文档介绍:防火墙配置手册防火墙形态类似于一台路由器设备,是一台特殊的计算机。以天融信防火墙(TOPSECFireWallARES-M)为实例,来测试防火墙各区域的访问控制机制:目标一:了解访问策略的原理与作用。通过设置访问策略,(企业内联网),SSN(安全服务区,即DMZ(非军事区),(互联网)区域之间访问控制机制。目标二:了解NAT原理与作用。测试内网通过NAT方式相互访问。并通过NAT访问因特网,过滤特定网站和特定网页。目标三:了解MAP原理与作用。测试外网通过MAP访问企业内部服务器。了解防火墙三种接入模式。内部网络Webe-:-::、通过防火墙的路由功能实现访问控制,操作步骤如下:STEP1:线路连接根据图示设置主机IP地址(注意主机IP与连接的防火墙端口地址为同一网段,不能与连接的防火墙端口地址冲突),设置防火墙本区域端口IP地址为主机网关地址。测试能否PING通防火墙端口IP地址。上半部份STEP2:通过软件登陆Firewall打开防火墙配置软件“TOPSEC集中管理器”,‘新建项目’,输入防火墙本区域端口IP地址,登陆到防火墙。查看防火墙“基本信息”和“实时监控”, 了解其他各菜单功能。说明:登陆下列其中一个用户:user1/2/3/4/5/6/7/8/9/10,口令为:123456防火墙配置一般有三种方式:B/S配置,C/S配置,。区域之间缺省权限的设置STEP3:防火墙区域缺省权限设置‘网络’→‘区域’→防火墙三个区域→‘缺省访问权限’设为允许访问。操作说明:选择“可读、可写、可执行”选项,表示为允许访问。本机PING其他区域内主机,测试连通性。‘网络’→‘区域’→防火墙三个区域→‘缺省访问权限’设为禁止访问。操作说明:不选择“可读、可写、可执行”选项,表示为禁止访问。本机PING其他区域内主机,测试连通性。第四个区域area_4为该软件上带的区域名,可不管,实际硬件上没有。缺省访问权限是指区域之间主机的默认权限。如果是PING本区域内主机,由于是通过交换机进行通信,防火墙不能控制同一区域主机之间的权限,本区域内主机是能够连通的。主机节点对象的建立接下来在防火墙三个区域‘缺省权限’设为‘禁止访问’的情况下,做以下步骤:STEP4:主机节点对象建立高级管理→网络对象→本主机所在区域→定义新对象→定义节点把本主机IP地址定义为一个节点。定义名称可任意,物理地址可不填。说明:定义对象应在该对象所在区域内设置。本机在哪个区域,则在那个区域内设置。定义节点针对一个主机定义,定义子网可定义一个网络地址段。定义对象没有任何权限的作用,只有通过访问策略(STEP5设置)调用这些对象才能设置权限。