信息安全防护4.2_网络安全设备_防火墙路由模式_试题及答案.docVIP

防火墙配置路由模式（15分） 要求实现：安装配置好防火墙，配置成路由模式。 拓扑如下： 具体要求如下： 1、防火墙工作在路由模式。 2、内部主机，内部服务器系统，外部网络形成严格的3个区域（内网，外网，DMZ区域）； 3、内网口对应防火墙eth1，外网口对应防火墙eth2，DMZ区域对应防火墙eth3； 4、在各个区域之间实施严格的访问控制，保障系统安全； 5、防火墙内网口IP地址为/24，eth1接口直接与内网主机相连；DMZ区IP地址为0/16，eth3接口直接与WEB服务器相连；外网口IP地址为0/25，eth2接口与桌面网口（如A1-1）连接，通过交换机与外网相连；缺省网关IP地址为/25。 6、WEB服务器地址2/16，默认网关指向0。 7、内网主机地址2/24，默认网关指向。 8、对外服务器系统通过DNAT对外提供服务，内网访问外部网络通过SNAT实现。 答案及评分标准 参考答案如下： 1、配置本机IP地址为/24，通过网线将本机和设备接口0连接，打开浏览器连接设备。 2、以admin帐号登录防火墙。 3．进入设备配置页面。(1分) 4．进入“网络设置》接口”分别编辑接口eth1、eth2、eth3，为其配置IP。eth1设为内网口，IP地址为/24；eth2设为外网口，IP地址为0/25；eth3设为DMZ区，IP地址为0/16。配置完毕后点击右上角图标保存配置。(2分) 5.进入“网络设置》NAT》NAT地址池”点击“新建”。添加用于源地址转换的IP地址，一般是外网口的IP地址。添加用于目的地址转换后真正提供服务的IP。如果有多个IP也可以添加。添加完毕后点击提交，并保存。(1分) 6．进入“对象管理》地址对象》地址节点”点击“新建”，建立两个子网：内网（/24）和DMZ区（/16），提交完成后保存配置。建立两个主机：web服务器（0），web_server(2)提交完成后保存配置。(2分) 7．进入“网络设置》NAT》NAT规则”点击“新建”，建立源地址转换和目的地址转换的规则。内网访问外网使用源地址转换，外网访问DMZ区使用目的地址转换。 源地址转换中源地址选择“内网”，目的地址、服务选择“any”，出接口选择外网口“eth2”，转换后的地址选择刚才配置到地址池中的NAT地址。 目的地址转换中的源地址选择“any”，目的地址选择我们允许外界看到的服务器的地址，通常就是外网口的地址，这里是新建的地址对象中的“web服务器”，服务选择“http”，入接口选择外网口“eth2”，转换后的地址选真正的服务器地址“web－server”，若转换后端口变化可以填入转换后的端口。点击提交并保存配置。(3分) 8．进入“网络设置》基本配置缺省网关”点击“新建”添加网关。提交并保存。(1分) 9．进入“防火墙》安全策略”点击“新建”添加安全策略。允许内网访问外网，允许外网访问DMZ区的http服务。添加参数完毕后，启用策略并保存。(2分) 10．将配置有内网IP的主机连接到eth1，访问 HYPERLINK ，若成功登录则表示源地址转换配置成功。将配有外网IP的主机连接到eth2，访问0,如果可以打开网页则表示目的地址转换配置成功。(3分)