文档介绍:防火墙配置防火墙配置
实训手册实训手册
华迪信息. 网络工程中心
防火墙形态防火墙形态
类似于一台路由器设备,是一台特殊的计算机。
配置目标配置目标
以天融信防火墙(TOPSEC FireWall ARES - M) 为实例,来测试防火墙
各区域的访问控制机制:
目标一:
了解访问策略的原理与作用。通过设置访问策略,测试
(企业内联网) ,SSN (安全服务区,即 DMZ (非军事
区) , (互联网)区域之间访问控制机制。
目标二:
了解 NAT 原理与作用。测试内网通过 NAT 方式相互访问。并
通过 NAT 访问因特网,过滤特定网站和特定网页。
目标三:
了解 MAP 原理与作用。测试外网通过 MAP 访问企业内部服务器
。
了解防火墙三种接入模式。
主要功能实现:
1. 访问控制 2. NAT 3. 外网过滤 4. 透明网络 5.
MAP
防火墙在企业网的接入
防火墙
为网络用户提供安
Connection to 全的 接入
work Web e-mail FTP
防火墙
FireWall
DMZ WEB 服务层
Connection to • Web 站点访问过
Connection to
work 滤
–限制对非本企
业业务目的的
Web Site Filter 资源的
内部网络访问
大门
实实 SSN 区域
验验 区域
室室
分分
布布
情情
况况
区域
实验网络结构图实验网络结构图
Web e-mail FTP
DMZ 区
外网
网关: 网关:
防火墙
路由模式
内网
访问控制
测试结构
网关:
上半部份上半部份
一、通过防火墙的路由功能实现访问控制,操作步骤如下:
STEP1: 线路连接
根据图示设置主机 IP 地址( 注意主机 IP 与连接的防火墙端口地址为同一
网段,不能与连接的防火墙端口地址冲突) ,设置防火墙本区域端口 IP
地址为主机网关地址。
测试能否 PING 通防火墙端口 IP 地址。
STEP2: 通过软件登陆 Firewall
打开防火墙配置软件“ TOPSEC 集中管理器”, ‘新建
项目’,输入防火墙本区域端口 IP 地址,登陆到防火墙。查
看防火墙“基本信息”和“实时监控”, 了解其他各菜
单功能。
说明:登陆下列其中一个用户: user1/2/3/4/5/6/7/8/9/10,
口令为: 123456
防火墙配置一般有三种方式:
B/S 配置,C/S 配置,Console 口配置.
本实验防火墙采用 C/S 方式。
区域之间缺省权限的设置区域之间缺省权限的设置
STEP3: 防火墙区域缺省权限设置
‘网络’→‘区域’→防火墙三个区域→‘缺省访问权限’设为允许
访问。
操作说明:选择“可读、可写、可执行”选项,表示为允许访问。
本机 PING 其他区域内主机,测试连通性。
‘网络’→‘区域’→防火墙三个区域→‘缺省访问权限’设为禁止
访问。
操作说明:不选择“可读、可写、可执行”选项,表示为禁止访问。
本机 PING 其他区域内主机,测试连通性。
第四个区域 area_4 为该软件上带的区域名,可不管, 实际硬件上没有
。
缺省访问权限是指区域之间主机的默认权限。
如果是 PING 本区域内主机,由于是通过交换机进行通信,防火墙不能
控制同一区域主机之间的权限,本区域内主机是能够连通的。
主机节点对象的建立主机节点对象的建立
接下来在防火墙三个区域‘缺省权限’设为‘禁止访问’的情况下,
做以下步骤:
STEP4: 主机节点对象建立
高级管理→网络对象→本主机所在区域→定义新对象→定义节点
把本主机 IP 地址定义为一个节点。定义名称可任意,物理地址
可不填。
说明:定义对象应在该对象所在区域内设置。本机在哪个区域,则
在那个区域内设置。定义节点针对一个主机定义,定义子网可定义一个
网络地址段。定义对象没有任何权限的作用,只有通过访问策略
( STEP5 设置)调用这些对象才能设置权限。