Amaranten防火墙配置培训.ppt

什么是透明模式 防火墙工作于透明模式的时候不需要修改原有的网络中的路由和主机配置 防火墙工作在透明模式时同样可以实现所有的功能（如包过滤、代理、NAT 等），毫不损失任何功能及性能 阿姆瑞特F 系列防火墙的透明工作模式基于Proxy ARP 技术 Proxy ARP ARP代理 路由器一端那些不知道已经划分了子网的主机试图直接将数据发送给目标主机，而目标主机位于路由器的另外一侧，源主机发出一个ARP 请求来查询目标主机的MAC 地址，我们知道，目标主机不会做出响应，因为它根本不会收到请求信息，所以通信就无法完成了。具有Proxy ARP 功能的路由器（或者是其它网络设备）可以代替另外一端的主机用自己的MAC 地址去响应那样的ARP 请求，接着源主机将数据发送给路由器，然后路由器再将数据包转发出去。 ARP地址解析协议 Map IP MAC Local ARP 透明接入原理 配置防火墙－简单示例 定义主机和网络 增加相应的主机和网络 第一条，第二条定义防火墙内口的ip地址以及广播地址 第三条，第四条定义防火墙外口的ip地址以及广播地址 第五条定义内网网段 第六条定义管理网段 第七条定义默认网关 定义路由规则 制定过滤规则 第九章节 混合模式 混合模式 总体描叙： 网络中存在两类IP 地址。一种是公网IP。一种是私有IP,因此需要将防火墙工作在透明和路由/NAT 模式下。 防火墙模式混合拓扑图 混合模式（一） 防火墙模式混合 Ext ------ DMZ 透明 INT -------- EXT NAT DMZ ------ INT 路由 主机和网络 路由 过滤规则 规则说明 第四条规则 内部区域连接到INTERNET经过 NAT 模式。 第六条规则 DMZ 区域连接到INTERNET 经过透明模式。 接口模式混合拓扑图 混合模式（二） 端口模式混合 Ext ------ INT 即做透明又做地址翻译。 内网和外网即有公网IP .又有私有IP.这就是所谓的端口模式混合。 1.在内网的公网IP 经过透明出去。(双向) 2.在内网的私有IP 经过NAT 出去. (单向) 接口模式混合 主机和网络 路由 过滤规则 第十章节: 预共享密钥式的VPN 配置Pre-share VPN 隧道 开始配置预共享密钥 VPN 隧道 VPN 隧道 预共享密钥 VPN 隧道– 总结 路由表的要求 需要什么样的规则 Vpn 监控 第十一章:Clavister VPN 客户端软件 如何工作? 开始 创建一个预共享密钥 添加新的VPN 连接 添加远程网络here you need deploy remote subnet and submask 举例如下 添加VPN 举例 加密算法 第十二章实现阿姆瑞特防火墙的PBR功能下接三层设备 实验机型：AS_F300-pro 内核版本：8.40.01 拓扑环境描述和目的 实验环境描述： 网络有两个出口，分别是中国电信和中国网通，都可以接入因特网 内网有多个子网，由三层交换接入防火墙lan1接口 防火墙接口定义： lan1接内网，连接三层交换机，IP地址为：/30，内部网关为：/30 lan2接中国电信 GW_World-Telcom : /29 接口IP地址为：Net_WAN-Telcom : /29 lan3接中国电信 GW_World-CNC : /29 接口IP地址为：Net_WAN-CNC : /29 防火墙配置 第一步1 建立网络对象： 在“局部对象” -? “主机和网络”中定义网络拓扑中出现的所有对象，命名策略必须遵照“阿姆瑞特命名规范.PPT” 防火墙配置 第一步2 建立网络对象： 检查“局部对象” -? “主机和网络”中定义网络拓扑中出现的所有对象 防火墙配置 第二步 1 配置置接口的地址和所连接网络的广播地址： 在“网络接口” -? “以太网”里确定IP地址和广播地址的绑定 防火墙配置 第二步2 配置接口速度和双工模式： 在“网络接口” -? “以太网”里配置相应接口的速度和双工模式 防火墙配置 第三步1 添加和配置主路由： 在“路由设置” -? “主路由表”里添加和设置路由 防火墙配置 第三步2 确定在“主路由表”里添加和配置的主路由的顺序 防火墙配置 第三步3 添加和配置策略路由： 在“路由设置” -? “基于策略的路由表”里添加和设置策略路由 防火墙配置 第三步4 添加和配置策略路由： 在“路由设置” -? “基于策略的