CY防火墙培训.ppt

* * * * 由类型选择的不同，相应出现的掩码不同 * * * 按空格自动扩展 * * * * Telnet代理服务不能新增没有特殊原因，只因为在telnet代理服务中没有什么可配置的选项，没必要单设新增功能 * * 按空格自动扩展 * * * * * * 流经防火墙的数据报文按照策略序号顺序逐上而下的匹配策略 当匹配上某条策略后，按照该策略中的判决设置执行动作（拒绝，允许等） 如果没有策略与之匹配，防火墙将丢弃该数据包 把经常被匹配的策略放在不常被匹配的策略之前 如果几条策略内容有重复的部分，把描述具体对象的策略放在描述广泛对象的策略之前 * * * * * * * * * * * * * * * 内网，外网，dmz连接多个网段的情况，必须设置静态路由。 * * 按空格自动扩展 * 按空格自动扩展 * * * 按空格自动扩展 * * 动态NAT 静态NAT 端口NAT 端口NAT用做服务器负载均衡 * 通过用私有 IP 地址对IP 地址进行扩充，从而配置安全的网络环境，防止外部网络的攻击和避免内部 IP 地址泄漏到外部网络的功 能。因此，即使未授权的用户成功地找到防火墙地址，也将无法获得内部系统网络地址。 LinkTrust 防火墙目前支持在用户指定的接口上实现NAT，该接口必须是某个安全域内的接口，不在安全域内的接口不能做NAT。另外，管理接口（如HA 接口，MGT 接口）不能做NAT。 * * LinkTrust 防火墙不仅支持多对一动态NAT，还支持多对多动态NAT。 * 动态NAT不允许从外部访问转换后的地址！ * 转换前地址：内部网络或DMZ 的私有IP 地址。 源IP/Maskbits：填写连接发起方的私有IP 地址及掩码。 目的IP/Maskbits：填写要连接的目的地址及掩码。目的地址是可选的，如果不填，为，表示适用于所有的目的地址，但不能为空。 ?? 转换后地址：有两种方式指定转换后地址。 指定地址范围方式：如果手工指定转换后的地址，由需在地址范围的编辑栏分别手工输入起始地址及终止地址，即包括从某一IP 地址到某一IP 地址的范围。如果只输入单一IP，或起始IP 地址与终止IP 地址相同则为多对一动态NAT，否则为多对多动态NAT。 同步接口地址方式：如果要转换成接口地址，只需要选中“同步接口地址”选项,即可将转换后的地址设置为当前接口地址。 ?? 接口：为新增的NAT 规则选定一个接口。 目标为缺省/0的地址： #Nata1 add Ipin/maskbits ipout 目标为具体外网地址： #Natn1 add ipfrom/maskbitsfrom ipto/maskbitsto ipout * * * * 转换前地址：内部网络或DMZ 的私有IP 地址 转换后地址：外部网络所映射的地址，为可路由到的任意IP 地址 接口：为新增的NAT 规则选定一个网卡接口 * 端口NAT 不允许内部以VIP地址访问外 * * 转换前地址：内部网络或DMZ 的IP 地址 ?? 转换前端口：与内部网络或DMZ 地址对应的端口 ?? 转换后地址：外部网络所映射的地址，为可路由到的任意IP 地址。如果指定 转换后的地址，由需在此编辑栏手工输入； 如果要转换成接口地址，只需要选中“同步接口地址”选项，即可转成当前接口地址 ?? 转换后端口：与转换后地址对应的端口 ?? 协议：目前的端口NAT 规则仅对TCP、UDP 有效，在新增端口NAT 规则时，需要指定其中的一种协议 ?? 接口：指定做NAT 的网卡接口 目前，端口NAT 的最大可配置数目为256 条。 转换前的IP 地址不能包括已经做了NAT 规则的地址。 由于多端口的使用，NAT 模块针对所有21 端口的数据包做FTP 内核代理 * LinkTrust Firewall 最多可支持8 个服务器地址/端口的负载分担从而以较低成本消除服务器瓶颈，大大提高了网络的灵活性和可靠性 * 负载主机IP：端口：外部网络所映射的地址，为可路由到的任意IP 地址。输入负载主机的IP 及其对应的端口 协议：选择一个协议，目前只支持TCP，UDP 协议 接口：在下接列表中选择一个负载均衡接口 * l???? * l???? * 1、如果在定义安全域时，选中了“允许安全域内多网卡间互相访问”选项，那么同一安全域里不同的端口（本例中是if1 和if2）之间默认是可以访问的，因此不需要配置这2个port之间的策略 2、如果需要在if1和if2之间设置策略，在定义安全域时可以不选“允许安全域内多网卡间互相访问”，把if1和if2定义为2个网络对象，配置相应策略即可。 * 配置网络对象（主机、网络与对象分组） 理解预先定义的服务，配置自定义服务，服务分组 合理设置访问