启明星辰P系列防火墙课件-陈国栋.ppt

配置步骤 第三步：配置防火墙NAT策略 防火墙——策略——NAT策略——NAT 配置步骤 第三步：配置防火墙NAT策略 防火墙——策略——NAT策略——NAT 配置步骤 第四步：配置防火墙安全策略 防火墙——策略——安全策略 配置步骤 第四步：配置防火墙安全策略 防火墙——策略——安全策略 配置步骤 第四步：配置防火墙安全策略 防火墙——策略——安全策略 配置步骤 第四步：配置防火墙安全策略 防火墙——策略——安全策略 配置步骤 第四步：配置防火墙安全策略 防火墙——策略——安全策略 子网掩码 子网掩码知识 子网掩码 子网掩码知识 谢 谢！！！ 启明星辰 2016 物理设备初始情况下工作在路由模式，也就是说该设备上绑定有IP地址，可以与其它设备进行资料包的路由转发。 物理设备是其他设备的基础。 属性名称有：设备名称、MAC地址（设备MAC地址可以修改）、链路工作模式（自适应、全双工、半双工）、链路速度（百兆、千兆），工作模式、VLAN封装、绑定vlan区间。 * 桥接设备是将多个工作在透明模式的物理设备、vlan设备或冗余设备绑定在一起的设备。 * Doltq：802.1q封装。 VLAN绑定的设备必须是启用的，工作在trunk模式下的物理设备。Vlan ID 范围是1-4094. * IEEE 802.3ad 是执行链路聚合的标准方法。 在 IEEE 802.3ad 中，“链路聚合控制协议”（LACP）自动通知交换机应该聚集哪些端口。IEEE 802.3ad 聚合配置之后，链路聚合控制协议数据单元（LACPDU）就会在服务器和交换机之间进行交换。 * IEIF互联网工程任务组，IETF的主要任务是负责互联网相关技术标准的研发和制定，是国际互联网业界具有一定权威的网络相关技术研究团体。 * * IP包进入，先检查状态表，符合的话进行下一步处理。 当回话表中没有TCP连接记录时，检测包头（也就是包过滤规则表），走包过滤的过程，同时建立状态表项，对后续的连接直接检测状态表。 * 网络地址转换NAT为IETF定义标准，用于允许专用网络上的多台PC共享单个、全局路由的IPv4地址IPv4地址日益不足是经常部署NAT的一个主要原因。 另外网络地址转换NAT经常作为一种网络安全手段使用，安全域内的机器通过NAT设备后源地址被重新封装，起到一定屏蔽内网作用。 NAT—概述 路由/NAT模式 路由NAT方式接入 C:00 eth1： eth2： eth1 eth2 一、配置防火墙接口模式及IP 路由NAT方式接入 C:00 eth1： eth2： eth1 eth2 二、配置NAT 路由NAT方式接入 C:00 eth1： eth2： eth1 eth2 三、配置安全策略，允许流量通过 路由NAT方式配置完成！！！ 透明方式接入 C:00 brg1： eth1 eth2 eth1 eth2 一、设置接口工作模式，将eth1和eth2划到brg1下 透明方式接入 C:00 00 brg1： eth1 eth2 eth1 eth2 二、配置安全策略，放通流量 透明方式配置完成！！！ 冗余方式接入 eth1 eth2 eth1 eth2 bond1： bond1： 一、设置接口模式 冗余方式接入 eth1 eth2 eth1 eth2 bond1： bond1： 二、创建冗余设备，并为冗余设备配IP 冗余方式配置完成！！！ 第四章 防火墙路由功能配置简介 静态路由 静态路由 默认路由 支持多默认路由负载均衡 支持基于状态回包 支持默认网关探测机制 静态路由 默认路由——负载均衡 注释：这个功能主要适用于内网向外网发起的访问 静态路由 默认路由——基于状态回包 注释：这个功能主要适用于外网向内网发起的访问，原因在于不同运营商之间可能存在路由不可达问题，基于状态回包可以将风险降到最低。即使回包时能被策略路由匹配，也不会选择策略路由转发。 静态路由 默认路由——网关探测 注释：默认路由网关探测可以使防火墙以最快的速度感知到故障的链路，使对应的默认路由失效，从而保证多出口网络的稳定性。探测方式为ICMP和ARP探测。 静态路由 默认路由——网关探测 注释：默认路由网关探测可以使防火墙以最快的速度感知到故障的链路，使对应的默认路由失效，从而保证多出口网络的稳定性。探测方式为ICMP和ARP探测。 静态路由 默认路由——配置 路由管理——基本路由——默认路由 监测频率：防火墙向网关发送ICMP或者ARP报文的频率 metric ：相同路由之间区分优先级，越小越优先 权重值 ：两条路由相同且metic也相同的情况下，分担流量的比重 静态路由 静态路由 路由管理——基本路由——静态