返回
天融信防火墙的一个典型配置方案

天融信防火墙的一个典型配置方案

ID:6647968

大小:48.00 KB

页数:5页

时间:2018-01-21

天融信防火墙的一个典型配置方案_第1页
天融信防火墙的一个典型配置方案_第2页
天融信防火墙的一个典型配置方案_第3页
天融信防火墙的一个典型配置方案_第4页
天融信防火墙的一个典型配置方案_第5页
资源描述:

《天融信防火墙的一个典型配置方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、[原创]天融信防火墙的一个典型配置方案一个典型配置方案现在根据我们的经验,假设几种典型的网络环境,描述“网络卫士”防火墙在这些环境中应该如何配置。        以3个端口的“网络卫士”防火墙为例,其中一个接外网,一个接内网,一个接SSN,在SSN中有三台服务器,一台是HTTP服务器,一台是FTP服务器,一台是邮件服务器。有如下需求:内网的机器可以任意访问外网,可以访问SSN中指定的服务器,外网和SSN的机器不能访问内网;外网可以访问SSN中的服务器。在非动态地址环境下:防火区域配置外网:接在eth1上,缺省访问策略为any(即缺省可读、可

2、写),日志选项为空,禁止ping。内网:接在eth2上,缺省访问策略为none(不可读、不可写),日志选项为日志命令,允许ping。SSN:接在eth0上,缺省访问策略为none(不可读、不可写),日志选项为日志命令,禁止ping。经过以上的配置后,如果没有其他的访问策略和通信策略,则防火墙允许内网上的机器访问外网,允许SSN上的机器访问外网,不允许内网被外网或SSN访问,不允许SSN被外网、内网访问。(允许访问并不表示可以成功通信,尽管内网被允许访问外网,但假如没有合法的IP地址,也无法进行成功的访问,这个问题在后面NAT配置中将进行详细

3、描述。)定义三个网络节点FTP_SERVER:代表FTP服务器,区域=DMZ,IP地址=…,物理地址=…。HTTP_SERVER:代表HTTP服务器,区域=DMZ,IP地址=…,物理地址=…。MAIL_SERVER:代表邮件服务器,区域=DMZ,IP地址=…,物理地址=…。配置访问策略根据区域的定义,外网和内网的缺省访问权限已经满足要求,现在只需要进行一些访问策略设置。在SSN区域中增加三条访问策略:①访问目的=FTP_SERVER,目的端口=TCP21。源=内网,访问权限=读、写。源=外网,访问权限=读。这条配置表示内网的用户可以读、写F

4、TP服务器上的文件,而外网的用户只能读文件,不能写文件。②访问目的=HTTP_SERVER,目的端口=TCP80。源=内网+外网,访问权限=读、写。这条配置表示内网、外网的用户都可以访问HTTP服务器。③访问目的=MAIL_SERVER,目的端口=TCP25,TCP110。源=内网+外网,访问权限=读、写。这条配置表示内网、外网的用户都可以访问MAIL服务器。假如所有的机器都有合法的IP地址,则配置到此为止就结束了。否则,假设内网的机器没有合法的IP地址,它们访问外网需要进行地址转换。当内部机器访问外部机器时,可以将其地址转换为防火墙的地址

5、,也可以转换成某个地址池中的地址。这里描述将地址转换成防火墙地址的方法:增加一条通信策略,目的=外网,源=内网,方式=NAT,目的端口=所有端口。如果需要转换成某个地址池中的地址,则必须先在外网中定义一个子网,地址范围就是地址池的范围,然后在通信策略中选择NAT方式,在地址池类型中选择刚才定义的地址池。假设SSN中的服务器也没有合法的IP地址,必须依靠防火墙做地址映射来提供对外服务。1.首先增加一个网络节点,表示外网访问的虚拟机器。    区域=外网,IP=防火墙IP地址,名字=V_SERVER。2.增加通信策略。    目的=V_SERV

6、ER,源=外网,通信方式=MAP,指定协议=TCP,端口映射21-》21,目标机器=FTP_SERVER。    目的=V_SERVER,源=外网,通信方式=MAP,指定协议=TCP,端口映射80-》80,目标机器=HTTP_SERVER。    目的=V_SERVER,源=外网,通信方式=MAP,指定协议=TCP,端口映射25-》25,目标机器=MAIL_SERVER。    目的=V_SERVER,源=外网,通信方式=MAP,指定协议=TCP,端口映射110-》110,目标机器=MAIL_SERVER。这样,防火墙上的单个IP地址就可以

7、为三台机器进行端口映射。在动态地址环境中:假设某个网络内部使用DHCP/BOOTP来动态分配内部机器的IP地址。如果要求内部机器都可以访问外部,可以仿造上面那个例子的做法,在内网中规定一个地址范围就可以了。假如只要求指定的机器可以上网,上面的做法就不行了。可以采取以下的步骤:①首先确定哪些机器可以上网,分别找出它们的网卡的物理地址。可以在同网段的一台机器上ping这些机器,然后用arp–a命令查看它们的物理地址。②对每台这样的机器,在防火墙上定义一个网络节点:名字=…,区域=内网,物理地址=…,IP地址=空。注意必须设置IP地址为空,并且必

8、须将物理地址设置为第一步得到的物理地址。③定义一个对象组,对象组的成员是②中定义的所有网络节点。定义对象组的用意是在配置策略时可以将这些节点作为一个整体来对待。也可以不设置这么一

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。