《方正fs防火墙配置介绍》由会员分享,可在线阅读,更多相关《方正fs防火墙配置介绍(56页珍藏版)》请在金锄头文库上搜索。
1、FS防火墙配置,江西南昌电教馆培训,2005年10月24日,主题内容,常用命令介绍 防火墙基本配置和注意事项 案例分析,防火墙常用命令,eraseobj all 清除防火墙配置 initialize 初始化防火墙网口地址 ifconfig 查看网卡IP地址 route 查看防火墙路由表信息版本,防火墙基本配置,初始化,配置顺序,打开SecuwayAdmin连接防火墙,配置对象,包括定义“有效网络”,“路由器”等关键对象,启动“门向导”,将对象配置在相应的位置,配置安全策略和NAT规则,传送并重新启动防火墙,防火墙初始化,配置超级终端,连接串口,必须使用防火墙随机带的串口线,不可以使用Cisco
2、的串口线,超级终端用户名密码默认为“admin”,防火墙初始化,为防火墙配置IP地址,在超级终端中输入“initialize 192.168.1.254”,192.168.0.1/24,防火墙重新启动 Secuwayroot$ Not exist Object id 0x11 Now Write Object Dummy Gate Object Load Success by Ping : ip=c0a801ab, netmask=ffffff00 System Reset ret=c01a7058,防火墙重新启动后,所有网卡的IP地址都是192.168.1.254,防火墙配置-Secuway
3、Admin,在防火墙光盘中有两个文件,一个是SecuwayAdmin.jar,一个是Java环境的安装文件。 首先安装Java环境文件Jre-1.3.x.x.exe 然后双击运行SecuwayAdmin.jar,注意:有些PC机上安装了类似WinRAR的程序,默认情况下会用WinRAR程序打开*.jar文件,在这种情况下,需要启动“打开方式”,然后选择”javaw”打开,防火墙配置-SecuwayAdmin,防火墙配置-SecuwayAdmin,IP地址范围对象的定义,防火墙配置-SecuwayAdmin,路由器对象,防火墙配置-SecuwayAdmin,门向导,防火墙配置-SecuwayAd
4、min,为每一个网卡配置IP地址和有效网络,防火墙配置有效网络,有效网络的概念(重要),有效网络的概念对于方正FS系列防火墙来说至关重要,配置的正确与否直接影响到网络是否正常工作。,有效网络的定义:FS防火墙每个网口所连接的网络范围。FS防火墙会根据有效网络的定义决定向哪个网口转发数据,类似于给每个网口设置路由,,有效网络设置的关键点: 搞清楚每个接口所涵盖的网络范围,精确的定义每个范围,不能多也不能少。 有效网络不仅仅包括网口所在的网段,也要包含该网口连接的路由器或者三层交换后的所有IP地址。 防火墙网口的地址可以包含在有效网络中,也可以不包含。,防火墙配置案例一,IDC托管机房,mail
5、server 61.152.167.251,ftp server 61.152.167.252,web server 61.152.167.253,防火墙,61.152.167.254,61.152.167.250,Netmask: 255.255.255.248,防火墙配置案例一,要求,外部Internet可以访问各服务器的相应服务,外部可以Ping通各服务器以检测服务器是否工作正常。,内部服务器不能主动访问外部Internet。,防火墙配置案例一,分析,IDC托管机房内,内部服务器地址与外部网关地址处在同一网段,这时防火墙可以设置成透明模式,即通常所说的桥模式。这里我们只使用Net 1和N
6、et 3,即内网口和外网口。,这时,防火墙的两端可以任意配置IP地址和路由信息,问题的关键在于,有效网络的正确配置。,防火墙配置案例一,定义对象IP地址范围,防火墙配置案例一,定义对象IP地址范围,防火墙配置案例一,定义对象IP地址范围,防火墙配置案例一,定义对象路由器对象,防火墙配置案例一,门向导配置接口IP地址和有效网络,防火墙配置案例一,门向导配置接口IP地址和有效网络,防火墙配置案例一,门向导配置接口IP地址和有效网络,防火墙配置案例一,配置安全策略,防火墙配置案例二,足够真实IP,mail server 61.152.167.251,ftp server 61.152.167.252
7、,web server 61.152.167.253,192.168.1.0/24,DMZ区,外部网,内部网,192.168.1.254,61.152.167.250,61.152.167.250,61.152.167.254,防火墙配置案例二,要求,内部网使用保留IP地址192.168.1.0/24,并要通过防火墙上Internet。,DMZ区使用真实IP地址,并且只对内部网和外部网开放相应服务。DMZ区服务器不能直接访问内部网和外部网。,防火墙配置案例二,分析,由于内部网使用保留IP地址192.168.1.0/24,所以防火墙要设置从内到外的NAT(SNAT),地址为61.152.167.
8、250。,DMZ区使用真实IP地址,并且只对内部网和外部网开放相应端口。在这种情况下,要把Net 2 Mode Public选项选中。,防火墙配置案例二,定义对象单个IP地址,防火墙配置案例二,定义对象IP地址范围,防火墙配置案例二,定义对象IP地址范围,防火墙配置案例二,定义对象IP地址范围,防火墙配置案例二,定义对象路由器对象,防火墙配置案例二,门向导配置网口IP地址和有效网络,防火墙配置案例二,门向导配置接口IP地址和有效网络,防火墙配置案例二,门向导配置接口IP地址和有效网络,防火墙配置案例二,门向导配置Net 2 Public,防火墙配置案例二,配置NAT策略,防火墙配置案例二,配置
9、安全策略,防火墙配置案例三,真实IP不足,mail server 192.168.2.3,ftp server 192.168.2.2,web server 192.168.2.1,192.168.1.0/24,DMZ区,外部网,内部网,192.168.1.254,192.168.2.254,61.152.167.250,61.152.167.254,61.152.167.249,防火墙配置案例三,要求,内部网使用保留IP地址192.168.1.0/24,但是要通过防火墙上Internet。,DMZ区同样使用保留IP地址192.168.2.0/24,只对内部网和外部网开放相应服务。DMZ区服务
10、器不能直接访问内部网和外部网。,防火墙配置案例三,分析,由于内部网使用保留IP地址192.168.1.0/24,所以防火墙要设置从内到外的NAT,地址为61.152.167.250,DMZ区同样要设置NAT,但是是从外到内的。只对内部网和外部网开放相应端口。在这种情况下,不要把DMZ Public选项选中。,防火墙配置案例三,定义对象单个IP地址,防火墙配置案例三,定义对象单个IP地址,防火墙配置案例三,定义对象IP地址范围,防火墙配置案例三,定义对象IP地址范围,防火墙配置案例三,定义对象IP地址范围,防火墙配置案例三,定义对象路由器对象,防火墙配置案例三,门向导配置网口IP地址和有效网络,
11、防火墙配置案例三,门向导配置网口IP地址和有效网络,防火墙配置案例二,门向导配置接口IP地址和有效网络,防火墙配置案例三,配置NAT策略,防火墙配置案例三,配置安全策略,不同版本的注意事项,Firmware为1.6和2.0/3.0的配置的不同,“超级终端”中输入“version”命令确认方通防火墙的Firmware版本,Secuwayroot$ version OS version 2.2.13 #2118 Tue Feb 3 16:16:58 KST 2004 Firmware Version=1.6.2.2 Model=2, Revision=2 Compile Option=GATE_V
12、2 PKI_VERSION CENTER_V2 UDP_ENCAPS MANUAL_IPSEC K4_AUTH PSKEY PSKEY_EX USER_LIMIT ACCEPT_MULTICAST ANONYMOUS_L2TP RT_SCRIPT RIP VRRP AUTOUP DMZ_VIP CHK_INT,GATE100root$ version FOS version 2.5.67 #15 Mon Nov 1 17:26:15 KST 2004 Firmware Version=2.0.1.5 Model=2, Revision=6 Option=GATE_V2 Ramdisk Vers
13、ion=1.0.0.4, patch=p2a3,Firmware 1.6版的信息,Firmware 2.0版的信息,不同版本的注意事项,如果为2.0的版本,在配置案例二、三时要注意Net 3的public选项,如果为2.0的版本,需要把Net 3的Public的选项选中,方正信息安全公司,Tel: 8008101353(5*8小时免费) 021-24028515(7*24小时) 021-24028927 ,010-62579955-6746 (5*8小时) Fax: 021-24028518 Email: Site: Address: 北京市海淀区上地信息产业基地五街9号方正大厦附四楼Postal code:100085,谢谢,
