No5.防火墙网络.%b7%c0%bb%f0%c7%bd%cd%f8%c2%e7.ppt

网络系统集成技术NetworksSystemIntegrating,常工职计算机系2007年9月,第五讲防火墙网络,莆田学院现代教育技术中心2006年3月2007版,课程安排,第一讲网络系统集成概述第二讲家庭/SOHO无线网络第三讲中小型办公网络第四讲中小企业双出口网络第五讲锐捷防火墙网络第六讲大型单核网络第七讲大型安全网络第八讲大型双核网络第九讲项目集成实施第十讲网络设备接口互联视课程时间选讲,莆田学院现代教育技术中心2006年3月2007版,其他,教学资料下载0/课件/网络系统集成技术课件课件(共九章)05级计算机网络系统集成技术教学进度表.doc其他参考资料课后实验时间：每周三下午1：204：50方案设计考试参考：常州嘉通网络集成方案设计,希望是一组内容丰富而轻松的知识讲座，不是一门让你为考试而皱眉的课程,莆田学院现代教育技术中心2006年3月2007版,推荐教材,书名:网管员必读网络基础王达编著2004年9月电子工业出版社45元书号：ISBN7-121-00161-6,莆田学院现代教育技术中心2006年3月2007版,第四讲中小型双出口网络,莆田学院现代教育技术中心2006年3月2007版,前言,本案例通过三个实训部分，介绍锐捷防火墙的初级和中级的一些应用，并对整体系统和概念进行相关说明，比较适合于刚刚接触锐捷防火墙的一些用户和初级的网络网络管理人员，对需要了解有关安全方面的各种知识的网络工程师比较适合使用。,莆田学院现代教育技术中心2006年3月2007版,本讲学习目标,能对防火墙进行初始化配置学会比较防火墙的两种模式能熟练配置防火墙路由能熟练配置防火墙NAT能设计合理防火墙网络提高网络管理和安全意识,莆田学院现代教育技术中心2006年3月2007版,防火墙应用方式介绍,防火墙的两种应用方式：透明桥的应用方式选择透明桥的方式原因防火墙两端的路由设备利用动态路由协议通信现有网络不能修改网络地址体系路由的应用方式选择路由应用的原因利用锐捷防火墙取代已安装防火墙或NAT设备同一网络或者有限的路由器接口环境下安装两台以上的锐捷防火墙构成HA功能能够负载均衡功能，并且确保锐捷防火墙的扩展性,莆田学院现代教育技术中心2006年3月2007版,防火墙应用方式介绍,透明桥的应用方式典型连接方式应用场所：简单的说，当防火墙使用在两个相同环境里的时候，不需要进行IP地址相互转换的情况、或者在这个网络中需要对不同的应用进行安全隔离，但是还要有部分应用要相互交互数据，在这种情况下，都可以使用桥的方式,莆田学院现代教育技术中心2006年3月2007版,防火墙应用方式介绍,路由的应用方式典型连接方式应用场所当有HA功能需求的时候当应用到DNS分离的环境,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（拓扑）,本实训中PC通过串口Com1用控制线连接到防火墙的控制口（Console），通过一根交叉网线连接到防火墙的以太网口F0，并事先在PC机上安装了Java程序（j2re-1_4_0-win-i，或更高版本）。,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,初始化步骤,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,连接串口线，启动防火墙后，会出现如下的登陆提示该提示是系统的登陆过程，系统默认的登陆ID和口令如下：ID：rootPW：rg-wall123,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,到这一步说明我们已经登陆到防火墙的内部，在这一步，我们可以输入SI进入注册的界面防火墙的默认方式为路由方式，因此，我们先进行路由方式的注册,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,路由方式的注册在这一步输入管理员的用户名和密码我们使用admin作为管理员的用户，锐捷防火墙要求管理员的密码最少为6位，因此，我们使用admin123作为管理员的密码下一步为对防火墙语言的选择,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,路由方式的注册下一步为对时间和时区的设置，如果网络中没有对网络时间有过多的要求，可以选择“0”直接进行下一步的配置下一步要求我们输入管理远的IP地址，这一步是比较关键的一步，如果在放火墙中没有相应的管理员IP地址，那么当远程管理的时候则不能登陆到防火墙上,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,路由方式的注册这一步为对防火墙的内、外网络接口的设置对防火墙接口的设置只要选取相应的序号，进入后，可以对这个接口设置不同的接口方式和IP地址。,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,路由方式的注册对VLAN的设置，锐捷防火墙最多可以设置6个VLAN，可以把防火墙的接口分配到不同的VLAN中。默认网关的设置，同时在这一步可以查看路由表,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,路由方式的注册下一步为动态路由的配置，如果不需要使用，可以自己选“0”进入到下一步HA的配置界面，当使用到了热备份的方式可以设置此项,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,路由方式的注册这一步为对防火墙的内、外网络接口的设置对防火墙接口的设置只要选取相应的序号，进入后，可以对这个接口设置不同的接口方式和IP地址。,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,路由方式的注册对VLAN的设置，锐捷防火墙最多可以设置6个VLAN，可以把防火墙的接口分配到不同的VLAN中。默认网关的设置，同时在这一步可以查看路由表,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,路由方式的注册下一步为动态路由的配置，如果不需要使用，可以自己选“0”进入到下一步HA的配置界面，当使用到了热备份的方式可以设置此项,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,路由方式的注册虚IP地址的配置,可以直接跳过这一步，可以不用设置输入DNS，当使用防火墙上网的时候，在这一步可以输入当地ISP的DNS地址,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,路由方式的注册最后一步为防火墙规则的选择，按照网络的要求可以选择一个对应不同区域的要求到这一步后，路由方式基本配置完毕，后面的选项可以使用默认的方式设置，重新启动防火墙就可以了。,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,透明桥注册的方式连接串口线，启动防火墙后，会出现如下的登陆提示该提示是系统的登陆过程，系统默认的登陆ID和口令如下：ID：rootPW：rg-wall123,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,透明桥的注册方式到这一步说明我们已经登陆到防火墙的内部，在这一步，我们可以输入SI进入注册的界面防火墙的默认方式为路由方式，下面开始对桥模式进行注册：,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,透明桥方式的注册在这一步输入管理员的用户名和密码我们使用admin作为管理员的用户，锐捷防火墙要求管理员的密码最少为6位，因此，我们使用admin123作为管理员的密码下一步为对防火墙语言的选择,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,透明桥方式的注册下一步为对时间和时区的设置，如果网络中没有对网络时间有过多的要求，可以选择“0”直接进行下一步的配置下一步要求我们输入管理远的IP地址，这一步是比较关键的一步，如果在放火墙中没有相应的管理员IP地址，那么当远程管理的时候则不能登陆到防火墙上,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,透明桥方式的注册设置相应的接口，桥的方式在应用上一般不需要对内、外网使用IP地址，但是，为了方便对防火墙进行管理，需要给防火墙的BR0接口一个地址，作为管理使用。,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,透明桥方式的注册默认网关，可以查看路由表桥模式下的HA设置,莆田学院现代教育技术中心2006年3月2007版,一、防火墙初始化（配置）,透明桥方式的注册输入DNS，当防火墙连接到网络上，请输入当地ISP的DNS地址选择规则，桥模式的规则比较简单，按照要求选择就可以了。到此桥模式的注册已经完成，重新启动后可以使用防火墙了。,莆田学院现代教育技术中心2006年3月2007版,JAVA软件的选择和安装,锐捷网络的RG-WALL系列防火墙在通过WEB方式的使用和管理应用到了JAVA这个软件,使用的主要目的就是针对管理员在使用WEB方式进行网络管理的时候,通过JAVA加载保存在防火墙里的图形界面来以图形的方式对防火墙进行管理。因此，在使用防火墙之前有必要简单的了解一下有关JAVA的一些知识。JAVA软件的下载和安装这个软件可以到JAVA的网站上去下载，这个网站还提供了免费升级的软件的版本，因此使用起来很方便，目前最高版本为1.50。,莆田学院现代教育技术中心2006年3月2007版,JAVA软件的选择和安装,通常，下载下来的软件为一个压缩包，安装的方式也很简单，执行这个压缩包进行安装就可以了安装结束后，如果要进行调试的防火墙已经和管理的PC机连接好，我们就可以登陆到这个防火墙了，在登陆的同时，JAVA会下发一个安全证书给用户，因此选确认一项就可以了,莆田学院现代教育技术中心2006年3月2007版,JAVA软件的选择和安装,出现问题的处理常遇到的问题是在安装后已经打开了防火墙的界面，但是却不能出现防火墙的登陆界面，这说明JAVA软件的安装不正确或者当前的软件版本过低造成，建议安装更高的版本或者进行在线升级,莆田学院现代教育技术中心2006年3月2007版,JAVA软件的选择和安装,修改后，正常的防火墙登陆界面，说明JAVA软件加载正常,莆田学院现代教育技术中心2006年3月2007版,防火墙初级应用,接口的配置锐捷防火墙的接口主要有三种内部网络接口外部网络接口DMZ接口,莆田学院现代教育技术中心2006年3月2007版,防火墙初级应用,在我们注册防火墙的时候，已经涉及到了对各个接口的定义，为了在路由模式下对各个接口定义相应的IP地址，所以也可以通过在防火墙内部的“网卡”一项中来指定外部网络的接口,莆田学院现代教育技术中心2006年3月2007版,防火墙初级应用,外部网络接口的配置防火墙的外部接口根据网络环境的不同可以设置相应的选项，如果在外网接口上分配了多个IP地址，则可以在此选项的右边把这些IP地址以别名的方式增加到外网口上,莆田学院现代教育技术中心2006年3月2007版,防火墙初级应用,内部网络接口的配置内部网定义的就是网络中的内部IP地址，如果有多个子网的IP地址，则可以把他设置在界面右侧的别名区域中。,莆田学院现代教育技术中心2006年3月2007版,防火墙初级应用,DMZ区接口的配置DMZ区的作用是放置对公网发布的各种服务器，比如MAIL服务器、DNS服务器、WWW服务器等，都放置在这个区域，而且，这个区域不但要和公网数据交换，而且内部网络也要对这个区域进行访问，在这个区域内，可以有多个IP地址网段，因此，把不同的IP地址都可以放到右侧的区域中,莆田学院现代教育技术中心2006年3月2007版,案例：用户需求：服务器3通过RG-WALL翻译成公网地址3服务器2通过RG-WALL翻译成公网地址4内部网络用户/24网段的用户可以直接通过公网IP地址访问放在防火墙内部网络的服务器公网用户可以通过公网IP访问通过防火墙提供服务的公网服务器,图示,17216.2.13,莆田学院现代教育技术中心2006年3月2007版,实现步骤1：首先对防火墙的IP地址进行设置和规划RG-WALL基本配置：外网地址6DMZ地址内网地址默认路由5从ISP获得公网地址6-6,莆田学院现代教育技术中心2006年3月2007版,实现步骤2：配置默认路由下一跳5,莆田学院现代教育技术中心2006年3月2007版,实现步骤3：PAT的配置静态NAT配置公网用户可以使用公网IP访问放在防火墙DMZ区域的服务器3对应32对应4反向PAT配置指定所需要内网访问的网段对应需要内网用公网IP访问的服务器公网IP地址注：只需要配置1个反向PAT地址即可,莆田学院现代教育技术中心2006年3月2007版,通过反向PAT,客户就可以在内网使用公网地址访问放在内部网络的服务器。访问速度为内网访问速度。由于静态NAT使用的一对一地址映射，映射后的主机拥有公网地址，建议采用严格的过滤规则来保护服务器，相关设置可在策略规则中设定。,莆田学院现代教育技术中心2006年3月2007版,二、路由配置,路由的配置锐捷防火墙有三种路由的方式：路由的方式，在这个选项中，包含了三种方式：静态路由、动态路由、直连OSPF的方式源路由的方式,莆田学院现代教育技术中心2006年3月2007版,二、路由配置,路由：在这个选项中，包含了三种方式：静态路由、动态路由、直连,静态路由的添加,莆田学院现代教育技术中心2006年3月2007版,二、路由配置,路由：,动态路由,直连路由,莆田学院现代教育技术中心2006年3月2007版,二、路由配置,OSPF：,OSPF设置界面,莆田学院现代教育技术中心2006年3月2007版,二、路由配置,源路由：源路由在使用中是一个很常见的应用方法，在这里我们以一个例子来简单对源路由进行一下介绍。例：在内部网络中，有两个子网，NETA与NETB，出口有两条线路，CERNET和INTERNET，通常的路由都是基于目的的路由，但是在有一些的环境中，对路由的要求是不同的，比如在上面的例子中，我们要求的路由走向为：NETA-CERNETNETB-INTERNET对于内部的不同的网段，走不同的链路，这时候通常的目的路由无法满足，因此就需要使用基于源地址的路由设置，对于不同的源地址走不同的线路。,莆田学院现代教育技术中心2006年3月2007版,二、路由配置,源路由：例：,莆田学院现代教育技术中心2006年3月2007版,二、路由配置,源路由：设置方法：,莆田学院现代教育技术中心2006年3月2007版,三、NAT配置,锐捷防火墙支持四种NAT的方式：静态NAT、动态NAT、PAT、LSNAT静态NAT分配一个内部实际存在的IP地址和外网可以使用的IP地址，对这一对地址总是实行同样的转换动态NAT设置外网使用的IP地址池，对一定范围的实际存在的内部IP，按请求顺序动态分配外部用的IP地址。PAT当多个内部IP地址共享一个或者一个以上外部IP地址的时候，使用PAT的功能，此时转换为外部IP地址，同时转换端口，PAT转换利用没有设置成转换为静态NAT或者动态NAT的内部IP地址或虽然已经设置为动态NAT，但是由于外部IP地址池已经满，不能在分配的地址。LSNATLSNAT也称为DISTRIBUTEDNAT，一个外网IP地址对应多个内网IP地址，在外网把以该IP地址为目的地址的所有会话分散转换分配给各内网IP地址，这中分配的主要目的是：当一个IP地址接到多个请求时，均衡负载保证运行速度，,莆田学院现代教育技术中心2006年3月2007版,三、NAT配置,NAT的配置以及使用锐捷防火墙配置及应用静态NAT：应用场合：将内网和外网地址进行一对一的转换如：008这样，外部的用户访问8就能访问到00这个机器,莆田学院现代教育技术中心2006年3月2007版,三、NAT配置,NAT的配置以及使用动态NAT：应用场合：主要在外网使用的IP地址数（公网地址）少于内网实际的主机数时或者需要固定分配所有内部IP地址时使用。如：内部网络的地址段为到0，而外网提供的地址只有10个，因此，这个环境下就要用到了动态的NAT转换。,莆田学院现代教育技术中心2006年3月2007版,三、NAT配置,NAT的配置以及使用PAT：使用场合：若干个内部IP地址共享外部IP地址时使用PAT，此时转换成同一个外部IP地址，同时改变PORT，当在静态NAT、动态NAT中都没有设置，而且在PAT列表中没有注册的内部IP地址时，或者在动态NAT中已经设置，但是由于外部IP地址池不能满足内部地址的要求时，都可以使用PAT的功能。如：在内