一步一步教你配置硬件防火墙

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,一步一步配置,硬件防火墙,集团信息技术总部 苏亮,2009,年,9,月,提纲,防火墙的配置准备,(,位置、接口,IP,、路由,),防火墙的,NAT,策略,NAT,上网、时间限制、服务限制、连接数限制、带宽限制,.,防火墙的端口映射,备注：主要是中兴防火墙配置,防火墙的配置准备,防火墙（双机）,Internet,接入,switch,核心三层交换机,SDH,专线,防火墙 路由器,路由器,一、九州通网络拓朴,三层交换机,应用服务器,终端,防火墙,2MB,光纤,30MB,光纤,10MB,光纤,VPN,应用服务器,终端,集团总部,二级公司,三级公司,VPN,VPN,应用服务器,终端,防火墙,VPN,双三层交换机冗余,汇聚层交换机,三层交换机,防火墙,/VPN,外部服务器,(AM,、电子商务等,),DMZ,区,一级骨干网络；,二级内部网络；,三级内部网络；,四级内部网络。,双防火墙冗余,双核心交换机冗余,汇聚层交换机,10MB,光纤,1,、连接防火墙（,consol,口或默认,IP,）,2,、设置防火墙内、外网接口,IP,3,、配置路由,默认路由,:,电信或网通提供的网关,IP,内网路由：内网三层接口,IP,防火墙的管理,:,接口,IP,防火墙的管理：配置路由,默认路由、静态路由、动态路由,防火墙管理：管理员及管理,IP,设置,管理员权限：超级管理员、管理员、只读,管理,IP,：只有可信的管理,IP,才能直接访问防火墙,防火墙相关概念,什么是计算机端口,如果把,IP,地址比作一间房子，端口就是出入这间房子的门。真正的房子只有几个门，但是一个,IP,地址的端口 可以有,65536,个之多！端口是通过端口号来标记的，端口号只有整数，范围是从,0,到,65535,。,端口有什么用呢？我们知道，一台拥有,IP,地址的主机可以提供许多服务，比如,Web,服务、,FTP,服务、,SMTP,服务等，这些服务完全可以通过,1,个,IP,地址来实现。那么，主机是怎样区分不同的网络服务呢？显然不能只靠,IP,地址，因为,IP,地址与网络服务的关系是一对多的关系。实际上是通过“,IP,地址,+,端口号”来区 分不同的服务的。（源端口,/,目的端口）服务器一般都是通过知名端口号来识别的。例如，对于每个,TCP/IP,实现来说，,FTP,服务器的,TCP,端口号都是,21,，每个,Telnet,服务器的,TCP,端口号都是,23,，每个,TFTP(,简单文件传送协议,),服务器的,UDP,端口号都是,69,。任何,TCP/IP,实现所提供的服务都用知名的,1,1023,之间的端口号。这些知名端口号由,Internet,号分配机构（,InternetAssignedNumbersAuthority,IANA,）来管理。,什么是端口映射,端口映射,:,内网的一台电脑要上因特网对外开放服务或接收数据，都需要端口映射。,端口映射分为动态和静态,.,动态端口映射,:,内网中的一台电脑要访问新浪网，会向,NAT,网关发送数据包，包头中包括对方,(,就是新浪网,)IP,、端口和本机,IP,、端口，,NAT,网关会把本机,IP,、端口替换成自己的公网,IP,、一个未使用的端口，并且会记下这个映射关系，为以后转发数据包使用。然后再把数据发给新浪网，新浪网收到数据后做出反应，发送数据到,NAT,网关的那个未使用的端口，然后,NAT,网关将数据转发给内网中的那台电脑，实现内网和公网的通讯,.,当连接关闭时，,NAT,网关会释放分配给这条连接的端口，以便以后的连接可以继续使用。,动态端口映射其实也就是,NAT,网关的工作方式。,静态端口映射,:,就是在,NAT,网关上开放一个固定的端口，然后设定此端口收到的数据要转发给内网哪个,IP,和端口，不管有没有连接，这个映射关系都会一直存在。就可以让公网主动访问内网的一个电脑。,防火墙的,NAT,策略,什么是,NAT,（网络地址转换）,网络地址转换,(NAT,Network Address Translation),被广泛应用于各种类型,Internet,接入方式和备种类型的网络中。原因很简单，,NAT,不仅完美地解决了,lP,地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。,借助于,NAT,，私有,(,保留,),地址的,“,内部,”,网络通过路由器发送数据包时，私有地址被转换成合法的,IP,地址，一个局域网只需使用少量,IP,地址,(,甚至是,1,个,),即可实现私有地址网络内所有计算机与,Internet,的通信需求。,NAT,将自动修改,IP,报文头中的源,IP,地址和目的,IP,地址，,Ip,地址校验则在,NAT,处理过程中自动完成。,NAT,实现方式,静态转换,是指将内部网络的私有,IP,地址转换为公有,IP,地址，,IP,地址对是一对一的，是一成不变的，某个私有,IP,地址只转换为某个公有,IP,地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备,(,如服务器,),的访问。,动态转换,是指将内部网络的私有,IP,地址转换为公用,IP,地址时，,IP,地址对是不确定的，而是随机的，所有被授权访问上,Internet,的私有,IP,地址可随机转换为任何指定的合法,IP,地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当,ISP,提供的合法,IP,地址略少于网络内部的计算机数量时。可以采用动态转换的方式。,internet,Gateway:211.154.0.1/24,192.168.1.0/24,WAN:211.154.0.6,Internal:192.168.1.1/24,Catalyst 2924,211.154.0.7,（,Nat,以后地址）,策略必须包含以下信息,:,源,IP,目标,IP,服务（目标端口）,行为：允许,/,拒绝,时间限制,流量限制,连接数限制,应用限制,网址限制,下载限制,复杂的,NAT,策略,NAT,策略截图,（中兴防火墙）,如何做端口映射,1,、保证需要映射的服务在内网访问正常，明确使用的,IP,及端口,2,、要使用的外网,IP,（只能是硬件防火墙可以使用的）及对外的端口,3,、定义该端口并做端口映射,4,、做允许外网用户访问该服务的规则,5,、测试,Internet,192.168.1.1,WWW,服务器,172.16.1.2 80,特点：,只有一个公有,IP,具有三个不同的服务器,内部网访问,Internet,需要做,NAT,内外网访问,DMZ,区的服务器需要做,SAT(,端口映射）,61.156.37.102/30,NAT,SAT,172.16.1.1,Int,Ext,Dmz,61.156.37.101/30,端口映射策略截图,（中兴防火墙）,允许从外网访问映射的服务,防火墙配置使用技巧,1,、单独配置一个接口做管理口,2,、只允许可管理,IP,能直接访问防火墙,3,、,VPN,和阻止策略放在最前面,4,、尽量定义一组对象并对组做策略,5,、监控防火墙的,CPU,及内存使用率、连接数是否有 异常，熟悉并利用防火墙的各类日志信息进行相应管理,6,、对配置经常备份,24,医药通九州,健康送万家,JOINTOWN GROUP CO.,LTD.,谢 谢！,