《一步一步教你配置硬件防火墻》由會員分享，可在線閱讀，更多相關(guān)《一步一步教你配置硬件防火墻（24頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,一步一步配置,硬件防火墻,集團(tuán)信息技術(shù)總部 蘇亮,2009,年,9,月,提綱,防火墻的配置準(zhǔn)備,(,位置、接口,IP,、路由,),防火墻的,NAT,策略,NAT,上網(wǎng)、時間限制、服務(wù)限制、連接數(shù)限制、帶寬限制,.,防火墻的端口映射,備注：主要是中興防火墻配置,防火墻的配置準(zhǔn)備,防火墻（雙機(jī)）,Internet,接入,switch,核心三層交換機(jī),SDH,專線,防火墻 路由器,路由器,一、九州通網(wǎng)絡(luò)拓樸,三層交換機(jī),應(yīng)用服務(wù)器,終端,防火墻,2MB,光纖,30MB,光纖,10MB,光纖,VPN,應(yīng)用服務(wù)器,終

2、端,集團(tuán)總部,二級公司,三級公司,VPN,VPN,應(yīng)用服務(wù)器,終端,防火墻,VPN,雙三層交換機(jī)冗余,匯聚層交換機(jī),三層交換機(jī),防火墻,/VPN,外部服務(wù)器,(AM,、電子商務(wù)等,),DMZ,區(qū),一級骨干網(wǎng)絡(luò)；,二級內(nèi)部網(wǎng)絡(luò)；,三級內(nèi)部網(wǎng)絡(luò)；,四級內(nèi)部網(wǎng)絡(luò)。,雙防火墻冗余,雙核心交換機(jī)冗余,匯聚層交換機(jī),10MB,光纖,1,、連接防火墻（,consol,口或默認(rèn),IP,）,2,、設(shè)置防火墻內(nèi)、外網(wǎng)接口,IP,3,、配置路由,默認(rèn)路由,:,電信或網(wǎng)通提供的網(wǎng)關(guān),IP,內(nèi)網(wǎng)路由：內(nèi)網(wǎng)三層接口,IP,防火墻的管理,:,接口,IP,防火墻的管理：配置路由,默認(rèn)路由、靜態(tài)路由、動態(tài)路由,防火墻管理：管理

3、員及管理,IP,設(shè)置,管理員權(quán)限：超級管理員、管理員、只讀,管理,IP,：只有可信的管理,IP,才能直接訪問防火墻,防火墻相關(guān)概念,什么是計算機(jī)端口,如果把,IP,地址比作一間房子，端口就是出入這間房子的門。真正的房子只有幾個門，但是一個,IP,地址的端口 可以有,65536,個之多！端口是通過端口號來標(biāo)記的，端口號只有整數(shù)，范圍是從,0,到,65535,。,端口有什么用呢？我們知道，一臺擁有,IP,地址的主機(jī)可以提供許多服務(wù)，比如,Web,服務(wù)、,FTP,服務(wù)、,SMTP,服務(wù)等，這些服務(wù)完全可以通過,1,個,IP,地址來實現(xiàn)。那么，主機(jī)是怎樣區(qū)分不同的網(wǎng)絡(luò)服務(wù)呢？顯然不能只靠,IP,地址，

4、因為,IP,地址與網(wǎng)絡(luò)服務(wù)的關(guān)系是一對多的關(guān)系。實際上是通過“,IP,地址,+,端口號”來區(qū) 分不同的服務(wù)的。（源端口,/,目的端口）服務(wù)器一般都是通過知名端口號來識別的。例如，對于每個,TCP/IP,實現(xiàn)來說，,FTP,服務(wù)器的,TCP,端口號都是,21,，每個,Telnet,服務(wù)器的,TCP,端口號都是,23,，每個,TFTP(,簡單文件傳送協(xié)議,),服務(wù)器的,UDP,端口號都是,69,。任何,TCP/IP,實現(xiàn)所提供的服務(wù)都用知名的,1,1023,之間的端口號。這些知名端口號由,Internet,號分配機(jī)構(gòu)（,InternetAssignedNumbersAuthority,IANA,）

5、來管理。,什么是端口映射,端口映射,:,內(nèi)網(wǎng)的一臺電腦要上因特網(wǎng)對外開放服務(wù)或接收數(shù)據(jù)，都需要端口映射。,端口映射分為動態(tài)和靜態(tài),.,動態(tài)端口映射,:,內(nèi)網(wǎng)中的一臺電腦要訪問新浪網(wǎng)，會向,NAT,網(wǎng)關(guān)發(fā)送數(shù)據(jù)包，包頭中包括對方,(,就是新浪網(wǎng),)IP,、端口和本機(jī),IP,、端口，,NAT,網(wǎng)關(guān)會把本機(jī),IP,、端口替換成自己的公網(wǎng),IP,、一個未使用的端口，并且會記下這個映射關(guān)系，為以后轉(zhuǎn)發(fā)數(shù)據(jù)包使用。然后再把數(shù)據(jù)發(fā)給新浪網(wǎng)，新浪網(wǎng)收到數(shù)據(jù)后做出反應(yīng)，發(fā)送數(shù)據(jù)到,NAT,網(wǎng)關(guān)的那個未使用的端口，然后,NAT,網(wǎng)關(guān)將數(shù)據(jù)轉(zhuǎn)發(fā)給內(nèi)網(wǎng)中的那臺電腦，實現(xiàn)內(nèi)網(wǎng)和公網(wǎng)的通訊,.,當(dāng)連接關(guān)閉時，,NAT,網(wǎng)

6、關(guān)會釋放分配給這條連接的端口，以便以后的連接可以繼續(xù)使用。,動態(tài)端口映射其實也就是,NAT,網(wǎng)關(guān)的工作方式。,靜態(tài)端口映射,:,就是在,NAT,網(wǎng)關(guān)上開放一個固定的端口，然后設(shè)定此端口收到的數(shù)據(jù)要轉(zhuǎn)發(fā)給內(nèi)網(wǎng)哪個,IP,和端口，不管有沒有連接，這個映射關(guān)系都會一直存在。就可以讓公網(wǎng)主動訪問內(nèi)網(wǎng)的一個電腦。,防火墻的,NAT,策略,什么是,NAT,（網(wǎng)絡(luò)地址轉(zhuǎn)換）,網(wǎng)絡(luò)地址轉(zhuǎn)換,(NAT,Network Address Translation),被廣泛應(yīng)用于各種類型,Internet,接入方式和備種類型的網(wǎng)絡(luò)中。原因很簡單，,NAT,不僅完美地解決了,lP,地址不足的問題，而且還能夠有效地避免來自

7、網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計算機(jī)。,借助于,NAT,，私有,(,保留,),地址的,“,內(nèi)部,”,網(wǎng)絡(luò)通過路由器發(fā)送數(shù)據(jù)包時，私有地址被轉(zhuǎn)換成合法的,IP,地址，一個局域網(wǎng)只需使用少量,IP,地址,(,甚至是,1,個,),即可實現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計算機(jī)與,Internet,的通信需求。,NAT,將自動修改,IP,報文頭中的源,IP,地址和目的,IP,地址，,Ip,地址校驗則在,NAT,處理過程中自動完成。,NAT,實現(xiàn)方式,靜態(tài)轉(zhuǎn)換,是指將內(nèi)部網(wǎng)絡(luò)的私有,IP,地址轉(zhuǎn)換為公有,IP,地址，,IP,地址對是一對一的，是一成不變的，某個私有,IP,地址只轉(zhuǎn)換為某個公有,IP,地址。借助于

8、靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備,(,如服務(wù)器,),的訪問。,動態(tài)轉(zhuǎn)換,是指將內(nèi)部網(wǎng)絡(luò)的私有,IP,地址轉(zhuǎn)換為公用,IP,地址時，,IP,地址對是不確定的，而是隨機(jī)的，所有被授權(quán)訪問上,Internet,的私有,IP,地址可隨機(jī)轉(zhuǎn)換為任何指定的合法,IP,地址。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進(jìn)行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當(dāng),ISP,提供的合法,IP,地址略少于網(wǎng)絡(luò)內(nèi)部的計算機(jī)數(shù)量時?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式。,internet,Gateway:211.154.0.1/24,192.168.1.0/24,W

9、AN:211.154.0.6,Internal:192.168.1.1/24,Catalyst 2924,211.154.0.7,（,Nat,以后地址）,策略必須包含以下信息,:,源,IP,目標(biāo),IP,服務(wù)（目標(biāo)端口）,行為：允許,/,拒絕,時間限制,流量限制,連接數(shù)限制,應(yīng)用限制,網(wǎng)址限制,下載限制,復(fù)雜的,NAT,策略,NAT,策略截圖,（中興防火墻）,如何做端口映射,1,、保證需要映射的服務(wù)在內(nèi)網(wǎng)訪問正常，明確使用的,IP,及端口,2,、要使用的外網(wǎng),IP,（只能是硬件防火墻可以使用的）及對外的端口,3,、定義該端口并做端口映射,4,、做允許外網(wǎng)用戶訪問該服務(wù)的規(guī)則,5,、測試,Inte

10、rnet,192.168.1.1,WWW,服務(wù)器,172.16.1.2 80,特點：,只有一個公有,IP,具有三個不同的服務(wù)器,內(nèi)部網(wǎng)訪問,Internet,需要做,NAT,內(nèi)外網(wǎng)訪問,DMZ,區(qū)的服務(wù)器需要做,SAT(,端口映射）,61.156.37.102/30,NAT,SAT,172.16.1.1,Int,Ext,Dmz,61.156.37.101/30,端口映射策略截圖,（中興防火墻）,允許從外網(wǎng)訪問映射的服務(wù),防火墻配置使用技巧,1,、單獨配置一個接口做管理口,2,、只允許可管理,IP,能直接訪問防火墻,3,、,VPN,和阻止策略放在最前面,4,、盡量定義一組對象并對組做策略,5,、監(jiān)控防火墻的,CPU,及內(nèi)存使用率、連接數(shù)是否有 異常，熟悉并利用防火墻的各類日志信息進(jìn)行相應(yīng)管理,6,、對配置經(jīng)常備份,24,醫(yī)藥通九州,健康送萬家,JOINTOWN GROUP CO.,LTD.,謝 謝！,