02-防火墙产品培训ppt-增加二次防护内容.ppt

天融信防火墙培训 及地调二次防护建议;防火墙使用培训;目 录;配置维护;配置维护;配置维护;配置维护;配置维护;配置维护;配置维护;目 录;地址转换; 天融信防火墙的防火墙模块的源地址转换策略支持基于地址资源的源地址转换， 可转换的地址资源包括单个主机、主机地址范围和子网，对源地址可以进行的转换方式有：将源地址固定映射为某一合法 IP 地址和将源地址动态映射某一网段或某一地址范围的地址。;基本需求 天融信防火墙的接口 Eth0 连接企业内网，内网为 /24，Eth0 的 IP 地址为 ；Eth1 连接外网，Eth1 的 IP 地址为 。企业可用的公网 IP 地址范围为 -0，网络拓扑结构的示意图如下所示。;配置要点 定义内网地址资源，可定义的地址资源包括主机地址资源、范围地址资源、子网 地址资源、区域和 VLAN。 定义要转换的公网地???资源。 定义源地址转换策略。;配置步骤 1）选择 资源管理 区域，点击“添加”，定义区域资源。 设置内网区域 area_eth0 与属性 eth0 绑定且禁止访问，如下图所示。;外网区域 area_eth1 与属性 eth1 绑定且允许访问，如下图所示。;2）定义内部地址资源，选择 资源管理 地址，并选择相应页签，点击“添加”可以定义主机地址资源、地址范围资源和子网地址资源。 a）定义 NAT 主机资源：选择“子网”页签，点击“添加”，如下图所示。;b）定义 NAT 地址池：选择“范围”页签，点击“添加”，如下图所示。;3）定义 NAT 地址转换策略。选择 防火墙 地址转换，点击右上角“添加”，进入 NAT 规则配置界面，如图所示。 点击“确定”，配置完成。 需要注意的是，系统默认情况下，在源地址转换同时也会转换源端口。只有在上图中选择“源端口不作转换”时，数据包在经过防火墙时不改变源端口。;基本需求 由于来自 INTERNET 的对政府、企业的网络攻击日益频繁，因此需要对内网中向外网提供访问服务的关键设备进行有效保护。采用目的地址 NAT 可以有效地将内部网络地址对外隐藏。;图中：公网 Internet 用户需要通过防火墙访问 WEB 服务器，为了隐藏服务器在内网中的真实地址 34，使用公网地址 01 作为用户的访问地址，提供HTTP 服务的端口为 8080。;配置要点 定义区域资源：area_eth1。 定义 WEB 服务器真实地址对应地址资源。 定义 WEB 服务器的公网虚拟 IP 地址资源。 定义 WEB 服务器真实端口。 定义地址转换策略。;配置步骤 1）选择 资源管理 区域，点击“添加”，定义区域资源。 设置内网区域 area_eth0 与属性 eth0 绑定且禁止访问，如下图所示。;外网区域 area_eth1 与属性 eth1 绑定且允许访问，如下图所示。;2) 定义 WEB 服务器的内网真实地址资源 选择 资源管理 地址，选择“主机”页签，点击“添加”，系统出现添加主机资源的页面，如图所示。;3）定义 WEB 服务器的公网 IP 地址资源选择 资源管理 地址，选择“主机”页签，点击“添加”，系统出现添加主机资源的页面，如图所示。;4）定义服务端口 由于 WEB 服务器提供服务的端口是：8080，不是默认端口，在设置 NAT 转换规则时需要写明该服务端口。设置自定义服务端口的过程如下： 点击 资源管理 服务 ，并选择“自定义”页签，进入自定义服务页面。点击右侧“添加”按钮，如图所示。;5）定义目的地址转换策略 在导航菜单选择 防火墙 地址转换，进入地址转换规则列表界面，点击“添加”进入 NAT 规则配置界面，如下图所示，选择“目的转换”选项设定目的地址转换策略。 设置完成后，点击“确定”按钮，完成目的 NAT 规则设置。;注意事项 1）定义目的地址转换策略时，只需目的地址，不能指定目的区域或目的 VLAN。 2）如果 WEB 服务器提供 WEB 服务使用的是标准的 80 端口，则定义地址转换策略时，在“目的端口转换为”处不作设置即可。 3）如果希望防火墙对访问内容进行深度过滤，需要对应用端口进行绑定操作。因为服务器使用了非标准的端口 8080，防火墙不会对报文进行处理，导致不能正确检验数据 包。;基本需求 企业 WEB 服务器（IP：34）通过防火墙 MAP 为 01 对内网用户提供 WEB 服务，网络示意图如下。;如上图所示，管理主机和 WEB 服务器同样处于网段/24。正常情况下，管理主机与服务器之间的通信可以不经过防火墙， 而经过其他路由达成。 但是当管理主机使用公网地址（或域名）访问服务器时，数据包的源 IP 为管理主机地址，目的地址为服务器公网地址。 如果防火墙仅作目的