防火墙配置与维护培训课件方案研究.ppt

第一部分：防火墙基础知识 第二部分：防火墙配置案例 第三部分：防火墙特殊应用 第四部分：防火墙辅助功能 第五部分：防火墙日常维护 目录 防火墙本身不存储日志信息，如果要保留相关日志，请安装随机光盘 的日志服务器软件。然后设置日志服务器地址，防火墙就会把日志信息 发送到日志服务器上 防火墙辅助功能－日志设置 防火墙辅助功能－开放服务 管理员可以定期生成、下载设备的健康记录，以便当设备出现异常时，可以帮助天融信的技术支持人员快速地定位并解决故障。 防火墙辅助功能－健康记录 系统除了提供上节所述的设备配置维护功能外，还提供了恢复出厂默认配置的功能，以方便用户重新配置设备。恢复出厂配置后，设备的网络接口地址可能会改变，配置信息会被清除，进而导致失去连接，请用户提前做好准备。 防火墙辅助功能－恢复出厂设置 网络管理——接口——物理接口——eth0——设置 接口为路由模式（缺省） 定义防火墙每个接口的IP地址，注意子网掩码不要输错 防火墙配置－配置网络接口 网络管理——接口——物理接口——eth1——设置 防火墙配置－接口配置 网络管理——接口——物理接口——eth2——设置 防火墙配置－接口配置 进入防火墙管理界面，点击“网络管理” “接口”可以看到物理接口定义结果： 可以设置每个接口的描述进行区分 注：防火墙每个接口的默认状态均为“路由”模式 防火墙配置－接口模式配置 设置缺省网关时， 目的地址和掩码为全“0” 防火墙的缺省网关在静态路由时，必须放到最后一条路由，设备会根据子网掩码大小自动排序 防火墙配置－路由配置 在“网络”－“静态路由”添加缺省路由 防火墙配置－路由配置 在“对象”－“区域对象”中定义防火墙区域（接口）的默认权限 防火墙配置－定义区域缺省权限 系统默认只能从ETH0接口（区域）对防火墙进行管理 添加ETH1接口为“AREA_ETH1”区域； ETH2接口为“AREA_ETH2”区域 对“AREA_ETH1”区域添加对防火墙的管理权限（当然也可以对“AREA_ETH2”区域添加） 定义你希望从哪个接口（区域）管理防火墙 防火墙配置－定义设备管理权限 主机对象中可以定义多个IP地址 防火墙配置－资源管理－地址－定义主机 防火墙配置－资源管理－地址－定义子网 根据前面的需求如果内网要访问外网，则必须定义NAT策略；同样外网 要访问WEB服务器的映射地址，也要定义MAP策略 定义NAT策略，选择源为已定义的内部子网，目的为“AERA_ETH0”区域 防火墙配置－定义地址转换（通信策略） 转换地址要选择”源地址转换为“ETH0”，也就是防火墙外网接口IP地址； 也可以选择定义好的“NAT地址池”（在“对象”－“地址范围中定义”） 使用地址池 使用防火墙接口 防火墙配置－定义地址转换（通信策略） 配置MAP（映射）策略 源地址可以选择区域 “AERA_ETH0”;也可以 选择“ANY” 目的选择服务器映射后的IP（合法IP） 选择已定义的“WEB服务器－MAP” 防火墙配置－定义地址转换（通信策略） 目的地址转换为必须选择服务器映射前的IP（也就是WEB服务器的真实 IP地址），选择“WEB服务器”主机对象即可。 防火墙配置－定义地址转换（通信策略） 设置好的地址转换策略（通信策略） 第一条为内网访问外网做NAT； 第二条为外网访问WEB服务器的映射地址，防火墙把包转发给服 务器的真实IP 防火墙配置－定义地址转换（通信策略） 点击防火墙管理页面右上角“保存”按钮，然后选择弹出对话框“确定” 即可保存当前配置 防火墙配置－配置保存 第一条规则定义“内网”可以访问互联网。源选择“内部子网_1”； 目的可以选择目的区域“AERA_ETH0”，也可以是“ANY[范围]” 防火墙配置－配置访问控制规则 第二条规则定义外网可以访问WEB服务器的映射地址，并只能访问TCP80 端口。源选择“AERA_ETH0”、目的选择”WEB服务器（服务器真实的IP地址） 防火墙配置－配置访问控制规则 定义好的两条访问策略 防火墙配置－配置访问控制规则 在“系统管理”－“维护”中进行防火墙当前配置的保存、下载、上传等操作 防火墙配置－查看配置、备份配置 按照下图中数字所示顺序即可把防火墙配置导出到本地 防火墙配置－查看配置、备份配置 配置案例（透明模式）： 省专网 应用需求： 内网可以访问省web服务器http服务 防火墙接口分配如下： ETH0接路由A ETH1接内网核心 ETH2接路由B ETH4接内网核心 /24 路由B 路由A ETH0 ETH1 ETH2 ETH3 VLAN 100 VLAN 200 00 WEB服务器 防火墙配置－透明（交换）模式配置案例 首先通过防火墙的缺省IP：54登陆防火墙 第一步