實驗防火墻技術

實驗防火墻技術第一頁，共三十九頁，編輯于2023年，星期二RGwall60防火墻第二頁，共三十九頁，編輯于2023年，星期二登錄防火墻web界面使用數(shù)字證書登錄web10:6666

防火墻1的IP地址：10

管理主機IP地址11——15

防火墻2的IP地址：10

管理主機IP地址11——15

防火墻3的IP地址：50

管理主機IP地址51——55使用電子鑰匙登錄

10:6667注：只能使用管理主機管理防火墻每次只能使用一臺管理主機對防火墻進行管理。第三頁，共三十九頁，編輯于2023年，星期二Web登錄界面

用戶名：admin

密碼：firewall第四頁，共三十九頁，編輯于2023年，星期二管理主界面當管理員完成管理任務或者離開管理界面時，應點擊退出正確推出WEB管理界面。防火墻WEB界面有超時機制，默認超時時間為600秒。第五頁，共三十九頁，編輯于2023年，星期二管理配置防火墻默認提供WEB管理方式和CLI命令行管理方式管理防火墻。分別通過網(wǎng)口、串口連接防火墻。上述二種管理方式是默認開啟狀態(tài)，管理員不能刪除其中任一管理方式。另外，防火墻還提供通過SSH對防火墻以命令行方式進行遠程管理的功能，此管理方式管理員有權進行添加和刪除。第六頁，共三十九頁，編輯于2023年，星期二管理主機的配置管理員要想管理防火墻，必須增加管理主機，即通過此菜單添加管理主機的IP，然后通過網(wǎng)口連接防火墻即可進行管理。防火墻最多支持256個管理主機對其進行管理。第七頁，共三十九頁，編輯于2023年，星期二網(wǎng)絡接口IP的配置提供4個網(wǎng)口：4個10/100M自適應以太網(wǎng)接口（dmz、lan、wan(00/24)、wan1）。提供1個虛網(wǎng)口設備br第八頁，共三十九頁，編輯于2023年，星期二第九頁，共三十九頁，編輯于2023年，星期二第十頁，共三十九頁，編輯于2023年，星期二第十一頁，共三十九頁，編輯于2023年，星期二對象定義為簡化防火墻安全規(guī)則的維護工作，引入了對象定義，可以定義以下對象：

（1）地址：地址列表、地址組、服務器地址、NAT地址池（2）服務：服務列表、服務組（3）時間：時間列表、時間組（4）連接限制：保護主機、保護服務、限制主機、限制服務（5）帶寬：帶寬列表（6）URL列表：黑名單、白名單第十二頁，共三十九頁，編輯于2023年，星期二注意事項（1）定義規(guī)則前需先定義該規(guī)則所要引用的對象。（2）定義的對象只有被引用時才真正使用。（3）被引用的對象編輯后，在“安全策略>>安全規(guī)則”界面中點擊“刷新”后生效。第十三頁，共三十九頁，編輯于2023年，星期二地址在定義安全規(guī)則之前，最好按照一定的原則（比如：按部門、按人員等）定義一些地址，這樣，當部門或者人員的IP地址發(fā)生變化時，只需在本列表中更新即可，無需再修改安全規(guī)則了。在“對象定義>>地址”中，定義了三種不同用途的地址：

1．地址列表、地址組：用于“安全策略>>安全規(guī)則”中的源地址和目的地址，“用戶認證>>用戶列表”和“用戶認證>>用戶組”中的安全策略。

2．服務器地址：用于“安全策略>>安全規(guī)則”中的內部地址。3．NAT地址池：用于“安全策略>>安全規(guī)則”中的源地址轉換。第十四頁，共三十九頁，編輯于2023年，星期二地址>>地址列表地址用于“安全策略>>安全規(guī)則”、“用戶認證>>用戶列表”和“用戶認證>>用戶組”。可以按兩種方式來定義地址：（1）IP地址/掩碼；（2）地址范圍IP1－IP2第十五頁，共三十九頁，編輯于2023年，星期二第十六頁，共三十九頁，編輯于2023年，星期二第十七頁，共三十九頁，編輯于2023年，星期二地址>>地址組地址組用于“安全策略>>安全規(guī)則”、“用戶認證>>用戶列表”和“用戶認證>>用戶組”。地址組的成員只能為“對象定義>>地址>>地址列表”中已經(jīng)定義過的地址。第十八頁，共三十九頁，編輯于2023年，星期二第十九頁，共三十九頁，編輯于2023年，星期二服務服務用于：（1）“安全策略”下的：包過濾規(guī)則、NAT規(guī)則、端口映射規(guī)則（2）“用戶認證”下的：用戶、用戶組在“對象定義>>服務”中，定義了三種服務：（a）基本服務：可以“協(xié)議+源端口+目的端口”。（b）ICMP服務：可指定type和code。（c）動態(tài)服務：目前支持H323、FTP、SQLNET三種動態(tài)協(xié)議。（d）服務組：上述三種服務的任意組合。第二十頁，共三十九頁，編輯于2023年，星期二服務>>服務列表第二十一頁，共三十九頁，編輯于2023年，星期二連接限制連接限制是為了保護服務器，限制對服務器過于頻繁的訪問。在規(guī)定的時間內，如果某臺主機訪問服務器超過了所限制的次數(shù)，則會對該主機實行阻斷，在阻斷時間段內，拒絕其對服務器的所有訪問。在“對象定義>>連接限制”中，提供了四種連接限制：保護主機、保護服務、限制主機、限制服務。第二十二頁，共三十九頁，編輯于2023年，星期二保護服務保護服務是指被訪問服務器提供的某類服務進行保護，限制對此服務器的這類服務進行過于頻繁的訪問。第二十三頁，共三十九頁，編輯于2023年，星期二第二十四頁，共三十九頁，編輯于2023年，星期二第二十五頁，共三十九頁，編輯于2023年，星期二第二十六頁，共三十九頁，編輯于2023年，星期二安全策略安全策略是防火墻的核心功能。防火墻所有的訪問控制均根據(jù)安全規(guī)則的設置完成。安全規(guī)則包括：（1）包過濾規(guī)則（2）NAT規(guī)則（網(wǎng)絡地址轉換）（3）IP映射規(guī)則（4）端口映射規(guī)則第二十七頁，共三十九頁，編輯于2023年，星期二安全策略>>安全規(guī)則防火墻的基本策略：沒有明確被允許的行為都是被禁止的。根據(jù)管理員定義的安全規(guī)則完成數(shù)據(jù)幀的訪問控制，規(guī)則策略包括：“允許通過”、“禁止通過”、“NAT方式通過”、“IP映射方式通過”、“端口映射方式通過”。支持對源IP地址、目的IP地址、源端口、目的端口、服務、流入網(wǎng)口、流出網(wǎng)口等控制。另外，根據(jù)管理員定義的基于角色控制的用戶策略，并與安全規(guī)則策略配合完成訪問控制，包括限制用戶在什么時間、什么源IP地址可以登錄防火墻系統(tǒng)，該用戶通過認證后能夠享有的服務。RG-WALL60防火墻提供基于對象定義的安全策略配置。第二十八頁，共三十九頁，編輯于2023年，星期二防火墻按順序匹配規(guī)則列表：按順序進行規(guī)則匹配，按第一條匹配的規(guī)則執(zhí)行，不再匹配該條規(guī)則以下的規(guī)則。第二十九頁，共三十九頁，編輯于2023年，星期二第三十頁，共三十九頁，編輯于2023年，星期二第三十一頁，共三十九頁，編輯于2023年，星期二包過濾規(guī)則基于TCP/UDP/ICMP協(xié)議的動態(tài)的包過濾。包過濾規(guī)則可以實現(xiàn)對源地址/掩碼、目的地址/掩碼、服務、流入流出網(wǎng)口的訪問控制，可以設置對這類經(jīng)過防火墻的數(shù)據(jù)包是允許還是禁止。另外，是否啟用用戶認證、是否啟用帶寬控制、是否啟用URL過濾、是否啟用連接限制功能以及是否記錄日志，是否走VPN隧道都在包過濾規(guī)則中設置。包過濾規(guī)則是管理員應用最多的安全規(guī)則。RG-WALL60防火墻的包過濾規(guī)則功能十分靈活、強大。第三十二頁，共三十九頁，編輯于2023年，星期二第三十三頁，共三十九頁，編輯于2023年，星期二NAT規(guī)則NAT（NetworkAddressTranslation）是在IPv4地址日漸枯竭的情況下出現(xiàn)的一種技術，可將整個組織的內部IP都映射到一個合法IP上來進行Internet的訪問，NAT中轉換前源IP地址和轉換后源IP地址不同，數(shù)據(jù)進入防火墻后，防火墻將其源地址進行了轉換后再將其發(fā)出，使外部看不到數(shù)據(jù)包原來的源地址。一般來說，NAT多用于從內部網(wǎng)絡到外部網(wǎng)絡的訪問，內部網(wǎng)絡地址可以是保留IP地址。第三十四頁，共三十九頁，編輯于2023年，星期二IP映射規(guī)則IP映射規(guī)則是將訪問的目的IP轉換為內部服務器的IP。一般用于外部網(wǎng)絡到內部服務器的訪問，內部服務器可使用保留IP地址。當管理員配置多個服務器時，就可以通過IP映射規(guī)則，實現(xiàn)對服務器訪問的負載均衡。一般的應用為：假設防火墻外網(wǎng)卡上有一個合法IP，內部有多個服務器同時提供服務，當將訪問防火墻外網(wǎng)卡IP的訪問請求轉換為這一組內部服務器的IP地址時，訪問請求就可以在這一組服務器進行均衡。第三十五頁，共三十九頁，編輯于2023年，星期二端口映射規(guī)則端口映射規(guī)則是將訪問的目的IP和目的端口轉換為內部服務器的IP和服務端口。一般用于外部網(wǎng)絡到內部服務器的訪問，內部服務器可使用保留IP地址。當管理員配置多個服務器時，都提供某一端口的服務，就可以通過配置端口映射規(guī)則，實現(xiàn)對服務器此端口訪問的負載均衡。一般的應用為：假設防火墻外網(wǎng)卡上有一個合法IP，內部有多個服務器同時提供服務，當將訪問防火墻外網(wǎng)卡IP的訪問請求轉換為這一組內部服務器的IP地址時，訪問請求就可以在這一組服務器進行均衡。第三十六頁，共三十九頁，編輯于2023年，星期二配置實例網(wǎng)絡結構，這個網(wǎng)絡假設內部網(wǎng)有有效的internet地址，為了將內部網(wǎng)段/24與internet隔離，在內部網(wǎng)絡和internet之間使用了包過濾防火墻。防火墻的內網(wǎng)接口是eth1（54），防火墻的internet接口是00.

另外，內網(wǎng)中有3臺服務器對外提供服務。

www服務器：ip地址是：51

ftp服務器：ip地址是：52

e_mail服務器：ip地址為：53第三十七頁，共三十九頁，編輯于2023