資源描述:
《方正fs防火墻配置案例分析》由會員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫��。
1��、FS防火墻配置主題內(nèi)容常用命令介紹防火墻基本配置和注意事項(xiàng)案例分析防火墻常用命令eraseobjall清除防火墻配置initialize初始化防火墻網(wǎng)口地址ifconfig查看網(wǎng)卡IP地址route查看防火墻路由表信息版本防火墻基本配置初始化配置順序打開SecuwayAdmin連接防火墻配置對象��,包括定義“有效網(wǎng)絡(luò)”����,“路由器”等關(guān)鍵對象啟動“門向?qū)А?���,將對象配置在相?yīng)的位置配置安全策略和NAT規(guī)則傳送并重新啟動防火墻防火墻初始化配置超級終端,連接串口必須使用防火墻隨機(jī)帶的串口線�����,不可以使用Cisco的串口線超級終端用戶名密碼默認(rèn)為“admin”防火墻初始化為防火墻
2、配置IP地址在超級終端中輸入“initialize192.168.1.254”192.168.0.1/24防火墻重新啟動[Secuway@root]$NotexistObjectid0x11NowWriteObjectDummyGateObjectLoadSuccessbyPing:ip=c0a801ab,netmask=ffffff00SystemResetret=c01a7058防火墻重新啟動后�,所有網(wǎng)卡的IP地址都是192.168.1.254防火墻配置--SecuwayAdmin在防火墻光盤中有兩個文件,一個是SecuwayAdmin.jar���,一個是Java環(huán)
3���、境的安裝文件。首先安裝Java環(huán)境文件Jre-1.3.x.x.exe然后雙擊運(yùn)行SecuwayAdmin.jar注意:有些PC機(jī)上安裝了類似WinRAR的程序����,默認(rèn)情況下會用WinRAR程序打開*.jar文件,在這種情況下��,需要啟動“打開方式”����,然后選擇”javaw”打開防火墻配置--SecuwayAdmin防火墻配置--SecuwayAdminIP地址范圍對象的定義防火墻配置--SecuwayAdmin路由器對象防火墻配置--SecuwayAdmin門向?qū)Х阑饓ε渲?-SecuwayAdmin為每一個網(wǎng)卡配置IP地址和有效網(wǎng)絡(luò)防火墻配置—有效網(wǎng)絡(luò)有效網(wǎng)絡(luò)的概念(重
4、要)有效網(wǎng)絡(luò)的概念對于方正FS系列防火墻來說至關(guān)重要���,配置的正確與否直接影響到網(wǎng)絡(luò)是否正常工作�。有效網(wǎng)絡(luò)的定義:FS防火墻每個網(wǎng)口所連接的網(wǎng)絡(luò)范圍��。FS防火墻會根據(jù)有效網(wǎng)絡(luò)的定義決定向哪個網(wǎng)口轉(zhuǎn)發(fā)數(shù)據(jù)�,類似于給每個網(wǎng)口設(shè)置路由��,有效網(wǎng)絡(luò)設(shè)置的關(guān)鍵點(diǎn):?搞清楚每個接口所涵蓋的網(wǎng)絡(luò)范圍���,精確的定義每個范圍,不能多也不能少����。?有效網(wǎng)絡(luò)不僅僅包括網(wǎng)口所在的網(wǎng)段,也要包含該網(wǎng)口連接的路由器或者三層交換后的所有IP地址���。?防火墻網(wǎng)口的地址可以包含在有效網(wǎng)絡(luò)中�,也可以不包含�。防火墻配置案例一IDC托管機(jī)房Internetmailserver61.152.167.251ftpser
5、ver61.152.167.252webserver61.152.167.253防火墻61.152.167.25461.152.167.250Netmask:255.255.255.248防火墻配置案例一要求外部Internet可以訪問各服務(wù)器的相應(yīng)服務(wù)�����,外部可以Ping通各服務(wù)器以檢測服務(wù)器是否工作正常�。內(nèi)部服務(wù)器不能主動訪問外部Internet�����。防火墻配置案例一分析IDC托管機(jī)房內(nèi)��,內(nèi)部服務(wù)器地址與外部網(wǎng)關(guān)地址處在同一網(wǎng)段,這時防火墻可以設(shè)置成透明模式,即通常所說的橋模式����。這里我們只使用Net1和Net3,即內(nèi)網(wǎng)口和外網(wǎng)口�����。這時����,防火墻的兩端可以任意配置IP地址
6、和路由信息�,問題的關(guān)鍵在于,有效網(wǎng)絡(luò)的正確配置��。防火墻配置案例一定義對象—IP地址范圍防火墻配置案例一定義對象—IP地址范圍防火墻配置案例一定義對象—IP地址范圍防火墻配置案例一定義對象—路由器對象防火墻配置案例一門向?qū)А渲媒涌贗P地址和有效網(wǎng)絡(luò)防火墻配置案例一門向?qū)А渲媒涌贗P地址和有效網(wǎng)絡(luò)防火墻配置案例一門向?qū)А渲媒涌贗P地址和有效網(wǎng)絡(luò)防火墻配置案例一配置安全策略防火墻配置案例二足夠真實(shí)IPInternetmailserver61.152.167.251ftpserver61.152.167.252webserver61.152.167.253192.16
7����、8.1.0/24DMZ區(qū)外部網(wǎng)內(nèi)部網(wǎng)192.168.1.25461.152.167.25061.152.167.25061.152.167.254防火墻配置案例二要求內(nèi)部網(wǎng)使用保留IP地址192.168.1.0/24,并要通過防火墻上Internet����。DMZ區(qū)使用真實(shí)IP地址,并且只對內(nèi)部網(wǎng)和外部網(wǎng)開放相應(yīng)服務(wù)。DMZ區(qū)服務(wù)器不能直接訪問內(nèi)部網(wǎng)和外部網(wǎng)��。防火墻配置案例二分析由于內(nèi)部網(wǎng)使用保留IP地址192.168.1.0/24�,所以防火墻要設(shè)置從內(nèi)到外的NAT(SNAT),地址為61.152.167.250�。DMZ區(qū)使用真實(shí)IP地址,并且只對內(nèi)部網(wǎng)和外部網(wǎng)開放相
