方正FS防火墻配置案例分析

1、12主題內(nèi)容主題內(nèi)容n常用命令介紹常用命令介紹n防火墻基本配置和注意事項防火墻基本配置和注意事項n案例分析案例分析3防火墻常用命令防火墻常用命令neraseobj all清除防火墻配置清除防火墻配置ninitialize 初始化防火墻網(wǎng)口地址初始化防火墻網(wǎng)口地址nifconfig查看網(wǎng)卡查看網(wǎng)卡IP地址地址nroute查看防火墻路由表信息版本查看防火墻路由表信息版本4防火墻基本配置防火墻基本配置初始化初始化n配置順序配置順序打開打開SecuwayAdmin連接防火墻連接防火墻配置對象，包括配置對象，包括定義定義“有效網(wǎng)有效網(wǎng)絡(luò)絡(luò)”，“路由器路由器”等關(guān)鍵對象等關(guān)鍵對象啟動啟動“門向?qū)чT向?qū)А保?/p>

2、將對象配置在相將對象配置在相應(yīng)的位置應(yīng)的位置配置安全策略和配置安全策略和NAT規(guī)則規(guī)則傳送并重新啟動傳送并重新啟動防火墻防火墻5防火墻初始化防火墻初始化n配置超級終端，連接串口配置超級終端，連接串口必須使用防火墻隨機帶的串口線，不必須使用防火墻隨機帶的串口線，不可以使用可以使用Cisco的串口線的串口線超級終端用戶名密碼默認(rèn)為超級終端用戶名密碼默認(rèn)為“admin”6防火墻初始化防火墻初始化n為防火墻配置為防火墻配置IP地址地址在在超級終端超級終端中輸入中輸入“initialize 192.168.1.254”192.168.0.1/24防火墻重新啟動防火墻重新啟動Secuwayroot$Not

3、 exist Object id 0 x11Now Write ObjectDummy Gate Object Load Success by Ping : ip=c0a801ab, netmask=ffffff00System Reset ret=c01a7058 防火墻重新啟動后，所有網(wǎng)卡的防火墻重新啟動后，所有網(wǎng)卡的IP地址都是地址都是192.168.1.2547防火墻配置防火墻配置-SecuwayAdminn在防火墻光盤中有兩個文件，一個是在防火墻光盤中有兩個文件，一個是SecuwayAdmin.jar，一個是，一個是Java環(huán)境的安裝文環(huán)境的安裝文件。件。n首先安裝首先安裝Java環(huán)

4、境文件環(huán)境文件Jre-1.3.x.x.exen然后雙擊運行然后雙擊運行SecuwayAdmin.jar注意：有些注意：有些PC機上安裝了類似機上安裝了類似WinRAR的程序，默認(rèn)情況下會用的程序，默認(rèn)情況下會用WinRAR程序打開程序打開*.jar文件，在這種情況下，需要啟動文件，在這種情況下，需要啟動“打開方式打開方式”，然后選擇然后選擇”javaw”打開打開8防火墻配置防火墻配置-SecuwayAdmin9防火墻配置防火墻配置-SecuwayAdminnIP地址范圍對象的定義地址范圍對象的定義10防火墻配置防火墻配置-SecuwayAdminn路由器對象路由器對象11防火墻配置防火墻配置-

5、SecuwayAdminn門向?qū)чT向?qū)?2防火墻配置防火墻配置-SecuwayAdminn為每一個網(wǎng)卡配置為每一個網(wǎng)卡配置IP地址和有效網(wǎng)絡(luò)地址和有效網(wǎng)絡(luò)13防火墻配置防火墻配置有效網(wǎng)絡(luò)有效網(wǎng)絡(luò)n有效網(wǎng)絡(luò)的概念（重要）有效網(wǎng)絡(luò)的概念（重要）有效網(wǎng)絡(luò)的概念對于方正有效網(wǎng)絡(luò)的概念對于方正FS系列防火墻來說至關(guān)重要，配置的正確與系列防火墻來說至關(guān)重要，配置的正確與否直接影響到網(wǎng)絡(luò)是否正常工作。否直接影響到網(wǎng)絡(luò)是否正常工作。有效網(wǎng)絡(luò)的定義：有效網(wǎng)絡(luò)的定義：FS防火墻防火墻每個網(wǎng)口所連接的網(wǎng)絡(luò)范圍每個網(wǎng)口所連接的網(wǎng)絡(luò)范圍。FS防火墻會防火墻會根據(jù)有效網(wǎng)絡(luò)的定義決定向哪個網(wǎng)口轉(zhuǎn)發(fā)數(shù)據(jù)，類似于給每個網(wǎng)口設(shè)置

6、根據(jù)有效網(wǎng)絡(luò)的定義決定向哪個網(wǎng)口轉(zhuǎn)發(fā)數(shù)據(jù)，類似于給每個網(wǎng)口設(shè)置路由，路由，有效網(wǎng)絡(luò)設(shè)置的關(guān)鍵點：有效網(wǎng)絡(luò)設(shè)置的關(guān)鍵點：搞清楚每個接口所涵蓋的網(wǎng)絡(luò)范圍，精確的定義每個范圍，不能多也搞清楚每個接口所涵蓋的網(wǎng)絡(luò)范圍，精確的定義每個范圍，不能多也不能少。不能少。有效網(wǎng)絡(luò)不僅僅包括網(wǎng)口所在的網(wǎng)段，也要包含該網(wǎng)口連接的路由器有效網(wǎng)絡(luò)不僅僅包括網(wǎng)口所在的網(wǎng)段，也要包含該網(wǎng)口連接的路由器或者三層交換后的所有或者三層交換后的所有IP地址地址。防火墻網(wǎng)口的地址可以包含在有效網(wǎng)絡(luò)中，也可以不包含。防火墻網(wǎng)口的地址可以包含在有效網(wǎng)絡(luò)中，也可以不包含。14防火墻配置案例一防火墻配置案例一nIDC托管機房托管機房Inte

7、rnetmail server61.152.167.25161.152.167.252web server61.152.167.253防火墻防火墻61.152.167.25461.152.167.250Netmask:255.255.255.24815防火墻配置案例一防火墻配置案例一n要求要求外部外部Internet可以訪問各服務(wù)器的相應(yīng)服務(wù)，外部可可以訪問各服務(wù)器的相應(yīng)服務(wù)，外部可以以Ping通各服務(wù)器以檢測服務(wù)器是否工作正常。通各服務(wù)器以檢測服務(wù)器是否工作正常。內(nèi)部服務(wù)器不能主動訪問外部內(nèi)部服務(wù)器不能主動訪問外部Internet。16防火墻配置案例一防火墻配置案例一n分析分析IDC托管機房

8、內(nèi)，內(nèi)部服務(wù)器地址與外部網(wǎng)關(guān)地址處托管機房內(nèi)，內(nèi)部服務(wù)器地址與外部網(wǎng)關(guān)地址處在同一網(wǎng)段，這時防火墻可以設(shè)置成透明模式在同一網(wǎng)段，這時防火墻可以設(shè)置成透明模式,即通常即通常所說的橋模式。這里我們只使用所說的橋模式。這里我們只使用Net 1和和Net 3，即內(nèi)，即內(nèi)網(wǎng)口和外網(wǎng)口。網(wǎng)口和外網(wǎng)口。這時，防火墻的兩端可以任意配置這時，防火墻的兩端可以任意配置IP地址和路由信息，地址和路由信息，問題的關(guān)鍵在于，有效網(wǎng)絡(luò)的正確配置。問題的關(guān)鍵在于，有效網(wǎng)絡(luò)的正確配置。17防火墻配置案例一防火墻配置案例一n定義對象定義對象IP地址范圍地址范圍18防火墻配置案例一防火墻配置案例一n定義對象定義對象IP地址范圍地

9、址范圍19防火墻配置案例一防火墻配置案例一n定義對象定義對象IP地址范圍地址范圍20防火墻配置案例一防火墻配置案例一n定義對象定義對象路由器對象路由器對象21防火墻配置案例一防火墻配置案例一n門向?qū)чT向?qū)渲媒涌谂渲媒涌贗P地址和有效網(wǎng)絡(luò)地址和有效網(wǎng)絡(luò)22防火墻配置案例一防火墻配置案例一n門向?qū)чT向?qū)渲媒涌谂渲媒涌贗P地址和有效網(wǎng)絡(luò)地址和有效網(wǎng)絡(luò)23防火墻配置案例一防火墻配置案例一n門向?qū)чT向?qū)渲媒涌谂渲媒涌贗P地址和有效網(wǎng)絡(luò)地址和有效網(wǎng)絡(luò)24防火墻配置案例一防火墻配置案例一n配置安全策略配置安全策略25防火墻配置案例二防火墻配置案例二n足夠真實足夠真實IPInternetmail ser

10、ver61.152.167.25161.152.167.252web server61.152.167.253192.168.1.0/24DMZ區(qū)區(qū)外部網(wǎng)外部網(wǎng)內(nèi)部網(wǎng)內(nèi)部網(wǎng)192.168.1.25461.152.167.25061.152.167.25061.152.167.25426防火墻配置案例二防火墻配置案例二n要求要求內(nèi)部網(wǎng)使用保留內(nèi)部網(wǎng)使用保留IP地址地址192.168.1.0/24，并要通過防火，并要通過防火墻上墻上Internet。DMZ區(qū)使用真實區(qū)使用真實IP地址，并且只對內(nèi)部網(wǎng)和外部網(wǎng)開地址，并且只對內(nèi)部網(wǎng)和外部網(wǎng)開放相應(yīng)服務(wù)。放相應(yīng)服務(wù)。DMZ區(qū)服務(wù)器不能直接訪問內(nèi)部網(wǎng)和外

11、區(qū)服務(wù)器不能直接訪問內(nèi)部網(wǎng)和外部網(wǎng)。部網(wǎng)。27防火墻配置案例二防火墻配置案例二n分析分析由于內(nèi)部網(wǎng)使用保留由于內(nèi)部網(wǎng)使用保留IP地址地址192.168.1.0/24，所以防火，所以防火墻要設(shè)置從內(nèi)到外的墻要設(shè)置從內(nèi)到外的NAT（SNAT），地址為），地址為61.152.167.250。DMZ區(qū)使用真實區(qū)使用真實IP地址，并且只對內(nèi)部網(wǎng)和外部網(wǎng)開地址，并且只對內(nèi)部網(wǎng)和外部網(wǎng)開放相應(yīng)端口。在這種情況下，要把放相應(yīng)端口。在這種情況下，要把Net 2 Mode Public選項選中。選項選中。28防火墻配置案例二防火墻配置案例二n定義對象定義對象單個單個IP地址地址29防火墻配置案例二防火墻配置案例二

12、n定義對象定義對象IP地址范圍地址范圍30防火墻配置案例二防火墻配置案例二n定義對象定義對象IP地址范圍地址范圍31防火墻配置案例二防火墻配置案例二n定義對象定義對象IP地址范圍地址范圍32防火墻配置案例二防火墻配置案例二n定義對象定義對象路由器對象路由器對象33防火墻配置案例二防火墻配置案例二n門向?qū)чT向?qū)渲镁W(wǎng)口配置網(wǎng)口IP地址和有效網(wǎng)絡(luò)地址和有效網(wǎng)絡(luò)34防火墻配置案例二防火墻配置案例二n門向?qū)чT向?qū)渲媒涌谂渲媒涌贗P地址和有效網(wǎng)絡(luò)地址和有效網(wǎng)絡(luò)35防火墻配置案例二防火墻配置案例二n門向?qū)чT向?qū)渲媒涌谂渲媒涌贗P地址和有效網(wǎng)絡(luò)地址和有效網(wǎng)絡(luò)36防火墻配置案例二防火墻配置案例二n門向?qū)чT

13、向?qū)渲门渲肗et 2 Public37防火墻配置案例二防火墻配置案例二n配置配置NAT策略策略38防火墻配置案例二防火墻配置案例二n配置安全策略配置安全策略39防火墻配置案例三防火墻配置案例三n真實真實IP不足不足Internetmail server192.168.2.3192.168.2.2web server192.168.2.1192.168.1.0/24DMZ區(qū)區(qū)外部網(wǎng)外部網(wǎng)內(nèi)部網(wǎng)內(nèi)部網(wǎng)192.168.1.254192.168.2.25461.152.167.25061.152.167.25461.152.167.24940防火墻配置案例三防火墻配置案例三n要求要求內(nèi)部網(wǎng)使用保留內(nèi)

14、部網(wǎng)使用保留IP地址地址192.168.1.0/24，但是要通過防，但是要通過防火墻上火墻上Internet。DMZ區(qū)同樣使用保留區(qū)同樣使用保留IP地址地址192.168.2.0/24，只對內(nèi)部，只對內(nèi)部網(wǎng)和外部網(wǎng)開放相應(yīng)服務(wù)。網(wǎng)和外部網(wǎng)開放相應(yīng)服務(wù)。DMZ區(qū)服務(wù)器不能直接訪區(qū)服務(wù)器不能直接訪問內(nèi)部網(wǎng)和外部網(wǎng)。問內(nèi)部網(wǎng)和外部網(wǎng)。41防火墻配置案例三防火墻配置案例三n分析分析由于內(nèi)部網(wǎng)使用保留由于內(nèi)部網(wǎng)使用保留IP地址地址192.168.1.0/24，所以防火，所以防火墻要設(shè)置從內(nèi)到外的墻要設(shè)置從內(nèi)到外的NAT，地址為，地址為61.152.167.250DMZ區(qū)同樣要設(shè)置區(qū)同樣要設(shè)置NAT，但是

15、是從外到內(nèi)的。只對內(nèi)，但是是從外到內(nèi)的。只對內(nèi)部網(wǎng)和外部網(wǎng)開放相應(yīng)端口。在這種情況下，不要把部網(wǎng)和外部網(wǎng)開放相應(yīng)端口。在這種情況下，不要把DMZ Public選項選中。選項選中。42防火墻配置案例三防火墻配置案例三 n定義對象定義對象單個單個IP地址地址43防火墻配置案例三防火墻配置案例三n定義對象定義對象單個單個IP地址地址44防火墻配置案例三防火墻配置案例三n定義對象定義對象IP地址范圍地址范圍45防火墻配置案例三防火墻配置案例三n定義對象定義對象IP地址范圍地址范圍46防火墻配置案例三防火墻配置案例三n定義對象定義對象IP地址范圍地址范圍47防火墻配置案例三防火墻配置案例三n定義對象定義

16、對象路由器對象路由器對象48防火墻配置案例三防火墻配置案例三n門向?qū)чT向?qū)渲镁W(wǎng)口配置網(wǎng)口IP地址和有效網(wǎng)絡(luò)地址和有效網(wǎng)絡(luò)49防火墻配置案例三防火墻配置案例三n門向?qū)чT向?qū)渲镁W(wǎng)口配置網(wǎng)口IP地址和有效網(wǎng)絡(luò)地址和有效網(wǎng)絡(luò)50防火墻配置案例二防火墻配置案例二n門向?qū)чT向?qū)渲媒涌谂渲媒涌贗P地址和有效網(wǎng)絡(luò)地址和有效網(wǎng)絡(luò)51防火墻配置案例三防火墻配置案例三n配置配置NAT策略策略52防火墻配置案例三防火墻配置案例三n配置安全策略配置安全策略53不同版本的注意事項不同版本的注意事項nFirmware為為1.6和和2.0/3.0的配置的不同的配置的不同“超級終端”中輸入“version”命令確認(rèn)方通防

17、火墻的Firmware版本Secuwayroot$ versionOS version 2.2.13 #2118 Tue Feb 3 16:16:58 KST 2004Firmware Version=1.6.2.2Model=2, Revision=2Compile Option=GATE_V2 PKI_VERSION CENTER_V2 UDP_ENCAPS MANUAL_IPSEC K4_AUTH PSKEY PSKEY_EX USER_LIMIT ACCEPT_MULTICAST ANONYMOUS_L2TP RT_SCRIPT RIP VRRP AUTOUP DMZ_VIP CHK_INT GATE100root$ versionFOS version 2.5.67 #15 Mon Nov 1 17:26:15 KST 2004Fi