Amaranten防火墻配置培訓(xùn)課件_第1頁
Amaranten防火墻配置培訓(xùn)課件_第2頁
Amaranten防火墻配置培訓(xùn)課件_第3頁
Amaranten防火墻配置培訓(xùn)課件_第4頁
Amaranten防火墻配置培訓(xùn)課件_第5頁
已閱讀5頁,還剩129頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第八章節(jié)透明模式

第八章節(jié)什么是透明模式防火墻工作于透明模式的時(shí)候不需要修改原有的網(wǎng)絡(luò)中的路由和主機(jī)配置防火墻工作在透明模式時(shí)同樣可以實(shí)現(xiàn)所有的功能(如包過濾、代理、NAT等),毫不損失任何功能及性能阿姆瑞特F系列防火墻的透明工作模式基于ProxyARP技術(shù)什么是透明模式防火墻工作于透明模式的時(shí)候不需要修改原有的網(wǎng)ProxyARPARP代理路由器一端那些不知道已經(jīng)劃分了子網(wǎng)的主機(jī)試圖直接將數(shù)據(jù)發(fā)送給目標(biāo)主機(jī),而目標(biāo)主機(jī)位于路由器的另外一側(cè),源主機(jī)發(fā)出一個(gè)ARP請(qǐng)求來查詢目標(biāo)主機(jī)的MAC地址,我們知道,目標(biāo)主機(jī)不會(huì)做出響應(yīng),因?yàn)樗静粫?huì)收到請(qǐng)求信息,所以通信就無法完成了。具有ProxyARP功能的路由器(或者是其它網(wǎng)絡(luò)設(shè)備)可以代替另外一端的主機(jī)用自己的MAC地址去響應(yīng)那樣的ARP請(qǐng)求,接著源主機(jī)將數(shù)據(jù)發(fā)送給路由器,然后路由器再將數(shù)據(jù)包轉(zhuǎn)發(fā)出去。ProxyARPARP代理ARP地址解析協(xié)議MapIP MACLocalARPIP:Ethernet:0800.0020.2222IP:=???哦,我收到了你的請(qǐng)求,在我發(fā)給你的信息里有我的MAC地址我需要知道IP地址是的MAC地址IP:對(duì)應(yīng)的MAC:0800.0020.2222IP:對(duì)應(yīng)的MAC:0800.0020.1111IP:MAC:0800.0020.1111IP:MAC:0800.0020.2222ARP地址解析協(xié)議MapIP 透明接入原理IP:對(duì)應(yīng)的MAC:0800.0020.2222IP:對(duì)應(yīng)的MAC:0800.0020.1111IP:MAC:0800.0020.1111IP:MAC:0800.0020.2222IP:MAC:0800.0200.3333IP:IP:MAC:0800.0200.4444IP:對(duì)應(yīng)的MAC:0800.0020.3333IP:對(duì)應(yīng)的MAC:0800.0020.4444ARPProxy透明接入原理IP:IP:172.16.3配置防火墻-簡(jiǎn)單示例Internetgw-worldint-net/24Internetgw-worldint-net/24配置防火墻-簡(jiǎn)單示定義主機(jī)和網(wǎng)絡(luò)增加相應(yīng)的主機(jī)和網(wǎng)絡(luò)第一條,第二條定義防火墻內(nèi)口的ip地址以及廣播地址第三條,第四條定義防火墻外口的ip地址以及廣播地址第五條定義內(nèi)網(wǎng)網(wǎng)段第六條定義管理網(wǎng)段第七條定義默認(rèn)網(wǎng)關(guān)5555定義主機(jī)和網(wǎng)絡(luò)增加相應(yīng)的主機(jī)和網(wǎng)絡(luò)192定義路由規(guī)則增加相應(yīng)的路由規(guī)則第一條規(guī)則定義了到管理網(wǎng)絡(luò)的路由(為了不占用ip地址,防火墻內(nèi)口使用了不同網(wǎng)段的ip地址)第二條規(guī)則定義了到內(nèi)部網(wǎng)絡(luò)的路由,同時(shí)通過防火墻的外部網(wǎng)口ProxyARP內(nèi)部網(wǎng)絡(luò)(/24)上所有主機(jī)的MAC地址。第三條規(guī)則定義了到網(wǎng)關(guān)的路由,同時(shí)通過防火墻的內(nèi)部網(wǎng)口ProxyARP網(wǎng)關(guān)(/32)的MAC地址到內(nèi)部網(wǎng)絡(luò)。第四條規(guī)則定義了防火墻的缺省路由。DMZ定義路由規(guī)則增加相應(yīng)的路由規(guī)則DMZ制定過濾規(guī)則增加相應(yīng)的過濾規(guī)則第一條規(guī)則刪除了所有NetBIOS數(shù)據(jù)包第二條規(guī)則允許管理網(wǎng)絡(luò)上的所有主機(jī)向防火墻發(fā)送ICMPechorequest(Ping)數(shù)據(jù)包第三條規(guī)則允許內(nèi)部網(wǎng)絡(luò)上的主機(jī)和Internet上的主機(jī)進(jìn)行通訊第四條規(guī)則刪除所有的數(shù)據(jù)包并對(duì)其進(jìn)行記錄制定過濾規(guī)則增加相應(yīng)的過濾規(guī)則試驗(yàn)九:用戶可以提供2個(gè)可用的IP地址試驗(yàn)十:用戶可以提供1個(gè)可用的IP地址試驗(yàn)十一:用戶無法提供可用的IP地址試驗(yàn)九:用戶可以提供2個(gè)可用的IP地址第九章節(jié)混合模式第九章節(jié)混合模式混合模式總體描敘:網(wǎng)絡(luò)中存在兩類IP地址。一種是公網(wǎng)IP。一種是私有IP,因此需要將防火墻工作在透明和路由/NAT模式下。混合模式總體描敘:防火墻模式混合拓?fù)鋱Dinternet/24EXT:40INT:0DMZ:05防火墻模式混合拓?fù)鋱Dinternet/混合模式(一)防火墻模式混合Ext<------>DMZ透明INT-------->EXTNATDMZ<------>INT路由

混合模式(一)防火墻模式混合主機(jī)和網(wǎng)絡(luò)主機(jī)和網(wǎng)絡(luò)路由UseLocalIP

路由UseLocalIP過濾規(guī)則DMZEXTAll-netscompaqHttp-inAny_Allow_DMZ過濾規(guī)則DMZEXTAll-netscompaqHttp-i規(guī)則說明第四條規(guī)則內(nèi)部區(qū)域連接到INTERNET經(jīng)過NAT模式。第六條規(guī)則DMZ區(qū)域連接到INTERNET經(jīng)過透明模式。規(guī)則說明第四條規(guī)則接口模式混合拓?fù)鋱DInternetfirewall/24EXT:00INT:50—70GW:0INT:49接口模式混合拓?fù)鋱DInternetfirewall192.1混合模式(二)端口模式混合Ext<------>INT即做透明又做地址翻譯。內(nèi)網(wǎng)和外網(wǎng)即有公網(wǎng)IP.又有私有IP.這就是所謂的端口模式混合。1.在內(nèi)網(wǎng)的公網(wǎng)IP經(jīng)過透明出去。(雙向)2.在內(nèi)網(wǎng)的私有IP經(jīng)過NAT出去.(單向)混合模式(二)端口模式混合接口模式混合主機(jī)和網(wǎng)絡(luò)接口模式混合主機(jī)和網(wǎng)絡(luò)ARP綁定ARP綁定路由gateway路由gateway過濾規(guī)則過濾規(guī)則試驗(yàn)十二:防火墻混合模式試驗(yàn)十三:接口混合模式試驗(yàn)十二:防火墻混合模式第十章節(jié):預(yù)共享密鑰式的VPN第十章節(jié):預(yù)共享密鑰式的VPN配置Pre-shareVPN隧道InternetLan5:0Lan5:0Lan1:Lan1:TypicaltopologyusedforconfiguringtheCorporateAmarantenforPre-sharekeysVPNBothendsofthetunnelwillneedtoconfigured配置Pre-shareVPN隧道InternetLan5開始配置預(yù)共享密鑰AVPNusingPre-sharedKeysrequirebothendsofthetunnelbemanuallyconfigured開始配置預(yù)共享密鑰AVPNusingPre-sharVPN隧道CreatenewVPNtunnelVPN隧道CreatenewVPNtunnelVPN隧道遠(yuǎn)程Amaranten防火墻配置TunnelName:VPN_NANJINGLocalNetwork:/24RemoteNetwork:/24RemoteGateway:0

IKEProposal:ike-lantolanIPSecProposal:esp-tn-lantolan

Authenticaion:VPN_KEYVPN隧道遠(yuǎn)程Amaranten防火墻配置預(yù)共享密鑰VPN隧道–總結(jié)TheVPNPre-sharedkeytableshowsalistofthePre-sharekeyscreated預(yù)共享密鑰VPN隧道–總結(jié)TheVPNPre-sh路由表的要求IN8.2orAbove8.2Thevpninterfaceregradedasanactualinteface路由表的要求IN8.2orAbove8.2The需要什么樣的規(guī)則CreateBi-directionRulsforvpnThevpnrulesshouldbeputatthetoptotherules需要什么樣的規(guī)則CreateBi-directionRuVpn監(jiān)控Cmd>vpnstats---IPsecSAs:1VPNTunnel:vpn-shanghaiEndpoints:/24Remotegateway:0Protocol:ESP:rijndael-cbchmac-sha1-962VPNTunnel:vpn-nanjingEndpoints:/24Remotegateway:0Protocol:ESP:rijndael-cbchmac-sha1-96Cmd>Vpn監(jiān)控Cmd>vpnstats試驗(yàn)十四:共享密鑰的VPN配置

試驗(yàn)十四:共享密鑰的VPN配置第十一章:ClavisterVPN客戶端軟件ConfiguringtheRemoteClientSoftwareUsingPre-sharedKeys第十一章:ClavisterVPN客戶端軟件Config如何工作?InternetVPNTunnel00Lan5:0Lan1:00ClientVPNisbuiltfromClientAtoDestinationNetwork-ConfiguredfromHostPCtoFirewall-Notdonefromfirewalltofirewall如何工作?InternetVPNTunnel172.30.開始WindwosTaskbarAfterInstallingAmaranten-RemoteSoftware,havingselectingallthedefaults,RebootYourPC-AfterthePCisrebooted,-3stepstoconfigureAmarantenRemoteAddPre-sharedKeysAddnewVPNConnectionDefinetheIPSecProtocols開始WindwosTaskbarAfterInstall創(chuàng)建一個(gè)預(yù)共享密鑰創(chuàng)建一個(gè)預(yù)共享密鑰添加新的VPN連接Bydefault,noVPNconnectionArecreated添加新的VPN連接Bydefault,noVPNc添加遠(yuǎn)程網(wǎng)絡(luò)

hereyouneeddeployremotesubnetandsubmask添加遠(yuǎn)程網(wǎng)絡(luò)

hereyouneeddeployr舉例如下舉例如下添加VPN舉例添加VPN舉例加密算法youcanselectanotherkindsofencryptionalgorithmsaccordingtoyourrequirements加密算法youcanselectanotherkin第十二章實(shí)現(xiàn)阿姆瑞特防火墻的

PBR功能

<下接三層設(shè)備>實(shí)驗(yàn)機(jī)型:AS_F300-pro內(nèi)核版本:8.40.01第十二章實(shí)現(xiàn)阿姆瑞特防火墻的

PBR功能

<下接三層設(shè)備>拓?fù)洵h(huán)境描述InternetSiSi計(jì)算機(jī)計(jì)算機(jī)計(jì)算機(jī)計(jì)算機(jī)Net_LAN-01:/24Net_LAN-02:/24IP_LAN-R:/30GW_Internal:/30IP_WAN-Telcom:/29IP_WAN-CNC:/29GW_World-Telcom:/29GW_World-CNC:/29拓?fù)洵h(huán)境描述InternetSiSi計(jì)算機(jī)計(jì)算機(jī)計(jì)算機(jī)計(jì)算機(jī)實(shí)驗(yàn)環(huán)境描述:網(wǎng)絡(luò)有兩個(gè)出口,分別是中國(guó)電信和中國(guó)網(wǎng)通,都可以接入因特網(wǎng)內(nèi)網(wǎng)有多個(gè)子網(wǎng),由三層交換接入防火墻lan1接口防火墻接口定義:lan1接內(nèi)網(wǎng),連接三層交換機(jī),IP地址為:/30,內(nèi)部網(wǎng)關(guān)為:/30lan2接中國(guó)電信GW_World-Telcom:/29 接口IP地址為:Net_WAN-Telcom:/29lan3接中國(guó)電信GW_World-CNC:/29 接口IP地址為:Net_WAN-CNC:/29實(shí)驗(yàn)達(dá)到的目的:使用PBR,使內(nèi)網(wǎng)中/24網(wǎng)絡(luò)的計(jì)算機(jī)從中國(guó)電信 GW_World-Telcom出去上網(wǎng),使內(nèi)網(wǎng)/24網(wǎng)絡(luò)從 中國(guó)網(wǎng)通GW_World-CNC出去上網(wǎng)拓?fù)洵h(huán)境描述和目的實(shí)驗(yàn)環(huán)境描述:實(shí)驗(yàn)達(dá)到的目的:拓?fù)洵h(huán)境描述和目的建立網(wǎng)絡(luò)對(duì)象: 在“局部對(duì)象”-

“主機(jī)和網(wǎng)絡(luò)”中定義網(wǎng)絡(luò)拓?fù)渲谐霈F(xiàn)的所有對(duì)象,命名策略必須遵照“阿姆瑞特命名規(guī)范.PPT”防火墻配置第一步<1>建立網(wǎng)絡(luò)對(duì)象: 在“局部對(duì)象”-“主機(jī)和網(wǎng)絡(luò)”中定義網(wǎng)防火墻配置第一步<2>建立網(wǎng)絡(luò)對(duì)象:

檢查“局部對(duì)象”-

“主機(jī)和網(wǎng)絡(luò)”中定義網(wǎng)絡(luò)拓?fù)渲谐霈F(xiàn)的所有對(duì)象定義電信接口lan2的IP地址,以及電信分配的接口lan2所連接網(wǎng)絡(luò)的廣播地址和網(wǎng)絡(luò)地址;Internet的電信網(wǎng)關(guān)地址:GW_World-Telcom定義內(nèi)網(wǎng)接口lan1的IP地址(lan1下聯(lián)三層設(shè)備),以及內(nèi)網(wǎng)接口lan1所連接網(wǎng)絡(luò)的廣播地址和網(wǎng)絡(luò)地址;Internal網(wǎng)關(guān)地址:GW_Internal定義網(wǎng)通接口lan3的IP地址,以及網(wǎng)通分配的接口lan3所連接網(wǎng)絡(luò)的廣播地址和網(wǎng)絡(luò)地址;Internet的網(wǎng)通網(wǎng)關(guān)地址:GW_World-CNC定義內(nèi)網(wǎng)接口三層設(shè)備(GW_Internal)所連接的網(wǎng)絡(luò),并將連接的網(wǎng)絡(luò)Net_LAN01和Net_LAN02組合成為一個(gè)Group_All_LAN組防火墻配置第一步<2>建立網(wǎng)絡(luò)對(duì)象: 檢查“局部對(duì)象配置置接口的地址和所連接網(wǎng)絡(luò)的廣播地址: 在“網(wǎng)絡(luò)接口”-

“以太網(wǎng)”里確定IP地址和廣播地址的綁定防火墻配置第二步<1>配置置接口的地址和所連接網(wǎng)絡(luò)的廣播地址: 在“網(wǎng)絡(luò)接口”-防火墻配置第二步<2>配置接口速度和雙工模式: 在“網(wǎng)絡(luò)接口”-

“以太網(wǎng)”里配置相應(yīng)接口的速度和雙工模式防火墻配置第二步<2>配置接口速度和雙工模式: 在“網(wǎng)添加和配置主路由: 在“路由設(shè)置”-

“主路由表”里添加和設(shè)置路由防火墻配置第三步<1>添加和配置主路由: 在“路由設(shè)置”-“主路由表”里添加防火墻配置第三步<2>確定在“主路由表”里添加和配置的主路由的順序4、檢查內(nèi)網(wǎng)接口lan1直連三層設(shè)備的路由7、檢查網(wǎng)通接口lan3直連網(wǎng)絡(luò)的直接路由9、檢查電信接口lan2的缺省路由設(shè)置(必須放在最后)

1、檢查管理接口lan5直連網(wǎng)絡(luò)的直接路由5、內(nèi)網(wǎng)接口lan1通過三層設(shè)備GW_Internal到達(dá)Group_ALL_LAN。8、檢查電信接口lan2直連網(wǎng)絡(luò)的直接路由防火墻配置第三步<2>確定在“主路由表”里添加和配置的添加和配置策略路由: 在“路由設(shè)置”-

“基于策略的路由表”里添加和設(shè)置策略路由防火墻配置第三步<3>Default-表示首先要查詢主路由表。如果只有缺省路由(/0)匹配,則查詢命名路由表。如果在命名路由表的查詢失敗,就認(rèn)為整個(gè)查詢失敗了。First-

表示首先要查詢的命名路由表。如果查詢失敗,則在主路由表里繼續(xù)查詢。添加和配置策略路由: 在“路由設(shè)置”-“基于策略的路由防火墻配置第三步<4>添加和配置策略路由: 在“路由設(shè)置”-“基于策略的路由規(guī)則”里添加和設(shè)置策略路由的規(guī)則注意:只有基于策略的路由規(guī)則與過濾規(guī)則匹配時(shí),才會(huì)激活策略路由,就是說在過濾規(guī)則里也需要有和策略路由規(guī)則相同的規(guī)則才行。目標(biāo)的接口地址必須選擇選擇any,絕對(duì)不可以選擇策略路由里的接口Net_lan-02Net_lan-02Net_lan-02防火墻配置第三步<4>添加和配置策略路由: 在“路由設(shè)添加PBR出口的access規(guī)則添加PBR出口的access規(guī)則配置過濾規(guī)則: 在“過濾規(guī)則”里設(shè)置訪問控制規(guī)則,規(guī)則的設(shè)計(jì)是根據(jù)客戶的需求來定義的,且規(guī)則的建立必須在“DropAll”規(guī)則之上防火墻配置第四步配置過濾規(guī)則: 在“過濾規(guī)則”里設(shè)置訪問控制規(guī)則,規(guī)則的設(shè)計(jì)第1步 新建規(guī)則:右鍵單擊“DropAll”,選擇“NewRules”,規(guī)則名稱必須遵照“阿姆瑞特命名規(guī)范.doc”,按照設(shè)計(jì)思路定義源接口、源網(wǎng)絡(luò)、目標(biāo)接口和目標(biāo)網(wǎng)絡(luò)設(shè)置過濾規(guī)則第1步Net_lan-02any第1步 新建規(guī)則:右鍵單擊“DropAll”,選擇“New第2步 設(shè)置服務(wù):根據(jù)客戶需求打開相應(yīng)的服務(wù),不確定的用“標(biāo)準(zhǔn)”,基于安全考慮,Web服務(wù)器只需要對(duì)外開放80端口就可以。設(shè)置過濾規(guī)則第2步第2步 設(shè)置服務(wù):根據(jù)客戶需求打開相應(yīng)的服務(wù),不確定的用“標(biāo)第3步設(shè)置日志記錄方式: 根據(jù)客戶需求打開或關(guān)閉此條規(guī)則的日志記錄,不確定的“程度”選擇“Notice”;“日志服務(wù)器”選擇“All”設(shè)置過濾規(guī)則第3步第3步設(shè)置日志記錄方式: 根據(jù)客戶需求打開或關(guān)閉此條規(guī)第4步 確定規(guī)則設(shè)置順序,完成后的過濾規(guī)則如下圖設(shè)置過濾規(guī)則第4步1、丟棄所有的NetBIOS/SMB數(shù)據(jù)包

(默認(rèn)規(guī)則)

3、允許Net_LAN-01通過電信出口lan2訪問Internet上的FTP服務(wù)器4、允許Net_LAN-02通過網(wǎng)通出口lan3訪問Internet上的FTP服務(wù)器(必須和策略路由規(guī)則一樣)9、丟棄所有與上面規(guī)則不匹配的數(shù)據(jù)包(默認(rèn)規(guī)則)

注意:阿姆瑞特防火墻的過濾規(guī)則是按照由上到小的順序執(zhí)行的,所以在設(shè)計(jì)過濾規(guī)則的時(shí)候必須注意順序8、允許管理網(wǎng)絡(luò)可以Ping防火墻5、允許Net_LAN-01通過電信出口lan2訪問Internet6、允許Net_LAN-02通過網(wǎng)通出口lan3訪問Internet(必須和策略路由規(guī)則一樣)第4步 確定規(guī)則設(shè)置順序,完成后的過濾規(guī)則如下圖設(shè)置過濾規(guī)則將配置簽入:在“工具欄”里點(diǎn)擊或如下圖,成功后防火墻旁邊的小紅點(diǎn)將消失防火墻配置第五步將配置簽入:在“工具欄”里點(diǎn)擊將配置上傳到防火墻并激活:在“工具欄”里點(diǎn)擊或,選擇需要配置的防火墻防火墻配置第六步將配置上傳到防火墻并激活:在“工具欄”里點(diǎn)擊

分別在Net_LAN-01,Net_LAN-02的網(wǎng)絡(luò)中訪問外網(wǎng),簡(jiǎn)單的可以做Ping測(cè)試,Ping一個(gè)外網(wǎng)的DNS服務(wù)器,例如:,并對(duì)內(nèi)網(wǎng)訪問Internet的規(guī)則進(jìn)行日志記錄,我們可以抓取實(shí)時(shí)日志進(jìn)行分析。測(cè)試分別在Net_LAN-01,Net_LAN-02試驗(yàn)十五:PBR配置

試驗(yàn)十五:PBR配置

謝謝Amaranten防火墻配置培訓(xùn)演講完畢,謝謝觀看!演講完畢,謝謝觀看!第八章節(jié)透明模式

第八章節(jié)什么是透明模式防火墻工作于透明模式的時(shí)候不需要修改原有的網(wǎng)絡(luò)中的路由和主機(jī)配置防火墻工作在透明模式時(shí)同樣可以實(shí)現(xiàn)所有的功能(如包過濾、代理、NAT等),毫不損失任何功能及性能阿姆瑞特F系列防火墻的透明工作模式基于ProxyARP技術(shù)什么是透明模式防火墻工作于透明模式的時(shí)候不需要修改原有的網(wǎng)ProxyARPARP代理路由器一端那些不知道已經(jīng)劃分了子網(wǎng)的主機(jī)試圖直接將數(shù)據(jù)發(fā)送給目標(biāo)主機(jī),而目標(biāo)主機(jī)位于路由器的另外一側(cè),源主機(jī)發(fā)出一個(gè)ARP請(qǐng)求來查詢目標(biāo)主機(jī)的MAC地址,我們知道,目標(biāo)主機(jī)不會(huì)做出響應(yīng),因?yàn)樗静粫?huì)收到請(qǐng)求信息,所以通信就無法完成了。具有ProxyARP功能的路由器(或者是其它網(wǎng)絡(luò)設(shè)備)可以代替另外一端的主機(jī)用自己的MAC地址去響應(yīng)那樣的ARP請(qǐng)求,接著源主機(jī)將數(shù)據(jù)發(fā)送給路由器,然后路由器再將數(shù)據(jù)包轉(zhuǎn)發(fā)出去。ProxyARPARP代理ARP地址解析協(xié)議MapIP MACLocalARPIP:Ethernet:0800.0020.2222IP:=???哦,我收到了你的請(qǐng)求,在我發(fā)給你的信息里有我的MAC地址我需要知道IP地址是的MAC地址IP:對(duì)應(yīng)的MAC:0800.0020.2222IP:對(duì)應(yīng)的MAC:0800.0020.1111IP:MAC:0800.0020.1111IP:MAC:0800.0020.2222ARP地址解析協(xié)議MapIP 透明接入原理IP:對(duì)應(yīng)的MAC:0800.0020.2222IP:對(duì)應(yīng)的MAC:0800.0020.1111IP:MAC:0800.0020.1111IP:MAC:0800.0020.2222IP:MAC:0800.0200.3333IP:IP:MAC:0800.0200.4444IP:對(duì)應(yīng)的MAC:0800.0020.3333IP:對(duì)應(yīng)的MAC:0800.0020.4444ARPProxy透明接入原理IP:IP:172.16.3配置防火墻-簡(jiǎn)單示例Internetgw-worldint-net/24Internetgw-worldint-net/24配置防火墻-簡(jiǎn)單示定義主機(jī)和網(wǎng)絡(luò)增加相應(yīng)的主機(jī)和網(wǎng)絡(luò)第一條,第二條定義防火墻內(nèi)口的ip地址以及廣播地址第三條,第四條定義防火墻外口的ip地址以及廣播地址第五條定義內(nèi)網(wǎng)網(wǎng)段第六條定義管理網(wǎng)段第七條定義默認(rèn)網(wǎng)關(guān)5555定義主機(jī)和網(wǎng)絡(luò)增加相應(yīng)的主機(jī)和網(wǎng)絡(luò)192定義路由規(guī)則增加相應(yīng)的路由規(guī)則第一條規(guī)則定義了到管理網(wǎng)絡(luò)的路由(為了不占用ip地址,防火墻內(nèi)口使用了不同網(wǎng)段的ip地址)第二條規(guī)則定義了到內(nèi)部網(wǎng)絡(luò)的路由,同時(shí)通過防火墻的外部網(wǎng)口ProxyARP內(nèi)部網(wǎng)絡(luò)(/24)上所有主機(jī)的MAC地址。第三條規(guī)則定義了到網(wǎng)關(guān)的路由,同時(shí)通過防火墻的內(nèi)部網(wǎng)口ProxyARP網(wǎng)關(guān)(/32)的MAC地址到內(nèi)部網(wǎng)絡(luò)。第四條規(guī)則定義了防火墻的缺省路由。DMZ定義路由規(guī)則增加相應(yīng)的路由規(guī)則DMZ制定過濾規(guī)則增加相應(yīng)的過濾規(guī)則第一條規(guī)則刪除了所有NetBIOS數(shù)據(jù)包第二條規(guī)則允許管理網(wǎng)絡(luò)上的所有主機(jī)向防火墻發(fā)送ICMPechorequest(Ping)數(shù)據(jù)包第三條規(guī)則允許內(nèi)部網(wǎng)絡(luò)上的主機(jī)和Internet上的主機(jī)進(jìn)行通訊第四條規(guī)則刪除所有的數(shù)據(jù)包并對(duì)其進(jìn)行記錄制定過濾規(guī)則增加相應(yīng)的過濾規(guī)則試驗(yàn)九:用戶可以提供2個(gè)可用的IP地址試驗(yàn)十:用戶可以提供1個(gè)可用的IP地址試驗(yàn)十一:用戶無法提供可用的IP地址試驗(yàn)九:用戶可以提供2個(gè)可用的IP地址第九章節(jié)混合模式第九章節(jié)混合模式混合模式總體描敘:網(wǎng)絡(luò)中存在兩類IP地址。一種是公網(wǎng)IP。一種是私有IP,因此需要將防火墻工作在透明和路由/NAT模式下。混合模式總體描敘:防火墻模式混合拓?fù)鋱Dinternet/24EXT:40INT:0DMZ:05防火墻模式混合拓?fù)鋱Dinternet/混合模式(一)防火墻模式混合Ext<------>DMZ透明INT-------->EXTNATDMZ<------>INT路由

混合模式(一)防火墻模式混合主機(jī)和網(wǎng)絡(luò)主機(jī)和網(wǎng)絡(luò)路由UseLocalIP

路由UseLocalIP過濾規(guī)則DMZEXTAll-netscompaqHttp-inAny_Allow_DMZ過濾規(guī)則DMZEXTAll-netscompaqHttp-i規(guī)則說明第四條規(guī)則內(nèi)部區(qū)域連接到INTERNET經(jīng)過NAT模式。第六條規(guī)則DMZ區(qū)域連接到INTERNET經(jīng)過透明模式。規(guī)則說明第四條規(guī)則接口模式混合拓?fù)鋱DInternetfirewall/24EXT:00INT:50—70GW:0INT:49接口模式混合拓?fù)鋱DInternetfirewall192.1混合模式(二)端口模式混合Ext<------>INT即做透明又做地址翻譯。內(nèi)網(wǎng)和外網(wǎng)即有公網(wǎng)IP.又有私有IP.這就是所謂的端口模式混合。1.在內(nèi)網(wǎng)的公網(wǎng)IP經(jīng)過透明出去。(雙向)2.在內(nèi)網(wǎng)的私有IP經(jīng)過NAT出去.(單向)混合模式(二)端口模式混合接口模式混合主機(jī)和網(wǎng)絡(luò)接口模式混合主機(jī)和網(wǎng)絡(luò)ARP綁定ARP綁定路由gateway路由gateway過濾規(guī)則過濾規(guī)則試驗(yàn)十二:防火墻混合模式試驗(yàn)十三:接口混合模式試驗(yàn)十二:防火墻混合模式第十章節(jié):預(yù)共享密鑰式的VPN第十章節(jié):預(yù)共享密鑰式的VPN配置Pre-shareVPN隧道InternetLan5:0Lan5:0Lan1:Lan1:TypicaltopologyusedforconfiguringtheCorporateAmarantenforPre-sharekeysVPNBothendsofthetunnelwillneedtoconfigured配置Pre-shareVPN隧道InternetLan5開始配置預(yù)共享密鑰AVPNusingPre-sharedKeysrequirebothendsofthetunnelbemanuallyconfigured開始配置預(yù)共享密鑰AVPNusingPre-sharVPN隧道CreatenewVPNtunnelVPN隧道CreatenewVPNtunnelVPN隧道遠(yuǎn)程Amaranten防火墻配置TunnelName:VPN_NANJINGLocalNetwork:/24RemoteNetwork:/24RemoteGateway:0

IKEProposal:ike-lantolanIPSecProposal:esp-tn-lantolan

Authenticaion:VPN_KEYVPN隧道遠(yuǎn)程Amaranten防火墻配置預(yù)共享密鑰VPN隧道–總結(jié)TheVPNPre-sharedkeytableshowsalistofthePre-sharekeyscreated預(yù)共享密鑰VPN隧道–總結(jié)TheVPNPre-sh路由表的要求IN8.2orAbove8.2Thevpninterfaceregradedasanactualinteface路由表的要求IN8.2orAbove8.2The需要什么樣的規(guī)則CreateBi-directionRulsforvpnThevpnrulesshouldbeputatthetoptotherules需要什么樣的規(guī)則CreateBi-directionRuVpn監(jiān)控Cmd>vpnstats---IPsecSAs:1VPNTunnel:vpn-shanghaiEndpoints:/24Remotegateway:0Protocol:ESP:rijndael-cbchmac-sha1-962VPNTunnel:vpn-nanjingEndpoints:/24Remotegateway:0Protocol:ESP:rijndael-cbchmac-sha1-96Cmd>Vpn監(jiān)控Cmd>vpnstats試驗(yàn)十四:共享密鑰的VPN配置

試驗(yàn)十四:共享密鑰的VPN配置第十一章:ClavisterVPN客戶端軟件ConfiguringtheRemoteClientSoftwareUsingPre-sharedKeys第十一章:ClavisterVPN客戶端軟件Config如何工作?InternetVPNTunnel00Lan5:0Lan1:00ClientVPNisbuiltfromClientAtoDestinationNetwork-ConfiguredfromHostPCtoFirewall-Notdonefromfirewalltofirewall如何工作?InternetVPNTunnel172.30.開始WindwosTaskbarAfterInstallingAmaranten-RemoteSoftware,havingselectingallthedefaults,RebootYourPC-AfterthePCisrebooted,-3stepstoconfigureAmarantenRemoteAddPre-sharedKeysAddnewVPNConnectionDefinetheIPSecProtocols開始WindwosTaskbarAfterInstall創(chuàng)建一個(gè)預(yù)共享密鑰創(chuàng)建一個(gè)預(yù)共享密鑰添加新的VPN連接Bydefault,noVPNconnectionArecreated添加新的VPN連接Bydefault,noVPNc添加遠(yuǎn)程網(wǎng)絡(luò)

hereyouneeddeployremotesubnetandsubmask添加遠(yuǎn)程網(wǎng)絡(luò)

hereyouneeddeployr舉例如下舉例如下添加VPN舉例添加VPN舉例加密算法youcanselectanotherkindsofencryptionalgorithmsaccordingtoyourrequirements加密算法youcanselectanotherkin第十二章實(shí)現(xiàn)阿姆瑞特防火墻的

PBR功能

<下接三層設(shè)備>實(shí)驗(yàn)機(jī)型:AS_F300-pro內(nèi)核版本:8.40.01第十二章實(shí)現(xiàn)阿姆瑞特防火墻的

PBR功能

<下接三層設(shè)備>拓?fù)洵h(huán)境描述InternetSiSi計(jì)算機(jī)計(jì)算機(jī)計(jì)算機(jī)計(jì)算機(jī)Net_LAN-01:/24Net_LAN-02:/24IP_LAN-R:/30GW_Internal:/30IP_WAN-Telcom:/29IP_WAN-CNC:/29GW_World-Telcom:/29GW_World-CNC:/29拓?fù)洵h(huán)境描述InternetSiSi計(jì)算機(jī)計(jì)算機(jī)計(jì)算機(jī)計(jì)算機(jī)實(shí)驗(yàn)環(huán)境描述:網(wǎng)絡(luò)有兩個(gè)出口,分別是中國(guó)電信和中國(guó)網(wǎng)通,都可以接入因特網(wǎng)內(nèi)網(wǎng)有多個(gè)子網(wǎng),由三層交換接入防火墻lan1接口防火墻接口定義:lan1接內(nèi)網(wǎng),連接三層交換機(jī),IP地址為:/30,內(nèi)部網(wǎng)關(guān)為:/30lan2接中國(guó)電信GW_World-Telcom:/29 接口IP地址為:Net_WAN-Telcom:/29lan3接中國(guó)電信GW_World-CNC:/29 接口IP地址為:Net_WAN-CNC:/29實(shí)驗(yàn)達(dá)到的目的:使用PBR,使內(nèi)網(wǎng)中/24網(wǎng)絡(luò)的計(jì)算機(jī)從中國(guó)電信 GW_World-Telcom出去上網(wǎng),使內(nèi)網(wǎng)/24網(wǎng)絡(luò)從 中國(guó)網(wǎng)通GW_World-CNC出去上網(wǎng)拓?fù)洵h(huán)境描述和目的實(shí)驗(yàn)環(huán)境描述:實(shí)驗(yàn)達(dá)到的目的:拓?fù)洵h(huán)境描述和目的建立網(wǎng)絡(luò)對(duì)象: 在“局部對(duì)象”-

“主機(jī)和網(wǎng)絡(luò)”中定義網(wǎng)絡(luò)拓?fù)渲谐霈F(xiàn)的所有對(duì)象,命名策略必須遵照“阿姆瑞特命名規(guī)范.PPT”防火墻配置第一步<1>建立網(wǎng)絡(luò)對(duì)象: 在“局部對(duì)象”-“主機(jī)和網(wǎng)絡(luò)”中定義網(wǎng)防火墻配置第一步<2>建立網(wǎng)絡(luò)對(duì)象:

檢查“局部對(duì)象”-

“主機(jī)和網(wǎng)絡(luò)”中定義網(wǎng)絡(luò)拓?fù)渲谐霈F(xiàn)的所有對(duì)象定義電信接口lan2的IP地址,以及電信分配的接口lan2所連接網(wǎng)絡(luò)的廣播地址和網(wǎng)絡(luò)地址;Internet的電信網(wǎng)關(guān)地址:GW_World-Telcom定義內(nèi)網(wǎng)接口lan1的IP地址(lan1下聯(lián)三層設(shè)備),以及內(nèi)網(wǎng)接口lan1所連接網(wǎng)絡(luò)的廣播地址和網(wǎng)絡(luò)地址;Internal網(wǎng)關(guān)地址:GW_Internal定義網(wǎng)通接口lan3的IP地址,以及網(wǎng)通分配的接口lan3所連接網(wǎng)絡(luò)的廣播地址和網(wǎng)絡(luò)地址;Internet的網(wǎng)通網(wǎng)關(guān)地址:GW_World-CNC定義內(nèi)網(wǎng)接口三層設(shè)備(GW_Internal)所連接的網(wǎng)絡(luò),并將連接的網(wǎng)絡(luò)Net_LAN01和Net_LAN02組合成為一個(gè)Group_All_LAN組防火墻配置第一步<2>建立網(wǎng)絡(luò)對(duì)象: 檢查“局部對(duì)象配置置接口的地址和所連接網(wǎng)絡(luò)的廣播地址: 在“網(wǎng)絡(luò)接口”-

“以太網(wǎng)”里確定IP地址和廣播地址的綁定防火墻配置第二步<1>配置置接口的地址和所連接網(wǎng)絡(luò)的廣播地址: 在“網(wǎng)絡(luò)接口”-防火墻配置第二步<2>配置接口速度和雙工模式: 在“網(wǎng)絡(luò)接口”-

“以太網(wǎng)”里配置相應(yīng)接口的速度和雙工模式防火墻配置第二步<2>配置接口速度和雙工模式: 在“網(wǎng)添加和配置主路由: 在“路由設(shè)置”-

“主路由表”里添加和設(shè)置路由防火墻配置第三步<1>添加和配置主路由: 在“路由設(shè)置”-“主路由表”里添加防火墻配置第三步<2>確定在“主路由表”里添加和配置的主路由的順序4、檢查內(nèi)網(wǎng)接口lan1直連三層設(shè)備的路由7、檢查網(wǎng)通接口lan3直連網(wǎng)絡(luò)的直接路由9、檢查電信接口lan2的缺省路由設(shè)置(必須放在最后)

1、檢查管理接口lan5直連網(wǎng)絡(luò)的直接路由5、內(nèi)網(wǎng)接口lan1通過三層設(shè)備GW_Internal到達(dá)Group_ALL_LAN。8、檢查電信接口lan2直連網(wǎng)絡(luò)的直接路由防火墻配置第三步<2>確定在“主路由表”里添加和配置的添加和配置策略路由: 在“路由設(shè)置”-

“基于策略的路由表”里添加和設(shè)置策略路由防火墻配置第三步<

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論