方正防火墙认证工程师培训FS防火墙配置PPT推荐.ppt

方正防火墙认证工程师培训FS防火墙配置PPT推荐.ppt

《方正防火墙认证工程师培训FS防火墙配置PPT推荐.ppt》由会员分享，可在线阅读，更多相关《方正防火墙认证工程师培训FS防火墙配置PPT推荐.ppt（60页珍藏版）》请在冰豆网上搜索。

,有效网络的定义：

方通防火墙每个网口所连接的网络范围。

方通防火墙会根据有效网络的定义决定向哪个网口转发数据，类似于给每个网口设置路由，,有效网络设置的关键点：

搞清楚每个接口所涵盖的网络范围，精确的定义每个范围，不能多也不能少。

有效网络不仅仅包括网口所在的网段，也要包含该网口连接的路由器或者三层交换后的所有IP地址。

防火墙网口的地址可以包含在有效网络中，也可以不包含。

防火墙配置案例一,IDC托管机房,mailserver61.152.167.251,ftpserver61.152.167.252,webserver61.152.167.253,防火墙,61.152.167.254,61.152.167.250,Netmask:

255.255.255.248,防火墙配置案例一,要求,外部Internet可以访问各服务器的相应服务，外部可以Ping通各服务器以检测服务器是否工作正常。

内部服务器不能主动访问外部Internet。

防火墙配置案例一,分析,IDC托管机房内，内部服务器地址与外部网关地址处在同一网段，这时防火墙可以设置成透明模式,即通常所说的桥模式。

这里我们只使用Net1和Net3，即内网口和外网口。

这时，防火墙的两端可以任意配置IP地址和路由信息，问题的关键在于，有效网络的正确配置。

防火墙配置案例一,定义对象IP地址范围,防火墙配置案例一,定义对象IP地址范围,防火墙配置案例一,定义对象IP地址范围,防火墙配置案例一,定义对象路由器对象,脚本设置,防火墙配置案例一,防火墙配置案例一,门向导配置接口IP地址和有效网络,防火墙配置案例一,门向导配置接口IP地址和有效网络,防火墙配置案例一,门向导配置接口IP地址和有效网络,防火墙配置案例一,配置安全策略,防火墙配置案例二,足够真实IP,mailserver61.152.167.251,ftpserver61.152.167.252,webserver61.152.167.253,192.168.1.0/24,DMZ区,外部网,内部网,192.168.1.254,61.152.167.250,61.152.167.250,61.152.167.254,防火墙配置案例二,要求,内部网使用保留IP地址192.168.1.0/24，并要通过防火墙上Internet。

DMZ区使用真实IP地址，并且只对内部网和外部网开放相应服务。

DMZ区服务器不能直接访问内部网和外部网。

防火墙配置案例二,分析,由于内部网使用保留IP地址192.168.1.0/24，所以防火墙要设置从内到外的NAT（SNAT），地址为61.152.167.250。

DMZ区使用真实IP地址，并且只对内部网和外部网开放相应端口。

在这种情况下，要把Net2ModePublic选项选中。

防火墙配置案例二,定义对象单个IP地址,防火墙配置案例二,定义对象IP地址范围,防火墙配置案例二,定义对象IP地址范围,防火墙配置案例二,定义对象IP地址范围,防火墙配置案例二,定义对象路由器对象,脚本设置,防火墙配置案例一,防火墙配置案例二,门向导配置网口IP地址和有效网络,防火墙配置案例二,门向导配置接口IP地址和有效网络,防火墙配置案例二,门向导配置接口IP地址和有效网络,防火墙配置案例二,配置NAT策略,防火墙配置案例二,配置安全策略,防火墙配置案例三,真实IP不足,mailserver192.168.2.3,ftpserver192.168.2.2,webserver192.168.2.1,192.168.1.0/24,DMZ区,外部网,内部网,192.168.1.254,192.168.2.254,61.152.167.250,61.152.167.254,61.152.167.249,防火墙配置案例三,要求,内部网使用保留IP地址192.168.1.0/24，但是要通过防火墙上Internet。

DMZ区同样使用保留IP地址192.168.2.0/24，只对内部网和外部网开放相应服务。

防火墙配置案例三,分析,由于内部网使用保留IP地址192.168.1.0/24，所以防火墙要设置从内到外的NAT，地址为61.152.167.250,DMZ区同样要设置NAT，但是是从外到内的。

只对内部网和外部网开放相应端口。

在这种情况下，不要把DMZPublic选项选中。

防火墙配置案例三,定义对象单个IP地址,防火墙配置案例三,定义对象单个IP地址,防火墙配置案例三,定义对象IP地址范围,防火墙配置案例三,定义对象IP地址范围,防火墙配置案例三,定义对象IP地址范围,防火墙配置案例三,定义对象路由器对象,防火墙配置案例三,门向导配置网口IP地址和有效网络,防火墙配置案例三,门向导配置网口IP地址和有效网络,防火墙配置案例二,门向导配置接口IP地址和有效网络,防火墙配置案例三,配置NAT策略,防火墙配置案例三,配置安全策略,不同版本的注意事项,Firmware为1.6和2.0的配置的不同,“超级终端”中输入“version”命令确认方通防火墙的Firmware版本,Secuwayroot$versionOSversion2.2.13#2118TueFeb316:

16:

58KST2004FirmwareVersion=1.6.2.2Model=2,Revision=2CompileOption=GATE_V2PKI_VERSIONCENTER_V2UDP_ENCAPSMANUAL_IPSECK4_AUTHPSKEYPSKEY_EXUSER_LIMITACCEPT_MULTICASTANONYMOUS_L2TPRT_SCRIPTRIPVRRPAUTOUPDMZ_VIPCHK_INT,GATE100root$versionFOSversion2.5.67#15MonNov117:

26:

15KST2004FirmwareVersion=2.0.1.5Model=2,Revision=6Option=GATE_V2RamdiskVersion=1.0.0.4,patch=p2a3,Firmware1.6版的信息,Firmware2.0版的信息,不同版本的注意事项,如果为3.0的版本，在配置案例二、三时要注意Net2的public选项,如果为3.0的版本，需要把Net2的Private的选项选中,方正信息安全公司,Tel:

8008101353（5*8小时免费）010-82531965（5*8小时）Fax:

010-62981438Email:

Site:

Address:

北京市海淀区上地五街9号方正大厦Postalcode：

100085,谢谢,