《实训十九、锐捷硬件防火墙的配置》由会员分享,可在线阅读,更多相关《实训十九、锐捷硬件防火墙的配置(19页珍藏版)》请在金锄头文库上搜索。
1、实训十九、锐捷硬件防火墙的配置 重点内容: 掌握使用WEB方式配置硬件防火墙; 掌握锐捷防火墙实现安全策略的配置; 掌握锐捷防火墙实现抗攻击的配置;一、硬件防火墙设备的安装目前,硬件防火墙通常除了初始配置端口(console口)外,一般还提供 三个以上的LAN端口,分别用于连接内部网络(LAN)、外部网络(WAN)及 非军事区域(DMZ)。非军事区域主要用于存放单位/企业的网络服务器,如 WEB服务器、FTP服务器、E-mail服务器等。 下面以图19-1锐捷硬件防火墙(RG-WALL 120)为例,介绍设备的物理端 口的功能。面板的第一个端口为console端口,第二个端口为AUX端口,该端
2、 口可通过Modem设备实现远程配置防火墙。接下来四个端口为LAN端口。而防 火墙的电源接口位置在防火墙的后面板。图19-1 锐捷硬件防火墙设备的安装过程如下:1、将防火墙安装于机柜中,并用螺丝钉固定。2、使用电源线连接防火墙的电源接口(位置于后面板)至电源插排上。3、分别将连接外部网络及连接内部网络的双绞线随意选择一个LAN端口插入, 不过在登录防火墙配置接口IP地址时,要根据相应的接口配置对应的IP地址。提示:有的防火墙面板上标有LAN端口、WAN端口及DMZ端口,则只要将 相应的网线插入相应的端口就可以了。完成硬件上的线路连接后,还需要登录 到防火墙内部进行配置相应端口的IP地址,方可实
3、现防火墙的功能。4、如果内部网络安装了网络服务器,并需要向外网提提供网络服务,此时, 可再随意选择一个LAN端口作为DMZ端口(如取lan3),通过双绞线网线连接防 火墙(lan3端口)到交换机上,交换机上再通过双绞线网线可连接多台服务器 ,如WEB服务器,FTP服务器等。 二、安装防火墙软件许可证(密钥)购买硬件防火墙时,通常厂商会提供防火墙的硬件密钥或软件密钥,硬 件密钥通常为USB接口,但由于提供硬件密钥的设备较容易损坏或丢失,现在 部分厂商将提供软件密钥。下面以锐捷RG-WALL120防火墙提供的软件密钥程 序,介绍其安装过程。 1、在管理主机上双击防火墙许可证(密钥)程序,启动“证书
4、导入向导”, 如图19-2所示。 2、单击“下一步”按钮,选择要导入的许可证文件的路径,如图19-3所示。图19-3 导入许可证文件路径图19-2 证书导入向导3、单击“下一步”按钮,输入证书密码,该证书密码可以从购买该设备的厂商中得到。4 、单击“下一步”按钮,选择证书存储区,按默认设置,单击“下一步”按钮。5、提示完成证书导入任务,单击“完成”按钮,完成许可证(密钥)的安装。提示:许可证书导入成功后,就可以配置管理主机登录防火墙中进行配置了。 三、以Web管理方式配置防火墙1、使用双绞线网线连接PC机的网卡至防火墙的LAN端口(假设fe1端口为 出厂默认配置口),配置PC机的IP地址、子网
5、掩码及网关。IP地址设置为防 火墙出厂默认的管理主机IP地址(如192.168.10.200),网关为防火墙的出 厂默认接口IP地址(如192.168.10.100)。2、打开IE浏览器,在地址栏中输入防火墙出厂默认接口的管理IP地址及 端口号,如https:/192.168.10.100:6666,回车后打开登录界面,如图19- 4所示。注意“http”后面带一个“s”。 录到防火墙后,你可以通过添加/修改接口的IP地址及管理主机IP地址 ,然后根据防火墙中所设置的管理主机IP地址、接口IP地址重新配置PC机的 IP地址及网关。本例中根据内网IP规划要求,设置防火墙fe2接口为配置接 口,用
6、于连接内部网络,该接口 IP地址设置为172.16.0.1,并添加管理主 机IP地址为172.16.0.2。所以,当重新配置管理机的IP地址、子网掩码及网 关后在打开的IE地址栏中输入https:/172.16.0.1:6666,就可以打开防火 墙登录界面。如图19-5所示。 图19-5 防火墙登录界面图19-4 防火墙登录界面3、输入默认的帐号及口令,单击“登录”按钮,打开防火墙配置窗口,如图 19-6所示。 图19-6 防火墙首页4、配置管理方式 单击窗口左列表中的“管理配置”“管理方式”,如图19-7所示。图19-7 管理方式5、配置管理主机单击窗口左列表中的“管理配置”“管理主机”,单
7、击“添加主机 ”按钮,输入管理主机的IP地址,如172.16.0.2,设置完成后将保存在列 表中,如图19-8所示。图19-8设置管理主机IP6、配置管理员帐号单击窗口左列表中的“管理配置”“管理员帐号”,打开配置窗口 如图19-9所示。图19-9 设置管理员帐号7、配置接口(端口)IP地址单击窗口左列表中的“网络配置”“接口IP”,打开的配置界面如图 19-10所示。接着根据内外网络的网线所插入防火墙的接口来配置相应的接口 IP地址。假设fe2网络接口连接内部网络,fe3网络接口连接外部网络,则fe2 接口的IP地址配置为内网保留IP地址,如172.16.0.1;fe3接口的IP地址配置 为
8、外网真实IP地址,如61.131.24.244。图19-10 接口IP地址8、配置策略路由单击窗口左列表中的“网络配置” “策略路由”,打开配置界面如图 19-11所示。单击“添加”按钮,打开编辑策略路由的窗口,如图19-12所示。图19-11 策略路由列表图19-12 编辑策略路由9、添加安全规则单击窗口左列表中的“安全策略”“安全规则”,在右窗口中的点击“ 添加”按钮,弹出“安全规则维护”对话框,如图19-13所示。 在“安全规则维护”对话框中可以添加网络地址转换(NAT)、包过滤、IP地 址映射、端口映射等类型的安全规则。配置NAT规则,可以使内部网络中使用 私有IP地址的主机访问Int
9、ernet资源;配置包过滤规则,可以阻止非法用户访 问网络资源;配置IP地址映射和端口映射规则,可以实现将内网中的网络服务 器公布于Internet上,以供外网用户访问。图19-13安全规则维护1)、添加NAT规则在“安全规则维护”对话框中,规则序号和规则名可随意命名。源地址表 示本地网络的地址,你可以选择“手工输入”或选择已定义的列表名称,如DMZ 名称(不过列表各个名称所对应的地址必须预先在“对象定义地址地址列表 ”中定义好)。目的地址是指你要访问的目标网络,选择“any”,表示到任何 地方。服务选项中可以选择具体的某个服务(如http,ftp等),表示只开放该 服务项,如果选择“any”
10、,则表示开放所有的服务。本例以配置内网中私有IP 地址为172.16.0.0-172.16.8.254转换成公网IP地址为61.131.24.244,从而实 现访问外网的所有服务,具体配置如图19-14所示。图19-14 添加NAT规则2)、添加包过滤规则添加包过滤规则相当于在路由器的命令行方式下配置访问控制列表,以允 许或禁止相应的用户访问网络资源,具体配置如图19-15、23-16所示。 图19-15中所配置的包过滤规则内容是:允许源IP地址为192.168.10.200的主 机访问目的IP地址为192.168.10.5这台WEB服务器。图19-15 添加包过滤规则图19-16 添加包过滤
11、规则图19-16中所配置的包过滤规则内容是:允许源IP地址为192.168.10.200 的主机访问目的IP地址为192.168.10.5这台FTP服务器。3)、添加IP映射规则IP映射通常是一对一的,即一个内 网私有IP地址和一个公网IP地址建立映 射关系。方法是将内网中使用私用IP地 址的服务器映射成一个具体的公网IP地 址,或者说将公网IP地址映射到内网中 的某个具体的私有IP地址。这样,当外 网用户访问该公网IP地址时,系统会自 动转到所映射的内网私有IP地址的主机 ,该主机通常提供某种网络服务,如WEB 服务、FTP服务器。所以,IP映射主要应 用于将内网的服务器发布于Interne
12、t上 ,以供外网用户访问,如WEB服务器、 FTP服务器、E-mail服务器等。配置如图 19-17所示。 图19-17添加IP映射规则4)、添加端口映射规则端口映射与IP映射的区别在于IP 映射将提供所有的端口服务,而端口 映射是指提供具体的某个端口服务, 如提供FTP服务的端口号默认为21、 HTTP服务的端口号默认为80。本例中 假设内网FTP服务器使用私有IP 地址 为192.168.10.6,当该内网IP地址与 公网IP地址61.131.24.244建立映射 关系后,外网用户访问 61.131.24.244这个公网IP地址时, 防火墙将自动转到内网中IP地址为 192.168.10.
13、6这台FTP服务器。这样 ,就实现将内网FTP服务器发布于 Internet上了。具体配置如图19-18 所示。 图19-18 添加端口映射10、配置防火墙接口具有抗攻击能力单击窗口左列表中的“安全策略”“抗攻击”按钮,选择窗口右列表相 应的接口,然后单击“编辑”按钮,弹出该接口的抗攻击设置对话框,如图19 -19所示。打勾“启用抗攻击”复选框及相应的抗攻击类型选择,单击“确定 ”按钮,完成设置。图19-19 抗攻击设置11、使用“初始向导”功能配置防火墙首次使用防火墙,我们可以通过“初始向导”来对防火墙进行简单的配 置,但初始向导只能配置防火墙具备基本的使用功能。配置步骤如下。 1)、登录到
14、防火墙后,单击界面中的“初始向导”按钮,弹出修改管理员口 令的窗口如图19-20所示。 2)、单击“下一步”按钮,设置工作模式,这里设置成路由模式。 3)、单击“下一步”按钮,设置连接内外网的接口IP 地址及子网掩码,如 图19-21所示。图19-21 设置接口IP 图19-20 修改管理员口令4)、单击“下一步”按钮,设置默认网关IP地址,如“61.131.24.241”。5)、单击“下一步”按钮,设置管理主机,这里输入“172.16.0.2”。6)、单击“下一步”按钮,配置安全规则,如图19-22所示,这里的源IP地址和 掩码可设置成内网的IP地址,而目的地址的IP地址和掩码可设置成公网IP地址 ,目的在于将内网的私有IP地址转换成公网IP地址。7)、完成安全规则配置后,单击“下一步”按钮,进入设置管理方式界面。8)、完成管理方式配置后,单击“下一步”按钮,完成防火墙的初始配置。 图19-22 配置安全规则
