方正FS防火墙配置案例分析.ppt

FS防火墙配置,主题内容,常用命令介绍防火墙基本配置和注意事项案例分析,防火墙常用命令,eraseobjall清除防火墙配置initialize初始化防火墙网口地址ifconfig查看网卡IP地址route查看防火墙路由表信息版本,防火墙基本配置,初始化,配置顺序,打开SecuwayAdmin连接防火墙,配置对象，包括定义“有效网络”，“路由器”等关键对象,启动“门向导”，将对象配置在相应的位置,配置安全策略和NAT规则,传送并重新启动防火墙,防火墙初始化,配置超级终端，连接串口,必须使用防火墙随机带的串口线，不可以使用Cisco的串口线,超级终端用户名密码默认为“admin”,防火墙初始化,为防火墙配置IP地址,在超级终端中输入“initialize54”,/24,防火墙重新启动Secuwayroot$NotexistObjectid0 x11NowWriteObjectDummyGateObjectLoadSuccessbyPing:ip=c0a801ab,netmask=ffffff00SystemResetret=c01a7058,防火墙重新启动后，所有网卡的IP地址都是54,防火墙配置-SecuwayAdmin,在防火墙光盘中有两个文件，一个是SecuwayAdmin.jar，一个是Java环境的安装文件。首先安装Java环境文件Jre-1.3.x.x.exe然后双击运行SecuwayAdmin.jar,注意：有些PC机上安装了类似WinRAR的程序，默认情况下会用WinRAR程序打开*.jar文件，在这种情况下，需要启动“打开方式”，然后选择”javaw”打开,防火墙配置-SecuwayAdmin,防火墙配置-SecuwayAdmin,IP地址范围对象的定义,防火墙配置-SecuwayAdmin,路由器对象,防火墙配置-SecuwayAdmin,门向导,防火墙配置-SecuwayAdmin,为每一个网卡配置IP地址和有效网络,防火墙配置有效网络,有效网络的概念（重要）,有效网络的概念对于方正FS系列防火墙来说至关重要，配置的正确与否直接影响到网络是否正常工作。,有效网络的定义：FS防火墙每个网口所连接的网络范围。FS防火墙会根据有效网络的定义决定向哪个网口转发数据，类似于给每个网口设置路由，,有效网络设置的关键点：搞清楚每个接口所涵盖的网络范围，精确的定义每个范围，不能多也不能少。有效网络不仅仅包括网口所在的网段，也要包含该网口连接的路由器或者三层交换后的所有IP地址。防火墙网口的地址可以包含在有效网络中，也可以不包含。,防火墙配置案例一,IDC托管机房,mailserver51,ftpserver52,webserver53,防火墙,54,50,Netmask:48,防火墙配置案例一,要求,外部Internet可以访问各服务器的相应服务，外部可以Ping通各服务器以检测服务器是否工作正常。,内部服务器不能主动访问外部Internet。,防火墙配置案例一,分析,IDC托管机房内，内部服务器地址与外部网关地址处在同一网段，这时防火墙可以设置成透明模式,即通常所说的桥模式。这里我们只使用Net1和Net3，即内网口和外网口。,这时，防火墙的两端可以任意配置IP地址和路由信息，问题的关键在于，有效网络的正确配置。,防火墙配置案例一,定义对象IP地址范围,防火墙配置案例一,定义对象IP地址范围,防火墙配置案例一,定义对象IP地址范围,防火墙配置案例一,定义对象路由器对象,防火墙配置案例一,门向导配置接口IP地址和有效网络,防火墙配置案例一,门向导配置接口IP地址和有效网络,防火墙配置案例一,门向导配置接口IP地址和有效网络,防火墙配置案例一,配置安全策略,防火墙配置案例二,足够真实IP,mailserver51,ftpserver52,webserver53,/24,DMZ区,外部网,内部网,54,50,50,54,防火墙配置案例二,要求,内部网使用保留IP地址/24，并要通过防火墙上Internet。,DMZ区使用真实IP地址，并且只对内部网和外部网开放相应服务。DMZ区服务器不能直接访问内部网和外部网。,防火墙配置案例二,分析,由于内部网使用保留IP地址/24，所以防火墙要设置从内到外的NAT（SNAT），地址为50。,DMZ区使用真实IP地址，并且只对内部网和外部网开放相应端口。在这种情况下，要把Net2ModePublic选项选中。,防火墙配置案例二,定义对象单个IP地址,防火墙配置案例二,定义对象IP地址范围,防火墙配置案例二,定义对象IP地址范围,防火墙配置案例二,定义对象IP地址范围,防火墙配置案例二,定义对象路由器对象,防火墙配置案例二,门向导配置网口IP地址和有效网络,防火墙配置案例二,门向导配置接口IP地址和有效网络,防火墙配置案例二,门向导配置接口IP地址和有效网络,防火墙配置案例二,门向导配置Net2Public,防火墙配置案例二,配置NAT策略,防火墙配置案例二,配置安全策略,防火墙配置案例三,真实IP不足,mailserver,ftpserver,webserver,/24,DMZ区,外部网,内部网,54,54,50,54,49,防火墙配置案例三,要求,内部网使用保留IP地址/24，但是要通过防火墙上Internet。,DMZ区同样使用保留IP地址/24，只对内部网和外部网开放相应服务。DMZ区服务器不能直接访问内部网和外部网。,防火墙配置案例三,分析,由于内部网使用保留IP地址/24，所以防火墙要设置从内到外的NAT，地址为50,DMZ区同样要设置NAT，但是是从外到内的。只对内部网和外部网开放相应端口。在这种情况下，不要把DMZPublic选项选中。,防火墙配置案例三,定义对象单个IP地址,防火墙配置案例三,定义对象单个IP地址,防火墙配置案例三,定义对象IP地址范围,防火墙配置案例三,定义对象IP地址范围,防火墙配置案例三,定义对象IP地址范围,防火墙配置案例三,定义对象路由器对象,防火墙配置案例三,门向导配置网口IP地址和有效网络,防火墙配置案例三,门向导配置网口IP地址和有效网络,防火墙配置案例二,门向导配置接口IP地址和有效网络,防火墙配置案例三,配置NAT策略,防火墙配置案例三,配置安全策略,不同版本的注意事项,Firmware为1.6和2.0/3.0的配置的不同,“超级终端”中输入“version”命令确认方通防火墙的Firmware版本,Secuwayroot$versionOSversion2.2.13#2118TueFeb316:16:58KST2004FirmwareVersion=Model=2,Revision=2CompileOption=GATE_V2PKI_VERSIONCENTER_V2UDP_ENCAPSMANUAL_IPSECK4_AUTHPSKEYPSKEY_EXUSER_LIMITACCEPT_MULTICASTANONYMOUS_L2TPRT_SCRIPTRIPVRRPAUTOUPDMZ_VIPCHK_INT,GATE100root$versionFOSversion2.5.67#15MonNov117:26:15KST2004FirmwareVersion=Model=2,Revision=6Option=GATE_V2RamdiskVersion=,patch=p2a3,Firmware1.6版的信息,Firmware2.0版的信息,不同版本的注意事项,如果为2.0的版本，在配置案例二、三时要注意Net3的public选项,如果为2.0的版本，需要把Net3的Publ