《防火墙技术项目化教程》课件_混合模式.ppt

信息安全与管理专业教学资源库防火墙技术信息安全与管理专业教学资源库防火墙技术配置需求案例及分析某企业内网192.168.2.1/24，外网218.240.143.218/24，同时在防火墙上搭载一台服务器218.240.143.217/24.要求：1、内网192.168.2.1/24可以访问外网218.240.143.218/24；2、内网192.168.2.1/24可以访问服务器；3、外网可以访问服务器。配置步骤——配置接口1）设置内网口地址，将eth1口设置成路由接口，安全域：trust，由于内网网段明确，选择静态IP属性，设置内网口IP地址为IP地址设置为192.168.2.1/24，子网掩码24位表示该接口接入的IP为网段地址。?2）设置外网口，ethernet0/2口连接外网，将ethernet0/2设置成二层安全域，l2-untrust，这里不需要给外网口进行IP地址配置，只需要在虚拟交换机上进行配置即可，见后续操作。配置步骤3）设置服务器接口，将ethernet0/3口设置成连接在防火墙上的服务器接口，由于该服务器连接在防火墙上，属于安全防护区域，选择二层安全域中的l2-dmz安全域进行配置。配置步骤由于二层安全域接口不能设置地址（相关知识和技能，请读者查阅“防火墙透明模式的配置”任务），需要将地址设置在虚拟交换机?????????配置步骤——配合虚拟交换机（VSwitch）针对内网所有地址都要进行外网的访问，并且内网IP地址与外网IP地址不属于同一个网段，因此我们在防火墙上设置SNAT模式。配置步骤——设置SNAT策略配置步骤——添加路由策略创建好后，还必须添加能够实现内外网连接的路由对数据包进行路径传输。要创建一条到外网的缺省目的路由允许对外网的任何IP进行访问。*配置步骤——设置地址簿在制定安全策略放行时，我们需要选择相应的地址和服务进行放行，所以这里首先要创建服务器的地址簿。在创建地址簿时，如果是创建的服务器属单个IP，使用IP成员方式的话，那掩码一定要写32位。*配置步骤——添加安全策略放行策略时，首先要保证内网能够访问外网。应该放行内网口所属安全域到Vswitch接口所属安全域的安全策略，即从trust到untrust。*配置步骤——添加安全策略保证外网能够访问Web_Server，该服务器的网管地址设置为ISP网关218.240.143.1那还需要放行二层安全之前二层安全域上的安全策略，应该放行l2-untrust到l2-dmz策略。*信息安全与管理专业教学资源库防火墙技术信息安全与管理专业教学资源库防火墙技术