实验七防火墙透明模式配置Word文档下载推荐.docx
《实验七防火墙透明模式配置Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《实验七防火墙透明模式配置Word文档下载推荐.docx(48页珍藏版)》请在冰豆网上搜索。
按照拓扑图,使用二根交叉双绞线将二台PC机与防火墙的对应端口连接在一起(实验验证用)。
防火墙网桥模式初始配置
进入防火墙命令行管理界面,按照拓扑图的IP地址规划,配置防火墙的管理主机地址和LAN口地址,以便进行图形化界面管理。
#ifconfigif1192.168.1.77/24
#adminhostadd192.168.1.10
#apply
#save
修改PC1的地址为拓扑所示(192.168.1.10),则可以通过IE浏览器进行防火墙的安全图形界面管理了。
在系统->
网桥设置中,启用bridge0,并点击右侧修改按钮,如下所示:
点击启用,然后点开网桥bridge0接口设置标签,使用新增按钮分别添加防火墙的lan(if1)和wan(if0)口。
系统提示操作成功后,可以得到如下界面显示:
点击右上角的应用按钮,然后保存配置,网桥模式启动成功。
注:
MAC缓冲池大小一般与内网连接的用户数有关,可以根据实际需要对此数值进行更改,一般需要比内网用户数多。
配置相关网络对象和服务对象
在DCFW-1800系列中,配置安全规则之前,需要定义一系列的服务对象和网络对象。
所谓网络对象,就是指防火墙的安全规则所针对的网络节点或网络节点群,安全规则就是以网络对象为基本的检查单元进行安全检查决定是否允许某个网络对象的数据转发与否。
服务对象是以上述网络对象可能进行的网络服务类型进行定义,DCFW-1800防火墙内置一些常用的服务对象,用户也可以根据自己的服务种类,灵活进行定义,方便安全规则的制订。
在本实例中,所涉及的服务对象为与http和ftp以及ping相关的类型,在防火墙的内置服务对象中已有对应,不必再次定义,下面进行网络对象的定义。
点开对象->
网络->
网络对象,系统内置了一些可信区域、接口及非可信区域、接口相关的网络对象,并用不同的名称加以区分,下面我们定义与本实例中的PC1和PC2相关的网络对象。
分别定义trust_pc1和untrust_pc2与pc1和pc2对应。
由于本实例中只定义了两个主机地址为网络对象,所以掩码选择32位匹配。
如下所示:
同理设置外网主机,如下所示:
至此,网络对象设置完毕,我们查看服务对象的现有设置,以确定是否需要增加特定的服务对象。
由于篇幅关系,此处不一一列举,可以在对象服务服务对象所列的界面中寻找FTP,http,ping。
其服务#分别为:
17,19,56。
点击右上角的应用按钮,然后保存配置。
配置安全规则
点击策略->
策略设置,在右面的界面中选择新增,则弹出如下选择框,根据我们的拓扑和实验要求安全规则说明,我们在本实例中进行如下配置:
确定后,策略已被添加到防火墙中,并已启用,如下所示:
同理,添加另外的策略:
PC1-PC2http允许
PC1-PC2ping允许
PC2-PC1所有拒绝
如上显示从pc2到pc1的拒绝设置,注意我们选择了拒绝时返回:
ICMP的unreach_net,是因为这样我们可以从主机中明确观察到实验的现象。
设置完成。
实验验证
在本实验的拓扑结构中PC2的HTTP和WEB设置假设已经选择windows2000server内置的服务平台,故测试时显示正常页面即可。
测试PC1与PC2的HTTP、FTP、PING的连通性
Ping连通性测试:
ftp连通性测试:
http连通性测试:
测试PC2与PC1主动的连接不成功。
Ping测试
同理测试其他连通性,从pc2去往pc1的数据包始终无法穿过防火墙。
此时在系统主界面查看防火墙的系统日志记录,如下所示:
我们观察到有关Ping命令和ftp、http的访问记录都为pass,而从pc2到pc1的任何访问都是被block的,至此,实验完成。
共同思考
1.DCFW-1800S在网桥模式下,DMZ口是否可用,请尝试设计实验进行验证。
2.如果希望从日志中看到有关此实验中的block和pass的信息,应该如何进行操作?
*
3.在透明模式下,为if1配置IP地址主要作用在哪里?
课后练习
1.更改PC1的地址为192.168.1.11再次尝试以上的三个服务连接,结果怎样?
2.查看系统日志,找到对应的验证动作对应的日志记录,尝试解释它们。
相关配置命令详解
netobjlist
描述
该命令用于显示所有的网络对象和主机对象
语法
参数
std|ipr|ifr|znr
分别代表类型为标准类型,地址范围类型,接口地址范围类型,安全域地址范围类型,如果指定类型,则显示该类型的网络或主机对象。
例子
#netobjlist
[1]*untrustzone:
znr,anyaddress,zoneuntrust(allofuntrustzone)
[2]*trustzone:
znr,anyaddress,zonetrust(alloftrustzone)
[3]*dmzzone:
znr,anyaddress,zonedmz(allofdmzzone)
[4]*untrustif:
ifr,anyaddress,interfaceif0(allofuntrustif)
[5]*trustif:
ifr,anyaddress,interfaceif1(alloftrustif)
[6]*dmzif:
ifr,anyaddress,interfaceif2(allofdmzif)
[7]*pptp_user:
<
znr>
anyaddrinpptpzone(pptpdialupuser)
[8]freezone:
znr,anyaddress,zone()
格式为:
名称、类型、IP/MAC、接口、说明,带有*号的是不允许更改项。
相关命令
netobjlist,netobjadd,netobjchange,netobjdel
netobjhostadd
该命令用于增加一个主机对象
netobjhostadd<
name>
interface>
ip>
comment>
name
以字母开头的数字字符串,最大长度为31个字符,该名称是安全策略中使用的逻辑名称
interface
网口
ip
主机对象的IP地址,由32位组成,用三个小数点分开,如:
203.233.21.17
comment
对主机的简要说明或关键字,最大长度63字节,即63个书自或者字符,或者是31个汉字加一个数字或字符.
注意:
comment中如果输入了带空格的字符串,则要用双引号;
否则不需要。
如果comment中无内容,则需输入两个单引号,双引号也可,建议改为“两个单引号”。
保留字
*untrustzone*trustzone
*dmzzone
*untrustif
*trustif
*dmzif
*pptp_user
外部区域
内部区域
DMZ区域
外网口
内网口
DMZ口
PPTP拔号区域
if0
if1
if2
#netobjhostaddinhost1if110.0.0.33“internalhost1”
……
[7]inhost1:
if110.0.0.33/32(internalhost1)
netobjlist,netobjadd,netobjdel,netobjchange
netobjadd
该命令用于增加一个网络对象或主机对象
netobjadd<
ip/maskbits>
ip/maskbits
网络对象的IP地址/子网掩码,地址由32位组成,用三个小数点分开,掩码为位掩码如:
203.233.21.0/24。
(见下表)
对网络对象的简要说明或关键字,最大长度63字节,即63个书自或者字符,或者是31个汉字加一个数字或字符。
子网掩码与IP地址配合参考下表:
类别
子网掩码
位掩码
A类
B类
C类
主机
255.0.0.0
255.255.0.0
255.255.255.0
255.255.255.255
8
16
24
32
comment中如果输入了带空格的字符串,则要用双引号;
如果comment中无内容,则需输入两个单引号,也可以用双引号,但建议使用单引号。
if1
#netobjaddinnet1if110.0.0.0/24“internalnet1”
[8]innet1:
if110.0.0.0/24(internalnet1)
netobjaddstd
该命令用于增加一个标准类型的网络对象或主机对象。
标准类型是指ip/maskbits型。
netobjaddstd<
网络对象的IP地址/子网掩码,地址由32位组成,用三个小数点分开,掩码为位掩码
#netobjaddstdinnet1if110.0.0.0/24“internalnet1”
netobjaddipr
该命令用于增加一个iprange类型的网络对象或主机对象。
iprange是指类似10.0.0.1-10.0.0.35的网络对象。
netobjaddipr<
iprange>
iprange
IP地址范围,由”-”连接的两个IP地址
对网络对象的简要说明或关键字,最大长度为127个字符
如果comment中无内容,则需输入两个单引号。
#netobjaddiprinnet1if110.0.0.1-10.0.0.35“internalnet1”
[8]innet1:
ipr,10.0.0.1-10.0.0.35,interfaceif0(internalnet1)
netobjaddifr
该命令用于增加一个对应于某网口地址范围的网络对象
netobjaddifr<
指网口名称
如果comment中无内容,则需输入两个单引号,也可以采用双引号,但建议使用单引号。
#netobjaddifrinnet1if2“addressofif2”
[8]anyif2:
ifr,anyaddress,interfaceif2(adressesofif2)
netobjaddznr
该命令用于增加一个表示安全域范围的网络对象
netobjaddznr<
zone>
zone
指安全域名称
#netobjaddznrmyzonetrust“myzone”
[8]myzone:
znr,anyaddress,zonemyzone(myzone)
netobjaddpptplocal&
radius
该命令用于增加一个类型为PPTP用户的拨号用户网络对象。
netobjaddpptp
local<
username>
radius<
username
拨号用户名称
对网络对象的简要说明或关键字,最大长度为127个字符,不能为空。
#usrobjlist
[1]*guest(guestadministrator)
[2]*admin(superadministrator)
[3]David()
#netobjaddpptplocaldaviddial1"
"
其中dial1需要现在vpn拨号用户中建立。
netobjaddpptpradius
该命令用于增加一个类型为PPTP用户的远程用户网络对象。
netobjaddpptpradius<
远程用户名称
(类似上例)
netobjchange
该命令用于修改一个主机或网络对象的属性
netobjchange<
index>
index
要修改的主机或网络对象的索引号。
可用netobjlist命令看到。
它是在新增一个对象时,系统自动为其生成一个索引号,用于标识该对象。
对主机的简要说明或关键字,最大长度为127个字符
ment中如果输入了带空格的字符串,则要用双引号;
2.除index和interface之外其余项均可修改。
要修改interface则只能先删除该对象,再新增一个修改了interface的对象
[7]inhost1:
#netobjchange7inhost1if110.0.0.31/32“internalhost1forr&
d”
[7]inhost1:
if110.0.0.31/32(internalhost1forr&
d)
netobjlist,netobjadd,netobjdel,netobjhostadd
netobjchangestd
该命令用于修改一个标准类型的主机或网络对象的属性
netobjchangestd<
以字母开头的数字字符串,最大长度为31个字符,是安全策略中使用的逻辑名称
网络对象的IP地址/子网掩码,地址由32位组成,用三个小数点分开
#netobjchangestd7inhost1if110.0.0.31/32“internalhost1forr&
netobjchangeipr
该命令用于修改一个地址范围类型的网络对象的属性
netobjchangeipr<
指网口中的一个,选用if0,if1,if2等
iprnage
#netobjchangipr7innet1if110.0.0.1-10.0.0.35“internalnet1”
netobjchangeifr
该命令用于修改一个网口地址范围类型网络对象的属性
netobjchangeifr<
#netobjchangeifr8innet1if2“addressofif2”
netobjchangeznr
该命令用于修改一个安全域地址范围类型网络对象的属性
netobjchangeznr<
#netobjchangeznrmyzone“myzone”
7inhost1if1