《一步一步教你配置硬件防火墙》由会员分享,可在线阅读,更多相关《一步一步教你配置硬件防火墙(24页珍藏版)》请在金锄头文库上搜索。
1、一步一步配置一步一步配置 硬件防火墙硬件防火墙集团信息技术总部 苏亮2009年9月提纲 防火墙的配置准备(位置、接口IP、路由) 防火墙的NAT策略 NAT上网、时间限制、服务限制、连接数限制、带 宽限制. 防火墙的端口映射备注:主要是中兴防火墙配置防火墙的配置准备防火墙(双机 )Internet接入switch核心三层交换机SDH专线防火墙 路由器路由器一、九州通网络拓朴三层交换机应用服务器终端防火墙 2MB光纤30MB光纤10MB光纤VPN应用服务器终端 集团总部二级公司三级公司VPNVPN应用服务器终端防火墙 VPN双三层交换机冗 余汇聚层交换机三层交换机防火墙/VPN外部服务器 (AM
2、、电子 商务等)DMZ区一级骨干网络;二级内部网络;三级内部网络;四级内部网络。双防火墙冗余双核心交换机冗 余汇聚层交换机10MB光纤 1、连接防火墙(consol口或默认IP) 2、设置防火墙内、外网接口IP 3、配置路由 默认路由:电信或网通提供的网关IP 内网路由:内网三层接口IP防火墙的管理:接口IP防火墙的管理:配置路由默认路由、静态路由、动态路由防火墙管理:管理员及管理IP设置管理员权限:超级管理员、管理员、只读 管理IP:只有可信的管理IP才能直接访问防火墙防火墙相关概念什么是计算机端口如果把IP地址比作一间房子 ,端口就是出入这间房子的门。真正的房子只有几个门,但是一个IP地址
3、的端口 可以有65536个之多!端口是通过端口号来标记的,端口号只有整数,范围是从0 到65535。 端口有什么用呢?我们知道,一台拥有IP地址的主机可以提供许多服务,比如Web服务、FTP服务、SMTP服务等,这些服务完全可以通过1个IP地址来实现。那么,主机是怎样区分不同的网络服务呢?显然不能只靠IP地址,因为IP 地址与网络服务的关系是一对多的关系。实际上是通过“IP地址+端口号”来区 分不同的服务的。(源端口/目的端口) 服务器一般都是通过知名端口号来识别的。例如,对于每个TCP/IP实现来说,FTP服务器的TCP端口号都是21,每个Telnet服务器的TCP端口号都是23,每个TFT
4、P(简单文件传送协议)服务器的UDP端口号都是69。任何TCP/IP实现所提供的服务都用知名的11023之间的端口号。这些知名端口号由Internet号分配机构(InternetAssignedNumbersAuthority,IANA)来管理。 什么是端口映射端口映射:内网的一台电脑要上因特网对外开放服务或接收数据,都需要端口映射。端口映射分为动态和静态.动态端口映射:内网中的一台电脑要访问新浪网,会向NAT网关发送数据包,包头中包括对方(就是新浪网)IP、端口和本机IP、端口,NAT网关会把本机IP、端口替换成自己的公网IP、一个未使用的端口,并且会记下这个映射关系,为以后转发数据包使用。
5、然后再把数据发给新浪网,新浪网收到数据后做出反应,发送数据到NAT网关的那个未使用的端口,然后NAT网关将数据转发给内网中的那台电脑,实现内网和公网的通讯.当连接关闭时,NAT网关会释放分配给这条连接的端口,以便以后的连接可以继续使用。动态端口映射其实也就是NAT网关的工作方式。静态端口映射: 就是在NAT网关上开放一个固定的端口,然后设定此端口收到的数据要转发给内网哪个IP和端口,不管有没有连接,这个映射关系都会一直存在。就可以让公网主动访问内网的一个电脑。防火墙的NAT策略什么是NAT(网络地址转换) 网络地址转换(NAT,Network Address Translation)被广泛应用
6、于各种类型Internet接入方式和备种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。借助于NAT,私有(保留)地址的“内部”网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。 NAT将自动修改IP报文头中的源IP地址和目的IP地址,Ip地址校验则在NAT处理过程中自动完成。NAT实现方式 静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有I
7、P地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对是不确定的,而是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。internetGateway:211.154.0.1/24192.168.1.0/24WAN:211
8、.154.0.6Internal:192.168.1.1/24Catalyst 2924211.154.0.7(Nat以后地址)策略必须包含以下信息: 源IP 目标IP 服务(目标端口) 行为:允许 /拒绝 时间限制 流量限制 连接数限制 应用限制 网址限制 下载限制复杂的NAT策略NAT策略截图(中兴防火墙 )如何做端口映射1、保证需要映射的服务在内网访问正常,明确使用的IP及端口2、要使用的外网IP(只能是硬件防火墙可以使用的)及对外的端口3 、定义该端口并做端口映射4 、做允许外网用户访问该服务的规则5 、测试Internet192.168.1.1WWW服务器 172.16.1.2 80
9、特点: 只有一个公有IP,具有三个不同 的服务器 内部网访问Internet需要做NAT 内外网访问DMZ区的服务器需 要做SAT (端口映射)61.156.37. 102/30NATSAT172.16.1.1IntExtDmz61.156.37. 101/30端口映射策略截图(中兴防火墙)允许从外网访问映射的服务防火墙配置使用技巧1 、单独配置一个接口做管理口2 、只允许可管理 IP能直接访问防火墙3 、VPN和阻止策略放在最前面4、尽量定义一组对象并对组做策略5 、监控防火墙的CPU及内存使用率、连接数是否有 异常,熟悉并利用防火墙的各类日志信息进行相应管理6 、对配置经常备份24医药通九州 健康送万家JOINTOWN GROUP CO., LTD.谢 谢!
