收藏
下载资源

《防火墙培训》ppt课件

上传人:tia****nde 文档编号:70594063 上传时间:2019-01-17 格式:PPT 页数:36 大小:2.79MB
返回 下载 相关 举报
《防火墙培训》ppt课件_第1页
第1页 / 共36页
《防火墙培训》ppt课件_第2页
第2页 / 共36页
《防火墙培训》ppt课件_第3页
第3页 / 共36页
《防火墙培训》ppt课件_第4页
第4页 / 共36页
《防火墙培训》ppt课件_第5页
第5页 / 共36页
点击查看更多>>
资源描述

《《防火墙培训》ppt课件》由会员分享,可在线阅读,更多相关《《防火墙培训》ppt课件(36页珍藏版)》请在金锄头文库上搜索。

1、防火墙配置培训,培训内容 第一部分 防火墙初始配置 第二部分 防火墙源NAT配置 第三部分 防火墙目的NAT配置,第一部分 防火墙初始配置,初始化的内容,由于大多数用户习惯于使用图形化界面对设备进行配置,所以我们这里讲的初始化的目的是:在能对防火墙使用图形化界面管理之前需要事先做好的配置。 可采用以下任意两种方法: 使用防火墙初始IP对其进行配置 使用Console口进行配置 配置接口地址 添加管理服务 添加具有管理权限的主机地址,使用防火墙初始IP对其进行配置,缺省出厂时防火墙Eth0/0接口IP为192.168.1.1/24 可将管理主机IP配置为192.168.1.0/24网段IP与防火

2、墙eth0/0接口相连,通过WEB登陆防火墙管理界面 在浏览器地址栏中输入以下两种URL均可 http:/192.168.1.1 https:/192.168.1.1 - 经过SSL加密推荐使用,缺省登陆 用户名:admin 密 码:admin,通过Console管理,在出厂缺省配置被修改或其他无法通过WEBUI管理的情况下可通过console口登陆管理 终端登陆参数设置如下:,初始登陆用户名:admin 密码:admin,Console口初始配置步骤,对防火墙的初始管理配置包括以下几步: 将接口加入指定的安全域(先) 指定接口IP(后) 指定接口管理服务 指定接口管理IP(可选) 添加可信任

3、的管理主机IP,Console口初始配置步骤,先将接口加入指定的安全域,login: admin password: DCFW-1800# config DCFW-1800(config)# int eth0/1 DCFW-1800(config-if-eth0/1)# ip address 192.168.10.1/24 2008-06-26 14:56:14, Event ERRNET: Failed to execute configuration command interface ethernet0/1 :ip address 192.168.10.1 255.255.255.0 e

4、rror:the interface doesnt bind to any zone, please bind to a zone before config ip address,如果接口没有加入安全域前先添加接口IP将出现如上错误提示,Console口初始配置步骤,先将接口加入指定的安全域,DCFW-1800(config-if-eth0/1)# zone untrust -将接口添加到安全域中 DCFW-1800(config-if-eth0/1)# ip address 192.168.10.1/24 -为接口配置IP地址 DCFW-1800(config-if-eth0/1)# ma

5、nage http -对该接口启用http管理服务 DCFW-1800(config-if-eth0/1)# manage https -对该接口启用https管理服务 DCFW-1800(config-if-eth0/1)# manage telnet -对该接口启用telnet管理服务 DCFW-1800(config-if-eth0/1)# manage ssh -对该接口启用ssh管理服务 DCFW-1800(config-if-eth0/1)# manage ping -该接口允许ping DCFW-1800(config-if-eth0/1)# manage ip 192.168.

6、10.2 -为接口指定管理IP(可选) (建议仅仅开放需要的管理服务,推荐WEBUI采用https,CLI采用SSH),Console口初始配置步骤,具有安全意义的步骤,添加可信任的管理主机 DCFW-1800(config)# admin host ? any Any ip address A.B.C.D Host IP address DCFW-1800(config)# admin host 192.168.1.0 255.255.255.0 ? any Allowed any login type http Allowed login from http https Allowed l

7、ogin from https ssh Allowed login from ssh telnet Allowed login from telnet DCFW-1800(config)# admin host 192.168.1.0 255.255.255.0 https,这表示192.168.1.0/24网段的设备都具备对防火墙的https管理权限,(完成以上配置就可通过WEBUI方式对防火墙进行管理),Console口初始配置步骤,具有安全意义的步骤,修改缺省管理员admin口令 DCN(config)# admin user admin DCN(config-admin)# passw

8、ord q!Jiwx$*lc2H64cd# 修改缺省的管理服务端口 DCN(config)# http port 8088 DCN(config)# https port 1211 创建具有不同权限的管理员 需要使用admin账户创建新的管理员账户,并可对其修改、删除。 使用admin添加的新管理员账户可赋予不同的权限(读、写)。 使用admin添加的新管理员账户可赋予不同的管理方式。,恢复出厂配置,CLI 命令: unset all WebUI 系统 维护 配置 管理重置 硬件 开机加电前按住前面板“CLR”,然后加电;加电15秒后松开。,常用查看命令,Show config Show ve

9、rsion Show interface Show zone Show ip route Show admin user/host/auth-server Show arp,第二部分 防火墙源NAT配置,案例描述,需求描述 配置防火墙使内网192.168.1.0/24网段可以访问internet,配置步骤,将接口加入所属的安全域并为接口配置IP地址 添加路由 配置源NAT 添加安全策略 保存配置,配置步骤,将接口加入所属的安全域并为接口配置IP地址,CLI下先配置eth0/0接口 DCFW-1800# config DCFW-1800(config)# interface eth0/0 DCF

10、W-1800(config-if-eth0/0)# zone trust -将eth0/0接口加入trust安全域 DCFW-1800(config-if-eth0/0)# ip add 192.168.1.1/24 DCFW-1800(config-if-eth0/0)# manage https DCFW-1800(config-if-eth0/0)# manage ping 添加管理主机 DCFW-1800(config)# admin host any any,任意地址,任意管理方式,配置步骤,将接口加入所属的安全域并为接口配置IP地址,通过WEBUI登陆防火墙,配置外网口所属安全域及

11、IP,只有指定安全域类型为“三层安全域”时才能给接口配置IP,配置步骤,添加路由,这里添加的是到外网的缺省路由 下一跳网关地址为222.1.1.1,在“目的路由”中“新建”路由条目,这里的子网掩码既可以写成0也可以写成0.0.0.0,防火墙会自动识别,配置步骤,配置源NAT,在“源NAT”中“新建”源NAT条目,出接口选择外网口,内网访问Internet时转换为外网接口ip,配置步骤,添加安全策略,在“安全”-“策略”中选择好“源安全域”和“目的安全域”后,新建策略。,若对策略中的各个选项有更多配置要求可点击“高级配置”进行编辑,配置步骤,添加安全策略-安全策略高级配置模式,安全策略的高级配置

12、模式可以对各选项做出更多编辑。,添加多个源地址,添加多个目的地址,添加多个服务对象,可以添加时间对象以限制该策略仅在某个时段有效,激活高级配置模式,配置步骤,保存配置,所有配置在点击“确定”后立即生效,但并未保存到防火墙的启动配置中,所以为防止配置丢失需要对配置进行保存。通过给配置文件命名,防火墙最多可保存10份不同的配置。,点击“保存”,可以赋予配置文件不同的名称以对不同时间的配置加以区分,第三部分 防火墙目的NAT配置,案例描述,需求描述 使用外网口IP为内网FTP Server及WEB ServerB做端口映射,并允许外网用户访问该Server的FTP和WEB服务,其中Web服务对外映射

13、的端口为TCP8000。 允许内网用户通过域名访问WEB ServerB(即通过合法IP访问)。 使用合法IP 218.240.143.220为Web ServerA做IP映射,放允许内外网用户对该Server的Web访问。,配置步骤,需求1配置步骤,使用外网口IP为内网FTP Server及WEB ServerB做端口映射,并允许外网用户访问该Server的FTP和WEB服务,其中Web服务对外映射的端口为TCP8000。 配置目的NAT 创建安全策略放行外网用户的访问。,配置步骤,需求1配置步骤-准备工作,定义服务对象。,我们要映射的端口为目的端口,端口号只有一个,所以只填写最小值即可,因

14、为此处定义的TCP8000端口将来为HTTP应用,所以要需要与应用类型管理,以便让防火墙知道该端口为HTTP业务使用,配置步骤,需求1配置步骤-配置目的NAT,配置目的NAT,为trust区域server映射FTP(TCP21)和HTTP(TCP80)端口。,此地址即外网用户要访问的合法IP。因为使用防火墙外网口IP映射,所以此处引用防火墙中缺省定义的地址对象ipv4.ethernet0/1。该对象表示Eth0/1接口IP,代表内网服务器的实际地址对象,webB Server对外宣布web服务端口为TCP8000,webB Server真实的web服务端口为TCP80,配置步骤,需求1配置步骤

15、-创建安全策略,创建安全策略,允许untrust区域用户访问trust区域server的FTP和web应用。,目的地址要定义为server映射前的合法IP。所以这里要选择代表外网口IP的地址对象,从左边的可用成员中选中相应的服务对象推入右侧组成员中,配置步骤,需求2配置步骤,允许内网用户通过域名访问WEB ServerB(即通过合法IP访问) 实现这一步所需要做的就是在之前的配置基础上,增加Trust - Trust的安全策略,目的地址为转换前的合法IP。,配置步骤,需求3配置步骤,使用合法IP 218.240.143.220为Web ServerA做IP映射,放允许内外网用户对该Server

16、的Web访问。 使用IP映射配置目的NAT 创建安全策略,允许untrust用户对Web ServerA的web访问,配置步骤,需求3配置步骤-准备工作,定义地址对象。,使用“IP成员”选项定义DMZ区域的server地址,使用“IP成员”选项定义要映射的合法IP,配置步骤,需求3配置步骤-配置目的NAT,为DMZ区域的Web ServerA配置静态IP映射。,对外宣告的合法IP,用真实地址定义的地址对象,配置步骤,需求3配置步骤-创建安全策略,创建安全策略,允许untrust用户访问Web ServerA的HTTP应用。,目的地址为转换前的合法IP。,配置步骤,需求3配置步骤-创建安全策略,创建安全策略,允许trust用户访问Web ServerA的HTTP应用。,目的地址为转换前的合法IP。,谢 谢 !,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号