精品文档防火墙配置与应用(五)神码防火墙产品配置DNAT/SNAT、实训目的1. 掌握神码防火墙基本配置方式2. 掌握防火墙基本配置步骤3. 了解防火墙的DNAT/SNAT配置、实训设备和工具神码防火墙,PC机,con sole线,网线、实训内容和步骤任务1 •配置接口地址可以采用多种方式连接防火墙:1) 通过CONSOLE配置防火墙管理口 ethO的IP地址与管理方式(默认 ethO接口 IP为192.168.1.1 ;还可以配置防火墙的超时返回时间等如图 1-12所示DCF^-1800# cMf DCFW-lSOOCconfig)# console timeout 0 DCF^-lSOOfconfi gi* web ximeout 120 DCFW-lS00(confi g)# .图1-12 通过CONSOLE 口配置防火墙2) 使用Telnet方式登录防火墙进行配置3) 通过 WebUI登录防火墙界面,用双绞线连接计算机与 FW-1800防火墙ETH0接口, 将计算机网卡IP地址配置成192.168.1.X通过防火墙的默认 eth0接口地址192.168.1.1登 录到防火墙界面进行接口配置,如图 1-13 所示,下面的配置步骤都采用这种方式进行,人机交互良好,容易上手。
图1-13 登录WebUI输入默认的用户名:admin,密码:admin,单击"登录”按钮选择"网络连接”中的 “接口视图”查看接口的状态,如图 1-14所示DCF05脅主1□1妥主屣屢口穩讯11切□毎刃lamt 口 lljW母NAT <*-*-*.图1-14查看接口单击“网络连接”一一选择 eth1接口,双击“操作”配置外网接口地址本任务将 eth1接口绑定为三层安全域,更改地址为 202.20.2.67.23/27,所属安全域为 untrust,如图1-15所示DCFOS■ NAT -坤由'IPSSCVF 唏 SSL VPh 邕 L2TP VP *用戶识别 802.IX-匿氓ft輻;网緖谆捋云服务1云识别名称:ethernetO/1外网摄口(0-63JW販安全域:-f三罢安全就一二■>二是安全域安全域:intrustIPS置冀型;・靜态IP o自动菽职■ ■ PPPaE¥ ■IP地址:202.202.67.23网络掩码:255.255.255.224接口配置堂:H 启地 \L^£S v RID图1-16 配置外网接口精品文档同样方法设置eth1接口地址和所属安全域,最终接口列表如图 1-17 所示配置网络• SfJt •| W褊蜡音腳辞投索接口£■口矮口名痂Jp/ft 码□ethernetOA1BthernetO/1ethernetO/2192,168.1.1/24202.202.67.23/27192.100.1/24接口视團• NAT路由• IPsec VPN ® SSL WN图1-17防火墙接口地址任务2 .添加路由添加到外网的默认路由, 依次执行“网络”一一“路由”一一“目的路由”一一“新建” 命令,新建路由条目,添加默认路由,指向 外网接口或者下一跳地址。
如图 1-18所示DCFOS配置trust-vr IP:/下一跳:网路•*网辭连接 备NAT目的歸目紘; 子网淹码: 下一跳:郎 IPsecVPh 申 SSL WNW L2TP VPN 卢用尸识别 902. IX 匚旌谿血戟均Zlo^ao.o ~耳他系统虚拟路由器云腥务1云识别安全幅策曙取击防护=3 ARP防护接口;网关: 优先权: 路由权値:茹述;J网关当前系统虚拟路由器诵定 眼消图1-18 添加下一跳路由任务3 •设置地址簿WebUI :选择右上角“对象用户” —— “地址簿” —— “新建” ,将内网192.168.1.0网段命名为“ lan-1 ”如图1-19所示图1-19配置地址簿同样方法建立服务器地址簿,将 DMZ区域中192.168.100.100设置名称 web-server,外网接口地址命名为 eth1,最终地址簿如下图1-20所示图1-20地址簿列表任务4.添加SNAT策略NAT规则基于“ NAT选项”模块创建并生效用户可以进行创建、修改、删除 NAT/端口映射规则等WebUI: “网络”—— “ NAT”选项——“源 NAT”—— 新建NAT”,可对源NAT进行 相应配置,内部访问外网时转换成外网接口地址的动态端口方式。
如图 1-21所示DCFOS目酣’JT 昨左强状丁虚拟歸由器:trust-v 7 源增址: 目的ift址:*网络连接网络连接■■路由■■路由S rn 一SSL VPN絵用F识别802,IX軒用戶识别802. IXlb 土阳口Ft 土阳口賦品置辜本配青 車爸阳晋当沪地址符合I.丄下条件时源地址:用来匹配流量的源 IP地址源地址可以直接输入 IP地址,也可以选择地址簿目的地址:用来匹配流量的目的 IP地址目的地址可以直接输入 IP地址,也可以选择地址簿设置目的NAT目的NAT是指转换前目的IP地址和转换后目的IP地址不同(对于TCP/UDP协议,也 可以改变端口号),数据进入防火墙后,防火墙将其目的地址进行了转换后再将其发出,使 看不到数据包原来的目的地址DCFW-1800防火墙通过“目的地址”来进行对内网服务器的发布1)依次点击“ NAT” 一一 “目的NAT” 一一 “新建一一端口映射”选项,设置目标 地址和映射地址、端口等选项,如图 1-22所示目的地址:外网用户要访问的合法 IP,即内部全局地址映射地址:内网实际的服务器对象9 指定的NAT转换IP地址个数必须同目的IP地址个数相同。
DCFOS会主戛■ | HJ|遵憶址(凉整目的塊址;服务:路由 厂 psecvprSSL VPN 蛍 L2TP VPN f用户识别 '■- Q02.1X 1链豁金載均云服劳 更云碣」安全■最略玫击肪护 Q馭喰护控制畔流虽营理 口金懈艮制 世 URLjili®F-fc GTTfT?^腐口映射配宜日的也址(廉鳩〕巌势确定 职消图1-22 设置端口映射任务5 •设置安全策略1)选择“安全一一策略一一新建”1-23所示建立一个规则使内网主机可以访问外网任意服务1主页#策喀配置□涙蜀全感:Anyy 目的贸全就:Any+遅tti扯:DCFOS目她址:*冋馬诠接• NAT 宰賂曲»• IPsecVPf- 電 SSL VPN 鱼 L2TP VPN f用户识别B02.1X;铤路员瑟均云服劳直云识别妄金壊击助沪b arpBj护嗟制0盘诒限制.临URL甩:谑•新建 16删除 0荼用 吩克厘 ¥优先级 £1图1-23 FTP目的NAT端口映射配置i网页关腿宇2) 创建安全策略,允许 wan区域用户访问 DMZ区域server的Web应用3) 最终安全策略列表,如图 1-24所示it也*砂飞凶71 14nf 亍日的去全亶:E -盘虑址:目的帽址: JG$: 幌用:F¥31・FBSiS靈+- -• NATnm砂■ 户r用户时■務也E7 1lan-wa^ e ■trurt lti trustdkilV拥[Psec: ^Pf • 55LWN□ 1 £WDMZ 0 ■Any drriEAnvWi-ftg) 書曾严目rvm;羸址HTTP图1-24 内网访问安全策略配置任务6•配置管理权限因为为便于内网管理员对防火墙进行 WebUI管理,需要在内网区域上边开放 WebUI管理权限。
进入“系统管理” > “设备管理”可以设置对访问的端口号、更改管理默认密码或新增管理员、设置可管理防火墙主机,设置密码强度等如图 1-25、1-26、1-62、1-27所示京统管理・ 对象用户k配置备份还原配置文件管理设备管理f.■日期和时许可证HA短信口令认证参数SNMP系统工具 版本升级图1-25设备管理靠统维护 茶统借息语音: a中交 •英文 舉霍•亦信J即 骨理员认证服勢器:local v主机配宣主机名称;DCFW-18M(153)宇符域名:1(0-255)^密码策略密码垠小长度: |斗 (4-16)密码复杂度;・无限制密码効繩赳括至少两牛大写字母'两呼 符(SD®铲)图1-26更改设备登录密码图1-27 防火墙配置操作界面图然后对保存本次配置,点击浏览器右上角的“系统管理 -配置文件管理”,可以对配置进行保存,最后对本次配置进行导出备份,以防万一还可以选择“导出”对配置进行异地保 存如图1-28所示图1-28导出配置文件点击“当前系统配置,可以查看配置的命令内容如图 1-29 所示配置文件管理配晋立件列表 当箭羞编配罟'1527168.100.^2" port 80 Ip route 0.0.0.0/0 etherneto/l exit rule id 1action permit src立one "trust" dst-zone "untrust" src-addr "lan-1" dst-addr "Any" service lbAnyu description "内网到外网" name 'Ian-wan1exitrule id 2action permit dst-zone "dmz" src-addr "Anyd| dst-addr "web-server" service "HTTP" description场问内网vreb服务器"图1-29查看配置文件。