实验十二 蓝盾防火墙的典型安装与部署.doc

实验十二 蓝盾防火墙的典型安装与部署—NAT模式（路由模式） 【实验名称】 防火墙的典型安装与部署——NAT模式（路由模式） 【计划学时】 2学时 【实验目的】 理解防火墙NAT模式的作用； 理解防火墙NAT模式的工作原理； 掌握安装部署的配置方法并验证NAT模式下配置的有效性。 【基本原理】 在NAT模式下，防火墙类似于一台路由器，将公网的ip地址映射到内网的某个地址，从而使得内网的主机可以和外网通信。该模式适用于内网、外网和DMZ区域不在同一个网段的情况。从拓扑图我们可以知道，在这种模式下防火墙充当了内网的网关，所以链接到内网的LAN要设置成内网网关的地址。之后还要设置NAT地址转换。首先，可以先通过定义对象使得以后的设定选择变得简便。之后，我们配置LAN口到外部网的NAT地址转换。最后，为了内部网可以正常地访问到外网，还需要设置防火墙收到远程数据包应该发送的下一跳地址，所以还要设置相应的路由选项。 【实验拓扑】 【实验步骤】 一、将防火墙接入当前网络 1、将防火墙按照拓扑所示接入当前网络，由路由器引入的外线接WAN口，由核心交换机引出的内部网线接LAN口，由DMZ区域的交换机引出的网线接DMZ口 2、检验加入后网络状况 从内部网络中的任一台PC无法再ping通路由器的对内网口IP: 10.0.0.254 3、通过管理PC登录防火墙系统，“系统”(“系统信息”(“设备状态”，查看网络接口信息可以看到当前的线路连接，LAN4（也就是WAN）口上由于没有配置IP，无流量进出，故仍显示 4、查看接口情况 进入网口配置界面，“网络设置”(“网口配置”(“网口”： 二、修改LAN和DMZ配置 1、修改内网主机IP配置 内网中的主机IP设置为与防火墙设备LAN 口同一网段的地址，并将网关指向LAN口地址： 修改DMZ区域服务器IP配置 2、测试LAN和DMZ区域是否与对应网口连通 在完成修改的PC上ping LAN 口地址： 在完成修改的PC上ping DMZ口地址： 说明LAN和DMZ内部主机已与防火墙的网口连通了。 三、配置防火墙的WAN口 1、进行NAT配置 “网络设置”(“WAN设置”(“WAN连接”： 参数定义： 左框：默认为空白 名称：自定义一个名称 这里可为连接定义一个名称 参数定义： 方式：为连接定义方式 启动时自动连接：勾选则在系统启动时会自动采用这个连接 自定义MTU：设置MTU值 连接自动容错：当连接错误时采取动作 首选容错检测IP：设置首选容错检测IP 备用容错检测IP：设置备用容错检测IP 外部流量负载均衡：是否启用外部流量负载均衡 网关负载均衡：是否启用网关负载均衡 权重：设置权重值 连接方式和连接自动容错方式包括有 连接方式： 自动容错方式： 选择不同的连接方式，要点击“更新”，下面会出现相应的设定项（以静态IP连接为例）： 参数定义： 网口：选择当前可用的外部网口 默认网关：指向上网网关 IP地址：设置可上网的IP地址 子网掩码：设置指望掩码 首选DNS服务器：设置首选DNS服务器 备用DNS服务器：设置备用DNS服务器 在“全局配置”中我们选择了“静态IP连接配置”，接着进行静态IP连接的设定。 设置完成后，点击“保存并连接” 2、确认NAT设置成功 “系统”(“系统信息”(“设备状态”，可以查看到连接信息，设置正确，则可以看到网络已经连接 由于防火墙设备能够根据网口信息，自动建立路由表，因此此时内部子网也应该可以连接到防火墙上层的路由器。 四、检查当前网络 检查内网是否ping通外网 从内网任一台主机发起ping到路由器，可以连通： 则防火墙的NAT模式部署成功。 【实验总结】 本次试验主要介绍了如何配置防火墙在NAT模式下工作，如何进行NAT地址转换及路由选项设置，以便内部网络能够正常地访问到外网。NAT模式适用于内网、外网和DMZ 区域不在同一个网段的情况。通过这两次实验，应学会根据不同的应用需求选择适当的防火墙部署方式，并进行正确的部署设置。