收藏
下载资源

神州数码多核防火墙快速配置手册

上传人:我*** 文档编号:133314303 上传时间:2020-05-26 格式:PDF 页数:104 大小:14.92MB
返回 下载 相关 举报
神州数码多核防火墙快速配置手册_第1页
第1页 / 共104页
神州数码多核防火墙快速配置手册_第2页
第2页 / 共104页
神州数码多核防火墙快速配置手册_第3页
第3页 / 共104页
神州数码多核防火墙快速配置手册_第4页
第4页 / 共104页
神州数码多核防火墙快速配置手册_第5页
第5页 / 共104页
点击查看更多>>
资源描述

《神州数码多核防火墙快速配置手册》由会员分享,可在线阅读,更多相关《神州数码多核防火墙快速配置手册(104页珍藏版)》请在金锄头文库上搜索。

1、 神州数码网络公司客户服务中心神州数码网络公司客户服务中心 1 多核墙多核墙快速配置手册快速配置手册V3 0 神州数码网络 北京 有限公司 客户服务中心 技术支持部 2012年3月 神州数码网络公司客户服务中心神州数码网络公司客户服务中心 2 关于本手册 本手册是针对神州数码1800系列多核防火墙常用功能配置手册 希望借助此手册用户和 网络工程师能够快速掌握多核防火墙的基本使用 能够进行简单的故障排除 更加详细的内 容请参考多核墙的安装手册 配置手册 命令手册 该手册中的配置及web抓图都使用DCFOS 4 5R3系列版本 手册配置中如有发现问题或疑问请发送邮件到zhujya 谢谢 神州数码网

2、络公司客户服务中心神州数码网络公司客户服务中心 3 多核防火墙快速配置手册多核防火墙快速配置手册 V3 0 防火墙配置一 SNAT 配置 4 防火墙配置二 DNAT 配置 6 防火墙配置三 透明模式配置 11 防火墙配置四 混合模式配置 14 防火墙配置五 DHCP 配置 18 防火墙配置六 DNS 代理配置 19 防火墙配置七 DDNS 配置 21 防火墙配置八 负载均衡配置 23 防火墙配置九 源路由配置 25 防火墙配置十 双机热备配置 27 防火墙配置十一 IP QoS 配置 30 防火墙配置十二 应用 QoS 配置 33 防火墙配置十三 Web 认证配置 36 防火墙配置十四 会话控

3、制配置 43 防火墙配置十五 IP MAC 绑定配置 44 防火墙配置十七 URL 过滤配置 47 防火墙配置十八 网页内容过滤配置 52 防火墙配置十九 基于路由静态 IPSEC 配置案例 54 防火墙配置二十 基于路由动态 IPSEC 配置案例 60 防火墙配置二十一 基于策略静态 IPSEC 配置案例 69 防火墙配置二十二 SSL VPN 配置案例 78 防火墙配置二十三 防病毒配置 84 防火墙配置二十四 IPS 配置 87 防火墙配置二十五 日志服务器配置 91 防火墙配置二十六 邮件形式输出日志信息 93 防火墙配置二十七 记录上网 URL 日志配置 95 防火墙配置二十八 We

4、b 外发信息控制 96 防火墙配置二十九 配置管理及恢复出厂 99 防火墙配置三十 软件版本升级 102 神州数码网络公司客户服务中心神州数码网络公司客户服务中心 4 防火墙防火墙配置一 配置一 SNAT 配置配置 一一 网络 网络拓扑拓扑 二二 需求描述需求描述 配置防火墙使内网 192 168 1 0 24 网段可以访问 internet 三三 配置步骤配置步骤 第一步 配置接口第一步 配置接口 首先通过防火墙默认 eth0 接口地址 192 168 1 1 登录到防火墙界面进行接口的配置 通 过 Webui 登录防火墙界面如下 输入缺省用户名 admin 密码 admin 后点击登录 配

5、置外网接口地址 Internet 网络拓扑网络拓扑 神州数码网络公司客户服务中心神州数码网络公司客户服务中心 5 内口网地址使用缺省 192 168 1 1 第二步第二步 添加路由 添加路由 添加到外网的缺省路由 在目的路由中新建路由条目并添加下一条地址 第三步 添加第三步 添加 SNAT 策略策略 在网络 NAT 源 NAT 中添加源 NAT 策略 神州数码网络公司客户服务中心神州数码网络公司客户服务中心 6 第四步 添加安全策略第四步 添加安全策略 在安全 策略中 选择好源安全域和目的安全域后 新建策略 防火墙防火墙配置二 配置二 DNAT 配置配置 一一 网络拓扑网络拓扑 二二 需求描述

6、需求描述 1 使用外网口 IP 为内网 FTP Server 及 WEB ServerA 做端口映射 并允许外网用户访问该 Server 的 FTP 和 WEB 服务 其中 Web 服务对外映射的端口为 TCP8000 2 允许内网用户通过域名访问 WEB ServerA 即通过合法 IP 访问 3 使用合法 IP218 240 143 220 为 Web ServerB 做 IP 映射 允许内外网用户对该 Server 的 Web 访问 Eth0 0 192 168 1 91 Eth0 1 218 240 143 221 FTP Server Web ServerB Internet Web

7、 ServerA Eth0 2 192 168 10 1 192 168 1 10 24 192 168 10 2 24 神州数码网络公司客户服务中心神州数码网络公司客户服务中心 7 三三 配置步骤配置步骤 要求一 外网口要求一 外网口 IP 为内网为内网 FTP Server 及及 WEB ServerA 做端口映射并允许外网用户访问该做端口映射并允许外网用户访问该 Server 的的 FTP 和和 WEB 服务 其中服务 其中 Web 服务对外映射的端口为服务对外映射的端口为 TCP8000 第一步 配置准备工作第一步 配置准备工作 1 设置对象用户 地址簿 在地址簿中设置服务器地址 2

8、设置服务簿 防火墙出厂自带一些预定义服务 如果我们需要的服务在预定义中不包含 时 需要在对象用户 服务簿中手工定义 第二步 创建目的第二步 创建目的 NAT 配置目的 NAT 为 trust 区域 server 映射 FTP TCP21 和 HTTP TCP80 端口 神州数码网络公司客户服务中心神州数码网络公司客户服务中心 8 第三步 放行安全策略第三步 放行安全策略 创建安全策略 允许 untrust 区域用户访问 trust 区域 server 的 FTP 和 web 应用 关于服务项中我们这里放行的是 ftp 服务和 tcp 8000 服务 要求二 允许内网用户通过域名访问要求二 允许

9、内网用户通过域名访问 WEB ServerA 即通过合法即通过合法 IP 访问 访问 神州数码网络公司客户服务中心神州数码网络公司客户服务中心 9 实现这一步所需要做的就是在之前的配置基础上 增加 Trust Trust 的安全策略 要求三 使用合法要求三 使用合法 IP 218 240 143 220 为为 Web ServerB 做做 IP 映射 允许内外网用户对该映射 允许内外网用户对该 Server 的的 Web 访问 访问 第四第四步 配置准备工作步 配置准备工作 1 将服务器的实际地址使用 web serverB 来表示 2 将服务器的公网地址使用 IP 218 240 143 2

10、20 来表示 神州数码网络公司客户服务中心神州数码网络公司客户服务中心 10 第五第五步 配置目的步 配置目的 NAT 创建静态 NAT 条目 在新建处选择 IP 映射 第六第六步 放行安全策略步 放行安全策略 1 放行 untrust 区域到 dmz 区域的安全策略 使外网可以访问 dmz 区域服务器 2 放行 trust 区域到 dmz 区域的安全策略 使内网机器可以公网地址访问 dmz 区域内的服 务器 神州数码网络公司客户服务中心神州数码网络公司客户服务中心 11 防火墙配置三 透防火墙配置三 透明模式配置明模式配置 一一 网络拓扑网络拓扑 二二 需求描述需求描述 1 防火墙 eth6

11、 接口和 eth7 接口配置为透明模式 2 eth6 与 eth7 同属一个虚拟桥接组 eth6 属于 l2 trust 安全域 eth7 属于 l2 untrust 安全域 3 为虚拟桥接组 Vswitch1 配置 ip 地址以便管理防火墙 4 允许网段 A ping 网段 B 及访问网段 B 的 WEB 服务 三三 配置步骤配置步骤 第一步 接口配置第一步 接口配置 将 eth6 接口加入二层安全域 l2 trust DCFW 1800 config interface ethernet0 6 DCFW 1800 config if eth0 6 zone l2 trust 将 eth7

12、接口设置成二层安全域 l2 untrust 网段网段A 192 168 1 1 192 168 1 100 网段网段B 192 168 1 101 192 168 1 200 网络拓扑网络拓扑 Eth6 Zone l2 trust Eth7 Zone l2 untrust Vswtichif1 192 168 1 254 24 神州数码网络公司客户服务中心神州数码网络公司客户服务中心 12 物理接口配置为二层安全域时无法配置 IP 地址 第二步 配置虚拟交换机 第二步 配置虚拟交换机 Vswitch 如果没有单独接口做管理的话 可以先使用控制线通过控制口登陆下防火墙在命令下 DCFW 1800

13、 config interface vswitchif1 DCFW 1800 config if vsw1 zone trust DCFW 1800 config if vsw1 ip address 192 168 1 254 24 DCFW 1800 config if vsw1 manage ping DCFW 1800 config if vsw1 manage https 当然也可以在防火墙上单独使用一个接口做管理 通过该接口登陆到防火墙在 Web 下进 行配置 第三步 添加对象第三步 添加对象 定义地址对象 定义网段 A 192 168 1 1 192 168 1 100 定义网段

14、 B 192 168 1 101 192 168 1 200 神州数码网络公司客户服务中心神州数码网络公司客户服务中心 13 要求允许网段 A ping 网段 B 及访问网段 B 的 WEB 服务 在这里我们将 ping 和 http 服务建立一个服务组 第四步 配置安全策略第四步 配置安全策略 在 安 全 策 略 中 选 择 好 源 安 全 域 和 目 的 安 全 域 后 新 建 神州数码网络公司客户服务中心神州数码网络公司客户服务中心 14 防火墙防火墙配置四 配置四 混合模式配置混合模式配置 一 网络拓扑 二 需求描述 1 将 eth0 口设置成路由接口 eth6 和 eth7 口设置成

15、二层接口 并设置 Vswitch 接口 2 设置源 NAT 策略 3 配置安全策略 三 配置步骤 第一步 设置接口第一步 设置接口 1 设置内网口地址 设置 eth0 口为内网口地址为 192 168 1 1 24 eth0 192 168 1 1 24 Vswitch1 218 240 143 218 24 IP 192 168 1 0 24 Internet Web ServerA IP 218 240 143 217 24 神州数码网络公司客户服务中心神州数码网络公司客户服务中心 15 2 设置外网口 eth6 口连接外网 将 eth6 口设置成二层安全域 l2 untrust 3 设置

16、服务器接口 将 eth7 口设置成 l2 dmz 安全域 连接服务器 第二步 配置第二步 配置 Vswitch 接口接口 由于二层安全域接口不能设置地址 需要将地址设置在网桥接口上 该网桥接口即为 Vswitch 神州数码网络公司客户服务中心神州数码网络公司客户服务中心 16 第三步 设置第三步 设置 SNAT 策略策略 针对内网所有地址我们在防火墙上设置源 NAT 内网 PC 在访问外网时 数据包凡是从 Vswitch 接口出去的数据包都做地址转换 转换地址为 Vswitch 接口地址 第四步 添加路由第四步 添加路由 要创建一条到外网的缺省路由 如果内网有三层交换机的话还需要创建到内网的回指路由 神州数码网络公司客户服务中心神州数码网络公司客户服务中心 17 第五步 设置地址簿第五步 设置地址簿 在放行安全策略时 我们需要选择相应的地址和服务进行放行 所以这里首先要创建服 务器的地址簿 在创建地址簿时 如果是创建的服务器属单个 ip 建议使用 IP 成员方式的 话 掩码一定要写 32 位 第六第六步 放行策略步 放行策略 放行策略时 首先要保证内网能够访问到外网 应该放行内网口所属

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 教学/培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号