实验十二 蓝盾防火墙的典型安装与部署.doc

实验十二 蓝盾防火墙的典型安装与部署NAT模式（路由模式）【实验名称】防火墙的典型安装与部署NAT模式（路由模式）【计划学时】2学时【实验目的】1、 理解防火墙NAT模式的作用；2、 理解防火墙NAT模式的工作原理；3、 掌握安装部署的配置方法并验证NAT模式下配置的有效性。【基本原理】在NAT模式下，防火墙类似于一台路由器，将公网的ip地址映射到内网的某个地址，从而使得内网的主机可以和外网通信。该模式适用于内网、外网和DMZ区域不在同一个网段的情况。从拓扑图我们可以知道，在这种模式下防火墙充当了内网的网关，所以链接到内网的LAN要设置成内网网关的地址。之后还要设置NAT地址转换。首先，可以先通过定义对象使得以后的设定选择变得简便。之后，我们配置LAN口到外部网的NAT地址转换。最后，为了内部网可以正常地访问到外网，还需要设置防火墙收到远程数据包应该发送的下一跳地址，所以还要设置相应的路由选项。【实验拓扑】【实验步骤】一、将防火墙接入当前网络1、将防火墙按照拓扑所示接入当前网络，由路由器引入的外线接WAN口，由核心交换机引出的内部网线接LAN口，由DMZ区域的交换机引出的网线接DMZ口2、检验加入后网络状况从内部网络中的任一台PC无法再ping通路由器的对内网口IP: 10.0.0.2543、通过管理PC登录防火墙系统，“系统”“系统信息”“设备状态”，查看网络接口信息可以看到当前的线路连接，LAN4（也就是WAN）口上由于没有配置IP，无流量进出，故仍显示4、查看接口情况进入网口配置界面，“网络设置”“网口配置”“网口”：二、修改LAN和DMZ配置1、修改内网主机IP配置 内网中的主机IP设置为与防火墙设备LAN 口同一网段的地址，并将网关指向LAN口地址：修改DMZ区域服务器IP配置2、测试LAN和DMZ区域是否与对应网口连通在完成修改的PC上ping LAN 口地址：在完成修改的PC上ping DMZ口地址：说明LAN和DMZ内部主机已与防火墙的网口连通了。三、配置防火墙的WAN口1、进行NAT配置“网络设置”“WAN设置”“WAN连接”：参数定义：左框：默认为空白名称：自定义一个名称这里可为连接定义一个名称参数定义：方式：为连接定义方式启动时自动连接：勾选则在系统启动时会自动采用这个连接自定义MTU：设置MTU值连接自动容错：当连接错误时采取动作首选容错检测IP：设置首选容错检测IP备用容错检测IP：设置备用容错检测IP外部流量负载均衡：是否启用外部流量负载均衡网关负载均衡：是否启用网关负载均衡权重：设置权重值连接方式和连接自动容错方式包括有连接方式： 自动容错方式：选择不同的连接方式，要点击“更新”，下面会出现相应的设定项（以静态IP连接为例）：参数定义：网口：选择当前可用的外部网口默认网关：指向上网网关IP地址：设置可上网的IP地址子网掩码：设置指望掩码首选DNS服务器：设置首选DNS服务器备用DNS服务器：设置备用DNS服务器在“全局配置”中我们选择了“静态IP连接配置”，接着进行静态IP连接的设定。 设置完成后，点击“保存并连接”2、确认NAT设置成功“系统”“系统信息”“设备状态”，可以查看到连接信息，设置正确，则可以看到网络已经连接由于防火墙设备能够根据网口信息，自动建立路由表，因此此时内部子网也应该可以连接到防火墙上层的路由器。四、检查当前网络检查内网是否ping通外网从内网任一台主机发起ping到路由器，可以连通：则防火墙的NAT模式部署成功。【实验总结】本次试验主要介绍了如何配置防火墙在NAT模式下工作，如何进行NAT地址转换及路由选项设置，以便内部网络能够正常地访