ip route 0.0.0.0 0.0.0.0 [外部网关]2. 配置防火墙规则:Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 anyRouter(config)# access-list 101 deny ip any 192.168.1.0 0.0.0.255Router(config)# access-list 101 permit ip any anyRouter(config)# interface GigabitEthernet0/1Router(config-if)# ip access-group 101 in3. 配置交换机:Switch(config)# interface Vlan1Switch(config-if)# ip address 192.168.1.2 255.255.255.0Switch(config-if)# no shutdown配置说明:路由器通过两个接口连接内部网络(192.168.1.0/24)和外部网络。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

综合案例案例1:路由模式下通过专线访问外网路由模式下通过专线访问外网,主要描述总公司接入网络卫士防火墙后的简单配置,总公司的网络卫士防火墙工作在路由模式下。

(提示:用LAN 或者WAN 表示方式。

一般来说,WAN 为外网接口,LAN 为内网接口。

)图 1 网络卫士防火墙的路由模式网络状况:●总公司的网络卫士防火墙工作在路由模式。

Eth1 属于外网区域,IP 为202.69.38.8;Eth2 属于SSN 区域,IP 为172.16.1.1;Eth0 属于内网区域,IP 为192.168.1.254。

●网络划分为三个区域:外网、内网和SSN。

管理员位于内网中。

内网中存在3个子网,分别为192.168.1.0/24,192.168.2.0/24,192.168.3.0/24。

●在SSN 中有三台服务器,一台是HTTP 服务器(IP 地址:172.16.1.2),一台是FTP 服务器(IP 地址:172.16.1.3),一台是邮件服务器(IP 地址:172.16.1.4)。

用户需求:●内网的机器可以任意访问外网,也可访问SSN 中的HTTP 服务器、邮件服务器和FTP 服务器;●外网和SSN 的机器不能访问内网;●允许外网主机访问SSN 的HTTP 服务器。

配置步骤:1) 为网络卫士防火墙的物理接口配置IP 地址。

进入NETWORK 组件topsec# network配置Eth0 接口IP work# interface eth0 ip add 192.168.1.254 mask255.255.255.0配置Eth1 接口IP work# interface eth1 ip add 202.69.38.8 mask255.255.255.0配置Eth2 接口IP work# interface eth2 ip add 172.16.1.1 mask255.255.255.02)内网中管理员通过浏览器登录网络卫士防火墙,为区域资源绑定属性,设置权限。

设置内网绑定属性为“Eth0”,权限选择为禁止。

设置外网绑定属性为“Eth1”,权限选择为允许。

设置SSN 绑定属性为“Eth2”,权限选择为禁止。

3)定义地址资源定义HTTP 服务器:主机名称设为HTTP_SERVER,IP 为172.16.1.2。

定义FTP 服务器:主机名称设为FTP_SERVER,IP 为172.16.1.3。

定义邮件服务器:主机名称设为MAIL_SERVER,IP 为172.16.1.4。

定义虚拟HTTP服务器:主机名称设为V_SERVER,IP 为202.69.38.10。

6)定义路由案例2:混合模式下通过ADSL 拨号访问外网案例2:混合模式下通过ADSL 拨号访问外网,主要描述分公司网络卫士防火墙的配置,分公司的网络卫士防火墙工作在混合模式下。

值得注意的是,分公司是通过ADSL 拨号与外网进行连接的。

图 2 网络卫士防火墙的混合模式网络状况:●分公司的网络卫士防火墙工作在混合模式。

Eth1 为路由接口,属于外网区域,通过路由器与外部网络及ISP 相连(该接口由ADSL拨号获取公网IP);Eth0 和Eth2 均为交换接口,Eth0 工作在Trunk 方式下,Eth2 工作在Access 方式下;Eth0 下连接着2 个VLAN,VLAN-1 和VLAN-2;Eth3 下连接着1 个VLAN,VLAN-3。

●VLAN-1 的IP 为192.168.10.1/24;VLAN-2 的IP 为192.168.25.1/24;VLAN-3 的IP 为192.168.95.1/24。

●管理主机位于VLAN-1 内。

用户需求:●防火墙通过ADSL 拨号获取eth1 的公网IP 地址。

●VLAN-1 内的机器可以任意访问外网(NAT 方式),VLAN-2 和VLAN-3 内的机器禁止访问外网,但允许VLAN-2 访问VLAN-3。

●外网的机器不能访问VLAN-1 与VLAN-2;外网的机器可以访问VLAN-3。

配置步骤:1)通过CONSOLE 口登录网络卫士防火墙,配置基本信息。

进入network 组件topsec # network添加VLAN-1 work# vlan add id 1配置VLAN-1 的管理IP work# interface vlan.0001 ip add 192.168.10.1 mask255.255.255.0配置eth0 接口为交换接口work# interface eth0 switchport mode trunk设置eth0 接口属于VLAN-1 work# interface eth0 switchport trunk allowed-vlan 00012)管理员通过VLAN-1 的管理IP 登录网络卫士防火墙,并绑定eth1 口和ADSL 的拨号属性、设置区域资源及VLAN。

设置区域(外网)绑定属性为“adsl”;权限设为允许访问。

添加VLAN-2 管理IP 设为“192.168.25.1”,MASK 设为“255.255.255.0”。

添加VLAN-3 管理IP 设为“192.168.95.1”,MASK 设为“255.255.255.0”。

设置eth0 接口属于VLAN-2,VLAN 范围设为“1-2”。

3)设置接口设置接口eth2 设置为“交换接口”;接口类型为“access”;VLAN 范围为“3”。

4)设置ADSL 拨号参数设置ADSL 拨号参数接口设置为“eth1”;用户名和密码根据ISP 服务商提供的参数值进行设置;绑定属性为“adsl”。

5)定义访问规则VLAN-1 用户通过源地址转换访问外网:转换控制选择“源转换”;源VLAN 选择“VLAN.0001”;目的区域选择“外网”;服务不选,表示全部服务;源地址转换为“adsl”。

7)拨号在防火墙上通过选择网络管理> ADSL 菜单,并点击“开始拨号”按钮进行ADSL拨号。

建立ADSL 连接成功后,在防火墙的路由表中会增加一条内网用户访问Internet 的路由信息:源为“0.0.0.0/0”;目的为“0.0.0.0/0”;网关地址为ISP 分配的公网IP 地址(如:169.254.125.124);接口为与Eth1 口绑定的ppp0 口(拨号成功后,系统自动创建了一个ppp0 口)。

案例3:建立VPN 隧道建立VPN 隧道,主要介绍在如上所述的网络环境中,如何在总公司与分公司之间建立IPSec VPN 隧道。

图 3 网络卫士防火墙的VPN 隧道模式网络状况:●总公司防火墙工作在路由模式下,接口Eth1(IP:202.69.38.8)通过路由器与Internet 相连;分公司防火墙工作在混合模式下,接口Eth1 通过路由器与Internet相连,且Eth1 口通过ADSL 拨号获取公网IP。

●总公司防火墙的Eth0 口与Eth2 口分别连接公司内网区和SSN 区域,内网区有三个子网:192.168.2.0/24、192.168.3.0/24、192.168.1.0/24。

●分公司防火墙的Eth0 口与Eth2 口分别连接内网的三个Vlan:VLAN-1、VLAN-2和VLAN-3,其中VLAN-1 的IP 为192.168.10.1/24。

用户需求:●分公司的VLAN-1 所在子网192.168.10.0/24 与总公司子网192.168.2.0/24 之间建立基于预共享密钥认证的VPN 通信。

配置步骤:1)配置总公司防火墙,具体的配置步骤请参见案例1。

2)配置分公司防火墙,具体的配置步骤请参见案例2。

下面只描述与建立VPN 隧道有关的操作。

3)在总公司防火墙上开放“IPSecVPN”服务开放IPSecVPN 服务:服务名称为“IPSecVPN”;控制区域为“area_eth1”;控制地址为“any”。

4)在分公司防火墙上开放服务开放IPSecVPN 服务:服务名称为“IPSecVPN”;控制区域为“area_eth1”;控制地址为“any”。

5)在总公司防火墙上绑定虚接口绑定虚接口:虚接口名为“ipsec0”;绑定接口名为“eth1”;接口地址为“202.69.38.8”。

6)在分公司防火墙上绑定虚接口绑定虚接口:虚接口名为“ipsec0”;绑定接口名为“eth1”;接口地址为“0.0.0.0”。

7)在总公司防火墙上添加静态隧道,隧道参数采用默认设置。

添加静态隧道:隧道名:zong-fenIKE 协商模式:主模式认证方式= 预共享密钥,密钥= 123456本地标识:@202_8对方标识:@0_0对方地址:0.0.0.0本地子网:192.168.2.0本地掩码:255.255.255.0对方子网:192.168.10.0对方掩码:255.255.255.0主动发起协商:是8) 在分公司防火墙上添加静态隧道,隧道参数采用默认设置。

添加静态隧道隧道名:fen-zongIKE 协商模式:主模式认证方式= 预共享密钥,密钥=123456本地标识:@0_0对方标识:@202_8对方地址:202.69.38.8本地子网:192.168.10.0本地掩码:255.255.255.0对方子网:192.168.2.0对方掩码:255.255.255.0主动发起协商:是提示本案例中分公司防火墙采用的是ADSL 拨号的方式,故其IP 设置为0.0.0.0。

如果建立隧道的两台防火墙均为ADSL 环境,则可以通过DDNS 方式,利用域名来建立隧道。

1.案例4:网络情况介绍及应用需求描述:a.局域网内共5个VLAN,其中VLAN1用于网络设备管理,VLAN10、11、12用于局域网内用户,VLAN20为内部服务器,对应的子网规划:VLAN1:192.168.0.0/24 GW:192.168.0.254VLAN10:192.168.10.0/24 GW:192.168.10.254VLAN11:192.168.11.0/24 GW:192.168.11.254VLAN12:192.168.12.0/24 GW:192.168.12.254VLAN20:192.168.20.0/24 GW:192.168.20.254防火墙内口位于VLAN1,分配IP为192.168.0.253,OA Server位于VLAN20,分配IP为192.168.20.250 b.SSN内的服务器对Internet及内部局域网提供WEB、Email、FTP服务,内部OA服务器对局域网用户及分支机构用户提供OA服务c.从ISP那里申请到一段61.144.102.0/29段公网IP,共8个IP,缺省路由是61.144.102.6,可用IP 有5个,分配如下:防火墙外口:61.144.102.1WEB:61.144.102.2FTP:61.144.102.3Email:61.144.102.4备用:61.144.102.5其中SSN那3台服务器的IP由防火墙实现一对一地址翻译d.分支机构与防火墙建立VPN隧道访问内部OA服务器:分支机构1、2也安装VPN网关直接与防火墙建立Site-to-Site的VPN隧道;ADSL拨号分支机构与远程移动办公用户采用VPN Client软件与防火墙建立Client-to-Server的VPN 隧道。

相关文档
最新文档