防火墙路由工作模式的配置

1、4.3防火墙的路由模式前置知识：防火墙的路由工作模式相当于防火墙工作于路由模式，此时防火墙进行安全防范的各个 区域均处于不同的IP子网中。在实际的网络应用环境中，防火墙一般位于网络的边界，连 接了内部和外部网络，是内部和外部网络通讯的唯一通道。此时防火墙的外部网Rif0WAN 口）配置ISP提供的公网IP地址，而内部网络使用私用网络地址。RFC1918规定了三个地址块用作内部私用IP地址：/8/12/16网络管理员可根据实际情况从中选择。这样在访问外部网络的时间，常常需要在外部 网络接口上做NAT转换。实验目的：了解防火墙路由工作模式和透明工作模式的概念了解NAT的基本概念3掌握防火墙路由工作

2、模式的配置4掌握动态NAT和静态NAT的配置方法试验设备：DCFW1800S-L/VPN 防火墙一台PC机三台交叉网络线三根试验规划及拓扑规划：防火墙接口If0（WAN 口）IP/掩码/24If1（LAN 口）IP/掩码00/24If2（DMZ 口）IP/掩码0/24Turst-PC测试网卡的IP/掩码01/24Untrust-PC测试网卡的IP/掩码/24Dmz-PC测试网卡的IP/掩码1/24Dmz-pc的对外静态NAT转换地址拓扑:Trust-pc01/24If0: If1: 00If2: 0实验步骤：第一步：将防火墙回复出厂设置使用系统内置的admin用户，以命令行终端方式登录防火墙，

3、执行如下命令:#ruleconfig load default100% Rules loaded successfully!#save#apply第二步：按规划配置防火墙各个接口的IP地址使用系统内置的admin账户，从终端窗口登录防火墙，执行如下的命令序列:ifconfig if0 /24ifconfig if1 00/24ifconfig if2 0/24adminhost add 01saveapply第三步：按规划为三台PC配置IP及网关地址下边以内网计算机的IP地址配置为例，如图1所示。图1客户端TCP/IP属性配置在本试验中，因为防火墙工作于路由模式，因此三台计算机上必须配置网管地

4、址，否 则不能正常通讯。三台PC各自的网关地址分别是其相连的防火墙端口的IP地址。其他 两台计算机都按此配置。第四步：为三台PC机在防火墙内配置三个对应的网络对象1,选择“对象” I “网络” I “网络对象”，如图2所示：图2系统内建网络对象系统默认内置的网络对象，下边将要根据规划为三台PC创建网络对象。2.配置三个网络对象打击上图中的“新增”按钮，新增一个网络对象，如图3所示。图3创建可信内网网络对象图中的名称可以自行确定，该PC处于内网段，和if1接口处于同一个网段。因为这 里是为单独的一台计算机创建网络对象，所以掩码是32位。以下操作与此类似。为外网计算机创建网络对象，如图4所示。图4

5、为不可信外网创建网络对象为DMZ区的计算机创建网络对象，如5图所示。图5为DMZ区创建网络对象三个网络对象创建完成之后的情形如图6所示。图6创建了三个网络对象第五步：创建访问策略选择“策略” I “策略设置”命令。刚打开时，没有定义任何的策略，如图7所示。图7策略定义窗口这里以ping和ftp服务为例，说明规则的创建过程，在上图中单击“新增”按钮，打开如 图7和图8所示。图8创建可信内网到不可信外网的ping服务安全规则图9创建可信内网到不可信外网的ftp服务安全规则 针对三个网络对象后的完整规则如图10所示。图10完成创建本实验所需的安全规则第六步：做NAT转换1.为使内网使用私用地址的计算

6、机可以访问外网的服务器，需要对内网的计算机做 动态NAT转换。选择“NATT 动态NAT”命令，如图所示，初始状态下图11转换规则表为空。动态NAT .新增# S IP/Maskbits 目的 IP/Maskbits转换后 IP 接口 修改 U除ffi第U1页转到第1页回图11创建动态NAT服务添加动态NAT转换规则，如图12所示。图12为内部网络增加NAT转换规则上图各项参数填写完成后，单击“确定按钮”，回到动态NAT规则显示界面，如图13所 示。图13完成创建NAT转换规则2. DMZ区一般是用来放置对外提供服务的服务器区，该区的服务器多使用私用网络 地址，为了使外部用户可以访问该去服务器

7、，需要在防火墙的外部网络接口（WAN 口）做 静态NAT转换。选择“NATT 静态NAT”，操作和做动态NAT转换类似，如图14所示。图14创建静态NAT转换规则“转换后的IP”项填写外部访问DMZ区服务器时所用的合法IP地址。完成后单击 “确定”按钮，返回如图15所示的界面。图15完成创建静态NAT转换规则第七步：在终端窗口中查看路由表的内容如下所示：# show routeRouting summary:0 bad routing redirects0 dynamically created routes0 new gateways due to redirects546 destinat

8、ions found unreachable0 uses of a wildcard routeInternet Routing Table: UH 0032964 lo0192.168.10/24link#3UC10-if210:14:78:9c:61:40UHL1028-if2192.168.100/24link#2UC20-if1010:14:78:9c:61:33UHL1013-if155link#2UHL100-if1211.84.155/24link#1UC20-if00:14:78:9c:61:1dUHL10161-if0/320:90:b:7:b1:1bULS200-if055

9、link#1UHL100-if0Encap Routing Table:第八步：测试按表规划的测试项目在三台PC机上分别进行测试。测试之前，要在dmz-PC和untrust-PC 上运行FTP服务器。如表1所示。表一服务测试测试项目命令结果trust-PC dmz-PCPing 1通trust-PC dmz-PCftp 1可以访问trust-PC untrust-PCPing 通trust-PC untrust-PCftp 可以访问dmz-PC trust-PC任何命令无法访问dmz-PC untrust-PCping 可以访问dmz-PC untrust-PCftp 可以访问untrust-

10、PC trust-PC任何命令无法访问untrust-PC dmz-PCPing 通untrust-PC dmz-PCftp 可以访问untrust-PC dmz-PCPing 1不通untrust-PC dmz-PCftp 1无法访问测试实示例：Trust-PC ping dmz-Pc:Pinging 1 with 32 bytes of data:Reply from 1: bytes=32 time1ms TTL=127 Reply from 1: bytes=32 time1ms TTL=127 Reply from 1: bytes=32 time1ms TTL=127Reply from 1: bytes=32 timeftp 1Connected to 1.220 3Com FTP Server Version 1.1User (1:(none): anonymous331 User name ok, need passwordPassword:230 User logged inftp思考题：1重新将防火墙网络