《1-7实训指导(神码防火墙配置)》由会员分享,可在线阅读,更多相关《1-7实训指导(神码防火墙配置)(8页珍藏版)》请在金锄头文库上搜索。
1、防火墙配置与应用(五)神码防火墙产品配置DNAT/SNAT一、实训目的1.掌握神码防火墙基本配置方式。2.掌握防火墙基本配置步骤。3.了解防火墙的DNAT/SNAT配置。二、实训设备和工具神码防火墙,PC机,console线,网线三、实训内容和步骤任务1配置接口地址可以采用多种方式连接防火墙:1)通过CONSOLE配置防火墙管理口eth0的IP地址与管理方式(默认eth0接口IP为192.168.1.1);还可以配置防火墙的超时返回时间等。如图1-12所示。图1-12 通过CONSOLE口配置防火墙2)使用Telnet方式登录防火墙进行配置。3)通过WebUI登录防火墙界面,用双绞线连接计算机
2、与FW-1800防火墙ETH0接口,将计算机网卡IP地址配置成192.168.1.X。通过防火墙的默认eth0接口地址192.168.1.1登录到防火墙界面进行接口配置,如图1-13所示,下面的配置步骤都采用这种方式进行,人机交互良好,容易上手。图1-13 登录WebUI输入默认的用户名:admin,密码:admin,单击“登录”按钮。选择“网络连接”中的“接口视图”查看接口的状态,如图1-14所示图1-14 查看接口单击“网络连接”选择eth1接口,双击“操作”配置外网接口地址。本任务将eth1接口绑定为三层安全域,更改地址为202.20.2.67.23/27,所属安全域为untrust,如
3、图1-15所示。图1-16 配置外网接口同样方法设置eth1接口地址和所属安全域,最终接口列表如图1-17所示图1-17 防火墙接口地址任务2添加路由添加到外网的默认路由,依次执行“网络”“路由”“目的路由”“新建”命令,新建路由条目,添加默认路由,指向 外网接口或者下一跳地址。如图1-18所示。图1-18 添加下一跳路由任务3设置地址簿WebUI:选择右上角“对象用户”“地址簿”“新建”,将内网192.168.1.0网段命名为“lan-1”。如图1-19所示图1-19 配置地址簿同样方法建立服务器地址簿,将DMZ区域中192.168.100.100设置名称web-server,外网接口地址命
4、名为eth1,最终地址簿如下图1-20所示。图1-20 地址簿列表任务4添加SNAT策略 NAT规则基于“NAT选项”模块创建并生效。用户可以进行创建、修改、删除NAT/端口映射规则等。WebUI:“网络”“NAT”选项“源NAT”“新建NAT”,可对源NAT进行相应配置,内部访问外网时转换成外网接口地址的动态端口方式。如图1-21所示。图1-21 添加NAT策略源地址:用来匹配流量的源IP地址。源地址可以直接输入IP地址,也可以选择地址簿。 目的地址:用来匹配流量的目的IP地址。目的地址可以直接输入IP地址,也可以选择地址簿。设置目的NAT目的NAT是指转换前目的IP地址和转换后目的IP地址
5、不同(对于TCP/UDP协议,也可以改变端口号),数据进入防火墙后,防火墙将其目的地址进行了转换后再将其发出,使看不到数据包原来的目的地址。 DCFW-1800防火墙通过“目的地址”来进行对内网服务器的发布。 1)依次点击“NAT”“目的NAT”“新建端口映射”选项,设置目标地址和映射地址、端口等选项,如图1-22所示。目的地址:外网用户要访问的合法IP,即内部全局地址映射地址:内网实际的服务器对象 指定的NAT转换IP地址个数必须同目的IP地址个数相同。图1-22 设置端口映射任务5设置安全策略。1)选择“安全策略新建”,建立一个规则使内网主机可以访问外网任意服务1-23所示。图1-23 F
6、TP目的NAT端口映射配置2)创建安全策略,允许wan区域用户访问DMZ区域server的Web应用。3) 最终安全策略列表,如图1-24所示。图1-24 内网访问安全策略配置任务6配置管理权限因为为便于内网管理员对防火墙进行WebUI管理,需要在内网区域上边开放WebUI管理权限。进入“系统管理”“设备管理”可以设置对访问的端口号、更改管理默认密码或新增管理员、设置可管理防火墙主机,设置密码强度等如图1-25、1-26、1-62、1-27所示。 图1-25 设备管理 图1-26更改设备登录密码图1-27 防火墙配置操作界面图然后对保存本次配置,点击浏览器右上角的“系统管理-配置文件管理”,可以对配置进行保存,最后对本次配置进行导出备份,以防万一。还可以选择“导出”对配置进行异地保存。如图1-28所示。图1-28 导出配置文件点击“当前系统配置,可以查看配置的命令内容。如图1-29所示图1-29 查看配置文件
