方正FS防火墙配置案例分析.ppt

FSFS防火墙配置防火墙配置 主题内容 n常用命令介绍 n防火墙基本配置和注意事项 n案例分析 防火墙常用命令 neraseobj all 清除防火墙配置 ninitialize 初始化防火墙网口地址 nifconfig 查看网卡IP地址 nroute 查看防火墙路由表信息版本 防火墙基本配置 初始化 n配置顺序 打开SecuwayAdmin 连接防火墙 配置对象，包括 定义“有效网络” ，“路由器”等关 键对象 启动“门向导”， 将对象配置在相 应的位置 配置安全策略和 NAT规则 传送并重新启动 防火墙 防火墙初始化 n配置超级终端，连接串口 必须使用防火墙随机带的串口线，不 可以使用Cisco的串口线 超级终端用户名密码默认为“admin” 防火墙初始化 n为防火墙配置IP地址 在超级终端中输入“initialize 54” /24 防火墙重新启动 Secuwayroot$ Not exist Object id 0x11 Now Write Object Dummy Gate Object Load Success by Ping : ip=c0a801ab, netmask=ffffff00 System Reset ret=c01a7058 防火墙重新启动后，所有网卡的IP地址都是54 防火墙配置-SecuwayAdmin n在防火墙光盘中有两个文件，一个是 SecuwayAdmin.jar，一个是Java环境的安装文 件。 n首先安装Java环境文件Jre-1.3.x.x.exe n然后双击运行SecuwayAdmin.jar 注意：有些PC机上安装了类似WinRAR的程序，默认情况下会用 WinRAR程序打开*.jar文件，在这种情况下，需要启动“打开方式”，然 后选择”javaw”打开 防火墙配置-SecuwayAdmin 防火墙配置-SecuwayAdmin nIP地址范围对象的定义 防火墙配置-SecuwayAdmin n路由器对象 防火墙配置-SecuwayAdmin n门向导 防火墙配置-SecuwayAdmin n为每一个网卡配置IP地址和有效网络 防火墙配置有效网络 n有效网络的概念（重要） 有效网络的概念对于方正FS系列防火墙来说至关重要，配置的正确与否 直接影响到网络是否正常工作。 有效网络的定义：FS防火墙每个网口所连接的网络范围。FS防火墙会 根据有效网络的定义决定向哪个网口转发数据，类似于给每个网口设置 路由， 有效网络设置的关键点： 搞清楚每个接口所涵盖的网络范围，精确的定义每个范围，不能多也 不能少。 有效网络不仅仅包括网口所在的网段，也要包含该网口连接的路由器 或者三层交换后的所有IP地址。 防火墙网口的地址可以包含在有效网络中，也可以不包含。 防火墙配置案例一 nIDC托管机房 Internet mail server 51 ftp server 52 web server 53 防火墙 54 50 Netmask: 48 防火墙配置案例一 n要求 外部Internet可以访问各服务器的相应服务，外部可 以Ping通各服务器以检测服务器是否工作正常。 内部服务器不能主动访问外部Internet。 防火墙配置案例一 n分析 IDC托管机房内，内部服务器地址与外部网关地址处 在同一网段，这时防火墙可以设置成透明模式,即通常 所说的桥模式。这里我们只使用Net 1和Net 3，即内 网口和外网口。 这时，防火墙的两端可以任意配置IP地址和路由信息 ，问题的关键在于，有效网络的正确配置。 防火墙配置案例一 n定义对象IP地址范围 防火墙配置案例一 n定义对象IP地址范围 防火墙配置案例一 n定义对象IP地址范围 防火墙配置案例一 n定义对象路由器对象 防火墙配置案例一 n门向导配置接口IP地址和有效网络 防火墙配置案例一 n门向导配置接口IP地址和有效网络 防火墙配置案例一 n门向导配置接口IP地址和有效网络 防火墙配置案例一 n配置安全策略 防火墙配置案例二 n足够真实IP Internet mail server 51 ftp server 52 web server 53 /24 DMZ区 外部网 内部网 54 50 50 54 防火墙配置案例二 n要求 内部网使用保留IP地址/24，并要通过防火 墙上Internet。 DMZ区使用真实IP地址，并且只对内部网和外部网开 放相应服务。DMZ区服务器不能直接访问内部网和外 部网。 防火墙配置案例二 n分析 由于内部网使用保留IP地址/24，所以防火 墙要设置从内到外的NAT（SNAT），地址为 50。 DMZ区使用真实IP地址，并且只对内部网和外部网开 放相应端口。在这种情况下，要把Net 2 Mode Public 选项选中。 防火墙配置案例二 n定义对象单个IP地址 防火墙配置案例二 n定义对象IP地址范围 防火墙配置案例二 n定义对象IP地址范围 防火墙配置案例二 n定义对象IP地址范围 防火墙配置案例二 n定义对象路由器对象 防火墙配置案例二 n门向导配置网口IP地址和有效网络 防火墙配置案例二 n门向导配置接口IP地址和有效网络 防火墙配置案例二 n门向导配置接口IP地址和有效网络 防火墙配置案例二 n门向导配置Net 2 Public 防火墙配置案例二 n配置NAT策略 防火墙配置案例二 n配置安全策略 防火墙配置案例三 n真实IP不足 Internet mail server ftp server web server /24 DMZ区 外部网 内部网 54 54 50 54 49 防火墙配置案例三 n要求 内部网使用保留IP地址/24，但是要通过防 火墙上Internet。 DMZ区同样使用保留IP地址/24，只对内部 网和外部网开放相应服务。DMZ区服务器不能直接访 问内部网和外部网。 防火墙配置案例三 n分析 由于内部网使用保留IP地址/24，所以防火 墙要设置从内到外的NAT，地址为50 DMZ区同样要设置NAT，但是是从外到内的。只对内 部网和外部网开放相应端口。在这种情况下，不要把 DMZ Public选项选中。 防火墙配置案例三 n定义对象单个IP地址 防火墙配置案例三 n定义对象单个IP地址 防火墙配置案例三 n定义对象IP地址范围 防火墙配置案例三 n定义对象IP地址范围 防火墙配置案例三 n定义对象IP地址范围 防火墙配置案例三 n定义对象路由器对象 防火墙配置案例三 n门向导配置网口IP地址和有效网络 防火墙配置案例三 n门向导配置网口IP地址和有效网络 防火墙配置案例二 n门向导配置接口IP地址和有效网络 防火墙配置案例三 n配置NAT策略 防火墙配置案例三 n配置安全策略 不同版本的注意事项 nFirmware为1.6和2.0/3.0的配置的不同 “超级终端”中输入“version”命令确认方通防火墙的Firmware版 本 Secuwayroot$ version OS version 2.2.13 #2118 Tue Feb 3 16:16:58 KST 2004 Firmware Version= Model=2, Revision=2 Compile Option=GATE_V2 PKI_VERSION CENTER_V2 UDP_ENCAPS MANUAL_IPSEC K4_AUTH PSKEY PSKEY_EX USER_LIMIT ACCEPT_MULTICAST ANONYMOUS_L2TP RT_SCRIPT RIP VRRP AUTOUP DMZ_VIP CHK_INT GATE100root$ version FOS version 2.5.67 #15 Mon Nov 1 17:26:15 KST 2004 Firmware Version= Model=2, Revision=6 Option=GATE_V2 Ramdisk Version=, patch=p2a3 Firmware 1.6版的信息 Firmware 2.0版的信息 不同版本的注意事项 n如果为2.0的版本，在配置案例二、三时要注 意Net 3的public选项 如果为2.0的 版本，需要 把Net 3的 Public的选 项选中 方正信息安全公司 Tel:Tel: 80081013538008101353（5*85*8小时免费）小时免费） 021-24028515021-24028515（7*247*24小时）小时）67466746 （5*85*8小时）小时） Fax:Fax: 021-24028518021-2402851