一步一步教你配置硬件防火墻

一步一步配置硬件防火墻集團信息技術總部蘇亮2009年9月提綱防火墻的配置準備(位置、接口IP、路由)防火墻的NAT策略

NAT上網、時間限制、效勞限制、連接數限制、帶寬限制……..防火墻的端口映射備注：主要是中興防火墻配置防火墻的配置準備防火墻〔雙機〕Internet接入switch核心三層交換機SDH專線防火墻路由器路由器一、九州通網絡拓樸三層交換機應用效勞器終端防火墻2MB光纖30MB光纖10MB光纖VPN應用效勞器終端集團總部二級公司三級公司VPNVPN應用效勞器終端防火墻VPN雙三層交換機冗余會聚層交換機三層交換機防火墻/VPN外部效勞器(AM、電子商務等)DMZ區(qū)

一級骨干網絡；

二級內部網絡；

三級內部網絡；

四級內部網絡。雙防火墻冗余雙核心交換機冗余會聚層交換機10MB光纖1、連接防火墻〔consol口或默認IP〕2、設置防火墻內、外網接口IP3、配置路由

默認路由:電信或網通提供的網關IP

內網路由：內網三層接口IP防火墻的管理:接口IP防火墻的管理：配置路由默認路由、靜態(tài)路由、動態(tài)路由防火墻管理：管理員及管理IP設置管理員權限：超級管理員、管理員、只讀管理IP：只有可信的管理IP才能直接訪問防火墻防火墻相關概念什么是計算機端口如果把IP地址比作一間房子，端口就是出入這間房子的門。真正的房子只有幾個門，但是一個IP地址的端口可以有65536個之多！端口是通過端口號來標記的，端口號只有整數，范圍是從0到65535。

端口有什么用呢？我們知道，一臺擁有IP地址的主機可以提供許多效勞，比方Web效勞、FTP效勞、SMTP效勞等，這些效勞完全可以通過1個IP地址來實現。那么，主機是怎樣區(qū)分不同的網絡效勞呢？顯然不能只靠IP地址，因為IP地址與網絡效勞的關系是一對多的關系。實際上是通過“IP地址+端口號”來區(qū)分不同的效勞的。〔源端口/目的端口〕

效勞器一般都是通過知名端口號來識別的。例如，對于每個TCP/IP實現來說，FTP效勞器的TCP端口號都是21，每個Telnet效勞器的TCP端口號都是23，每個TFTP(簡單文件傳送協議)效勞器的UDP端口號都是69。任何TCP/IP實現所提供的效勞都用知名的1～1023之間的端口號。這些知名端口號由Internet號分配機構〔InternetAssignedNumbersAuthority,IANA〕來管理。

什么是端口映射端口映射:內網的一臺電腦要上因特網對外開放效勞或接收數據，都需要端口映射。端口映射分為動態(tài)和靜態(tài).動態(tài)端口映射:內網中的一臺電腦要訪問新浪網，會向NAT網關發(fā)送數據包，包頭中包括對方(就是新浪網)IP、端口和本機IP、端口，NAT網關會把本機IP、端口替換成自己的公網IP、一個未使用的端口，并且會記下這個映射關系，為以后轉發(fā)數據包使用。然后再把數據發(fā)給新浪網，新浪網收到數據后做出反響，發(fā)送數據到NAT網關的那個未使用的端口，然后NAT網關將數據轉發(fā)給內網中的那臺電腦，實現內網和公網的通訊.當連接關閉時，NAT網關會釋放分配給這條連接的端口，以便以后的連接可以繼續(xù)使用。動態(tài)端口映射其實也就是NAT網關的工作方式。靜態(tài)端口映射:就是在NAT網關上開放一個固定的端口，然后設定此端口收到的數據要轉發(fā)給內網哪個IP和端口，不管有沒有連接，這個映射關系都會一直存在。就可以讓公網主動訪問內網的一個電腦。防火墻的NAT策略什么是NAT〔網絡地址轉換〕網絡地址轉換(NAT,NetworkAddressTranslation)被廣泛應用于各種類型Internet接入方式和備種類型的網絡中。原因很簡單，NAT不僅完美地解決了lP地址缺乏的問題，而且還能夠有效地防止來自網絡外部的攻擊，隱藏并保護網絡內部的計算機。

借助于NAT，私有(保存)地址的“內部”網絡通過路由器發(fā)送數據包時，私有地址被轉換成合法的IP地址，一個局域網只需使用少量IP地址(甚至是1個)即可實現私有地址網絡內所有計算機與Internet的通信需求。

NAT將自動修改IP報文頭中的源IP地址和目的IP地址，Ip地址校驗那么在NAT處理過程中自動完成。NAT實現方式靜態(tài)轉換是指將內部網絡的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。借助于靜態(tài)轉換，可以實現外部網絡對內部網絡中某些特定設備(如效勞器)的訪問。

動態(tài)轉換是指將內部網絡的私有IP地址轉換為公用IP地址時，IP地址對是不確定的，而是隨機的，所有被授權訪問上Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。也就是說，只要指定哪些內部地址可以進行轉換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉換。動態(tài)轉換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網絡內部的計算機數量時。可以采用動態(tài)轉換的方式。internetCatalyst2924〔Nat以后地址〕策略必須包含以下信息:源IP目標IP效勞〔目標端口〕行為：允許/拒絕時間限制流量限制連接數限制應用限制網址限制下載限制復雜的NAT策略NAT策略截圖〔中興防火墻〕如何做端口映射1、保證需要映射的效勞在內網訪問正常，明確使用的IP及端口2、要使用的外網IP〔只能是硬件防火墻可以使用的〕及對外的端口3、定義該端口并做端口映射4、做允許外網用戶訪問該效勞的規(guī)那么5、測試InternetWWW效勞器80特點：只有一個公有IP,具有三個不同的效勞器內部網訪問Internet需要做NAT內外網訪問DMZ區(qū)的效勞器需要做SAT(端口映射〕NATSATIntExtDmz端口映射策略截圖〔中興防火墻〕允許從外網訪問映射的效勞防火墻配置使用技巧1、單獨配置一個接口做管理口2、只允許可管理IP能直接訪問防火墻3、VPN和阻止策略放