《实训十九、锐捷硬件防火墙的配置.ppt》由会员分享,可在线阅读,更多相关《实训十九、锐捷硬件防火墙的配置.ppt(19页珍藏版)》请在三一办公上搜索。
1、实训十九、锐捷硬件防火墙的配置,重点内容:掌握使用WEB方式配置硬件防火墙;掌握锐捷防火墙实现安全策略的配置;掌握锐捷防火墙实现抗攻击的配置;,一、硬件防火墙设备的安装,目前,硬件防火墙通常除了初始配置端口(console口)外,一般还提供三个以上的LAN端口,分别用于连接内部网络(LAN)、外部网络(WAN)及非军事区域(DMZ)。非军事区域主要用于存放单位/企业的网络服务器,如WEB服务器、FTP服务器、E-mail服务器等。下面以图19-1锐捷硬件防火墙(RG-WALL 120)为例,介绍设备的物理端口的功能。面板的第一个端口为console端口,第二个端口为AUX端口,该端口可通过Mo
2、dem设备实现远程配置防火墙。接下来四个端口为LAN端口。而防火墙的电源接口位置在防火墙的后面板。,图19-1 锐捷硬件防火墙,设备的安装过程如下:1、将防火墙安装于机柜中,并用螺丝钉固定。2、使用电源线连接防火墙的电源接口(位置于后面板)至电源插排上。3、分别将连接外部网络及连接内部网络的双绞线随意选择一个LAN端口插入,不过在登录防火墙配置接口IP地址时,要根据相应的接口配置对应的IP地址。提示:有的防火墙面板上标有LAN端口、WAN端口及DMZ端口,则只要将相应的网线插入相应的端口就可以了。完成硬件上的线路连接后,还需要登录到防火墙内部进行配置相应端口的IP地址,方可实现防火墙的功能。4
3、、如果内部网络安装了网络服务器,并需要向外网提提供网络服务,此时,可再随意选择一个LAN端口作为DMZ端口(如取lan3),通过双绞线网线连接防火墙(lan3端口)到交换机上,交换机上再通过双绞线网线可连接多台服务器,如WEB服务器,FTP服务器等。,二、安装防火墙软件许可证(密钥),购买硬件防火墙时,通常厂商会提供防火墙的硬件密钥或软件密钥,硬件密钥通常为USB接口,但由于提供硬件密钥的设备较容易损坏或丢失,现在部分厂商将提供软件密钥。下面以锐捷RG-WALL120防火墙提供的软件密钥程序,介绍其安装过程。1、在管理主机上双击防火墙许可证(密钥)程序,启动“证书导入向导”,如图19-2所示。
4、2、单击“下一步”按钮,选择要导入的许可证文件的路径,如图19-3所示。,图19-3 导入许可证文件路径,图19-2 证书导入向导,3、单击“下一步”按钮,输入证书密码,该证书密码可以从购买该设备的厂商中得到。4、单击“下一步”按钮,选择证书存储区,按默认设置,单击“下一步”按钮。5、提示完成证书导入任务,单击“完成”按钮,完成许可证(密钥)的安装。提示:许可证书导入成功后,就可以配置管理主机登录防火墙中进行配置了。,三、以Web管理方式配置防火墙,1、使用双绞线网线连接PC机的网卡至防火墙的LAN端口(假设fe1端口为出厂默认配置口),配置PC机的IP地址、子网掩码及网关。IP地址设置为防火
5、墙出厂默认的管理主机IP地址(如),网关为防火墙的出厂默认接口IP地址(如)。,2、打开IE浏览器,在地址栏中输入防火墙出厂默认接口的管理IP地址及端口号,如https:/192.168.10.100:6666,回车后打开登录界面,如图19-4所示。注意“http”后面带一个“s”。,录到防火墙后,你可以通过添加/修改接口的IP地址及管理主机IP地址,然后根据防火墙中所设置的管理主机IP地址、接口IP地址重新配置PC机的IP地址及网关。本例中根据内网IP规划要求,设置防火墙fe2接口为配置接口,用于连接内部网络,该接口 IP地址设置为,并添加管理主机IP地址为。所以,当重新配置管理机的IP地址
6、、子网掩码及网关后在打开的IE地址栏中输入https:/172.16.0.1:6666,就可以打开防火墙登录界面。如图19-5所示。,图19-5 防火墙登录界面,图19-4 防火墙登录界面,3、输入默认的帐号及口令,单击“登录”按钮,打开防火墙配置窗口,如图19-6所示。,图19-6 防火墙首页,4、配置管理方式单击窗口左列表中的“管理配置”“管理方式”,如图19-7所示。,图19-7 管理方式,5、配置管理主机 单击窗口左列表中的“管理配置”“管理主机”,单击“添加主机”按钮,输入管理主机的IP地址,如,设置完成后将保存在列表中,如图19-8所示。,图19-8设置管理主机IP,6、配置管理员
7、帐号 单击窗口左列表中的“管理配置”“管理员帐号”,打开配置窗口如图19-9所示。,图19-9 设置管理员帐号,7、配置接口(端口)IP地址 单击窗口左列表中的“网络配置”“接口IP”,打开的配置界面如图19-10所示。接着根据内外网络的网线所插入防火墙的接口来配置相应的接口IP地址。假设fe2网络接口连接内部网络,fe3网络接口连接外部网络,则fe2接口的IP地址配置为内网保留IP地址,如;fe3接口的IP地址配置为外网真实IP地址,如。,图19-10 接口IP地址,8、配置策略路由 单击窗口左列表中的“网络配置”“策略路由”,打开配置界面如图19-11所示。单击“添加”按钮,打开编辑策略路
8、由的窗口,如图19-12所示。,图19-11 策略路由列表,图19-12 编辑策略路由,9、添加安全规则 单击窗口左列表中的“安全策略”“安全规则”,在右窗口中的点击“添加”按钮,弹出“安全规则维护”对话框,如图19-13所示。在“安全规则维护”对话框中可以添加网络地址转换(NAT)、包过滤、IP地址映射、端口映射等类型的安全规则。配置NAT规则,可以使内部网络中使用私有IP地址的主机访问Internet资源;配置包过滤规则,可以阻止非法用户访问网络资源;配置IP地址映射和端口映射规则,可以实现将内网中的网络服务器公布于Internet上,以供外网用户访问。,图19-13安全规则维护,1)、添
9、加NAT规则 在“安全规则维护”对话框中,规则序号和规则名可随意命名。源地址表示本地网络的地址,你可以选择“手工输入”或选择已定义的列表名称,如DMZ名称(不过列表各个名称所对应的地址必须预先在“对象定义地址地址列表”中定义好)。目的地址是指你要访问的目标网络,选择“any”,表示到任何地方。服务选项中可以选择具体的某个服务(如http,ftp等),表示只开放该服务项,如果选择“any”,则表示开放所有的服务。本例以配置内网中私有IP地址为转换成公网IP地址为,从而实现访问外网的所有服务,具体配置如图19-14所示。,图19-14 添加NAT规则,2)、添加包过滤规则 添加包过滤规则相当于在路
10、由器的命令行方式下配置访问控制列表,以允许或禁止相应的用户访问网络资源,具体配置如图19-15、23-16所示。图19-15中所配置的包过滤规则内容是:允许源IP地址为的主机访问目的IP地址为这台WEB服务器。,图19-15 添加包过滤规则,图19-16 添加包过滤规则,图19-16中所配置的包过滤规则内容是:允许源IP地址为的主机访问目的IP地址为这台FTP服务器。,3)、添加IP映射规则 IP映射通常是一对一的,即一个内网私有IP地址和一个公网IP地址建立映射关系。方法是将内网中使用私用IP地址的服务器映射成一个具体的公网IP地址,或者说将公网IP地址映射到内网中的某个具体的私有IP地址。
11、这样,当外网用户访问该公网IP地址时,系统会自动转到所映射的内网私有IP地址的主机,该主机通常提供某种网络服务,如WEB服务、FTP服务器。所以,IP映射主要应用于将内网的服务器发布于Internet上,以供外网用户访问,如WEB服务器、FTP服务器、E-mail服务器等。配置如图19-17所示。,图19-17添加IP映射规则,4)、添加端口映射规则 端口映射与IP映射的区别在于IP映射将提供所有的端口服务,而端口映射是指提供具体的某个端口服务,如提供FTP服务的端口号默认为21、HTTP服务的端口号默认为80。本例中假设内网FTP服务器使用私有IP 地址为,当该内网IP地址与公网IP地址建立
12、映射关系后,外网用户访问这个公网IP地址时,防火墙将自动转到内网中IP地址为这台FTP服务器。这样,就实现将内网FTP服务器发布于Internet上了。具体配置如图19-18所示。,图19-18 添加端口映射,10、配置防火墙接口具有抗攻击能力 单击窗口左列表中的“安全策略”“抗攻击”按钮,选择窗口右列表相应的接口,然后单击“编辑”按钮,弹出该接口的抗攻击设置对话框,如图19-19所示。打勾“启用抗攻击”复选框及相应的抗攻击类型选择,单击“确定”按钮,完成设置。,图19-19 抗攻击设置,11、使用“初始向导”功能配置防火墙 首次使用防火墙,我们可以通过“初始向导”来对防火墙进行简单的配置,但
13、初始向导只能配置防火墙具备基本的使用功能。配置步骤如下。1)、登录到防火墙后,单击界面中的“初始向导”按钮,弹出修改管理员口令的窗口如图19-20所示。2)、单击“下一步”按钮,设置工作模式,这里设置成路由模式。3)、单击“下一步”按钮,设置连接内外网的接口IP 地址及子网掩码,如图19-21所示。,图19-21 设置接口IP,图19-20 修改管理员口令,4)、单击“下一步”按钮,设置默认网关IP地址,如“61.131.24.241”。5)、单击“下一步”按钮,设置管理主机,这里输入“172.16.0.2”。6)、单击“下一步”按钮,配置安全规则,如图19-22所示,这里的源IP地址和掩码可设置成内网的IP地址,而目的地址的IP地址和掩码可设置成公网IP地址,目的在于将内网的私有IP地址转换成公网IP地址。7)、完成安全规则配置后,单击“下一步”按钮,进入设置管理方式界面。8)、完成管理方式配置后,单击“下一步”按钮,完成防火墙的初始配置。,图19-22 配置安全规则,完,
