企业边界防火墙策略15932.pdf

《企业边界防火墙策略15932.pdf》由会员分享，可在线阅读，更多相关《企业边界防火墙策略15932.pdf（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-.z.企业边界防火墙策略 使用 Window、Linu*及防火墙。参照图 27-3-1 构建实验环境。图 27-3-1 实验总图 防火墙的内部 IP 地址eth1 的 IP 地址按照其组别依次为：172.16.0.201、172.16.0.202172.16.0.206。此 IP 地址为防火墙默认设置，实验过程中不能更改。为了去除先前实验操作遗留下的痕迹，需要恢复防火墙为安装后的缺省状态，首先要确定主机 A 与防火墙的 eth1 网络接口在同一网段。主机 A 翻开 IE 浏览器，在地址栏中输入“s:/防火墙的内部IP:8080”,在稍候弹出的“平安警报对话框中单击“是按钮继续操作。在接下来弹

2、出的用户登录对话框中输入 admin的密码“jlcssadmin。登录后防火墙的 Web 管理页面如图 27-3-2 示。图 27-3-2 防火墙 WEB 界面 在左侧的工程列表中选择“系统“恢复映像，进入“恢复映像页面。浏览本地映像及输入加密密钥进展恢复。点击“确定重新启动设备。待防火墙重新启动后即可进展实验操作。在防火墙重启过程中主机A 可通过在控制台中输入命令“ping 防火墙的IP -t判断防火墙是否已经启动完毕。一主机角色配置 1设置主机 E 为 Internet 中的一台 Web 效劳器。主机 E 的 IP 地址 218.198.50.50，子网掩码 255.255.255.0。为

3、了使主机 A、主机 B 能够主机 E 提供的 Web 效劳，配置主机 E 成为一台 Web 效劳器，缺省状态下 Windows 系统已启动-.z.Web 效劳，可在本机 IE 地址栏中输入 localhost 确定 Web 效劳是否工作正常。2主机 FLinu*Internet 中的一台 FTP 效劳器。主机 F 的 IP 地址 218.198.50.60，子网掩码 255.255.255.0。为了使主机 A、主机 B 能够主机 F 提供的 FTP 效劳，配置主机 F 成为一台 FTP 效劳器，具体设置如下:以 root 身份登录 Fecora core5，在控制台中输入命令：service

4、vsftpd start 翻开 FTP 效劳，为使下次开机自启动 FTP 效劳输入命令：chkconfig vsftpd on。如图 27-3-3 所示。图 27-3-3 FC5 启动 FTP 效劳 3主机 CLinu*DMZ 区 Web 效劳器。主机 C 的 IP 地址 192.168.1.50，子网掩码 255.255.255.0，它属于私有 IP 地址，默认网关 192.168.1.150防火墙。以 root 身份登录 Fecora core5，在控制台中输入命令“service d start翻开 效劳，为使下次开机自启动 效劳输入命令“chkconfig d on。4主机 DWind

5、owsDMZ 区 FTP 效劳器。主机 D 的 IP 地址 192.168.1.60，子网掩码 255.255.255.0，它属于私有 IP 地址，默认网关 192.168.1.150防火墙，缺省状态下 Windows 系统已启动 FTP 效劳，可在本机 IE 地址栏中输入 ftp:/localhost 确定 FTP 效劳是否工作正常。5主机 A、主机 BWindows)内网主机。内网主机 A、主机 B 的 IP 地址分别为 172.16.0.50 和 172.16.0.60，子网掩码均为255.255.255.0，默认网关 172.16.0.150(防火墙)。二防火墙设置-.z.1企业网络区

6、域划分 选择“网络“接口，进入“网络接口页面。如图 27-3-4 示。图 27-3-4 防火墙网络接口页面 其中“名称别名为“E*ternal代表非受信任区域 Internet，“Trusted代表内部网络，“Optional-1”代表限制区，即 DMZ 区。选择“eth1”的接口进展配置，在弹出的“接口配置-可信任/可选界面中输入内部网络的 IP地址：172.16.0.150/24。点击“保存并在弹出的“警告对话框中选择“是。在 IE 浏览器的地址栏中重新输入 s:/172.16.0.150:8080 登录防火墙 web 控制界面。并按照配置eth1 的方法将 eth0 的 IP 地址配置为

7、：218.198.50.150/24，网关为：218.198.50.1；将 eth2的 IP 地址设置为：192.168.1.150/24。2防火墙规则设置 1添加端口转发规则 单击“防火墙防火墙策略标签，进入防火墙策略配置页面。添加两条新策略：策略一，允许外网主机 C 的 WEB 效劳；策略二：允许外网主机 D 的 FTP 效劳。策略一配置如下：点击防火墙策略界面右侧的“添加按钮，翻开“选择策略类型的界面，展开“Packet Filters文件夹，选择“策略。并输入策略名称“E*ternal_to_DMZ_ ,选择下方的“添加策略按钮。此时跳转到“策略配置的界面：a、删除“策略选项卡“自列表

8、中的“Any-Trusted，添加名为“Any-E*ternal的成员。b、删除“策略选项卡“至列表中的“Any-Trusted。并点击添加。在弹出的“添加成员对话框中，选择成员类型为“静态 NAT，外部 IP 地址不做改变，在内部 IP 地址中输入“192.168.1.50”。如图 27-3-5 所示-.z.图 27-3-5 添加静态 NAT 点击“策略配置界面的“保存完成策略一的配置。参考策略一，配置策略二。2允许内部网络绿区Internet红区和 DMZ(橙区)。内网主机对 Internet(外网)和 DMZ 区的是由“Outgoing控制策略实现的。在系统的默认设置中，内网主机GREE

9、N被允许外网或 DMZ 中提供 TCP 和 UDP 效劳的主机。用户可以根据自己的需求添加新策略。3允许 DMZ橙区Ping 通 Internet红区 在防火墙的Web 控制界面，选择“防火墙“防火墙策略，翻开防火墙策略界面，点击“添加添加一个防火墙策略。在“选择策略类型的界面展开“Packet Filters，并选择“Ping的策略，输入策略名称，点击界面下方的“添加策略按钮，此时界面会转到“策略配置的界面。a.删除“策略选项卡“自列表中的“Any-Trusted成员，并添加“Any-Optional的成员；b.“策略选项卡“至列表的成员不需要改动。其它的设置保持不变，如图 27-3-7 所

10、示。点击“保存即可。用户可以根据需要添加其它策略。图 27-3-7DMZ to Internet-.z.三企业网络测试 1内网DMZ。在主机 A 的 IE 地址栏中输入“192.168.1.50”，测试内网主机与 DMZ 区主机 C 的连通状况，以及主机 C 的工作状况。反向测试：在主机 C 中通过 ping 指令“ping 172.16.0.50”探测内网主机 A。在防火墙规则设置正确的情况下，ping 探测失败。在主机 A 的 IE 地址栏中输入“ftp:/192.168.1.60”,测试内网主机与 DMZ 区主机 D 的连通状况，以及主机 D 的工作状况。反向测试：在主机 D 中通过 p

11、ing 指令“ping 172.16.0.50”探测内网主机 A。在防火墙规则设置正确的情况下，ping 探测失败。同样，主机 B 也要按上述步骤进展“内网DMZ测试。2内网外网。在主机 A 的 IE 地址栏中输入“218.198.50.50”，测试内网主机 A 与 Internet 主机 E 连通状况，以及主机 E 的 Web 效劳的工作状况。反向测试：在主机 E 中通过 ping 指令“ping 172.16.0.50”探测主机 A。在防火墙规则设置正确的情况下，ping 探测失败。在主机 A 的 IE 地址栏中输入“ftp:/218.198.50.60”，测试内网主机 A 与 Inter

12、net 主机 F网络连通状况，以及主机 F 的 FTP 效劳工作状况。反向测试：在主机 F 中通过 ping 指令“ping 172.16.0.50”探测主机 A。在防火墙规则设置正确的情况下，ping 探测失败。同样，主机 B 也要按上述步骤进展“内网外网测试。3外网DMZ。-.z.在主机 E 的 IE 地址栏中输入“218.198.50.150/,测试主机 C 与外网的连接状况。反向测试：在主机 C 中通过 ping 指令“ping 218.198.50.50”探测主机 E。在防火墙规则设置正确的情况下，ping 探测成功。在主机 E 的 IE 地址栏中输入“ftp:/218.198.50.150”，测试主机 D 与外网的连接状况。反向测试：在主机 D 中通过 ping 指令“ping 218.198.50.50”探测主机 E。在防火墙规则设置正确的情况下，ping 探测成功。确定网络连通性方案性测试通过之后，我们自己所搭建的网络已可以在 DMZ 中的 Web效劳器中发布网页。同样，主机 F 也要按上述步骤进展“外网DMZ测试。