防火牆配置

阿新 • • 發佈：2020-10-20

圖 12-1三網口純路由模式
注意：網禦安全閘道器Power V的基本配置是有四個物理裝置，其中fe1是預設的可管理裝置（預設啟用），地址是10.1.5.254。

12.1.1 需求描述
上圖是一個具有三個區段的小型網路。Internet區段的網路地址是202.100.100.0，掩碼是255.255.255.0；DMZ區段的網路地址是172.16.1.0，掩碼是255.255.255.0；內部網路區段的網路地址是192.168.1.0，掩碼是255.255.255.0。
fe1的IP地址是192.168.1.1，掩碼是255.255.255.0；fe3的IP地址是172.16.1.1，掩碼是255.255.255.0；fe4的IP地址是202.100.100.3，掩碼是255.255.255.0。內部網路區段主機的預設閘道器指向fe1的IP地址192.168.1.1；DMZ網路區段的主機的預設閘道器指向fe3的IP地址172.16.1.1；安全閘道器的預設閘道器指向路由器的地址202.100.100.1。

WWW伺服器的地址是172.16.1.10，埠是80；MAIL伺服器的地址是172.16.1.11，埠是25和110；FTP伺服器的地址是172.16.1.12，埠是21。

安全策略的預設策略是禁止。允許內部網路區段訪問DMZ網路區段和Internet區段的http,smtp，pop3，ftp服務；允許Internet區段訪問DMZ網路區段的伺服器。其他的訪問都是禁止的。

12.1.2 配置步驟
1. 網路管理>網路裝置>：編輯物理裝置fe1，將它的IP地址配置為192.168.1.1，掩碼是255.255.255.0。
注意：fe1預設是用於管理的裝置，如果改變了它的地址，就不能用原來的地址管理了。而且預設的管理主機地址是10.1.5.200，如果沒有事先新增其它的管理主機地址，將會導致安全閘道器再也不能被管理了（除非用串列埠登入上去新增新的管理主機地址）。其它裝置預設是不啟用的，所以配地址時要同時選擇啟用裝置。

2. 網路管理>網路裝置>：編輯物理裝置fe3，將IP地址配置為172.16.1.1，掩碼是255.255.255.0。
3. 網路管理>網路裝置>：編輯物理裝置fe4，將IP地址配置為202.100.100.3，掩碼是255.255.255.0。
4. 網路管理>靜態路由>：新增下一跳地址是202.100.100.1的預設路由。目的地址，掩碼都是0.0.0.0，介面選擇fe4。注意：防火牆是基於資源的，所以在配置下面的策略時，請先定義如下的資源：
LOCAL_NET：網路地址192.168.1.0，掩碼255.255.255.0
DMZ_NET：網路地址172.16.1.0，掩碼255.255.255.0

WWW_SERVER：主機地址172.16.1.10，掩碼是255.255.255.255
MAIL_SERVER ：主機地址172.16.1.11，掩碼是255.255.255.255
FTP_SERVER ：主機地址172.16.1.12，掩碼是255.255.255.255
5. 防火牆>安全規則>：新增源地址是LOCAL_NET，目的地址是any，服務是http，動作是允許的包過濾規則。
6. 防火牆>安全規則>：新增源地址是LOCAL_NET，目的地址是any，服務是smtp，動作是允許的包過濾規則。
7. 防火牆>安全規則>：新增源地址是LOCAL_NET，目的地址是any，服務是pop3，動作是允許的包過濾規則。

8. 防火牆>安全規則>：新增源地址是LOCAL_NET，目的地址是any，服務是ftp，動作是允許的包過濾規則。
9. 防火牆>安全規則>：新增源地址是LOCAL_NET，目的地址是any，服務是any的NAT規則。
10. 防火牆>安全規則>：新增源地址是any，目的地址172.16.1.10，服務是http，動作是允許的包過濾規則。
11. 防火牆>安全規則>：新增源地址是any，目的地址172.16.1.11，服務是smtp，動作是允許的包過濾規則。
12. 防火牆>安全規則>：新增源地址是any，目的地址172.16.1.11，服務是pop3，動作是允許的包過濾規則。
13. 防火牆>安全策略>：新增源地址是any，目的地址172.16.1.12，服務是ftp，動作是允許的包過濾規則。
14. 防火牆>安全策略>：新增公開地址是202.100.100.3，對外服務是http，內部地址是WWW_SERVER，內部服務是http的埠對映規則。
15. 防火牆>安全策略>：新增公開地址是202.100.100.3，對外服務是smtp，內部地址是MAIL_SERVER，內部服務是smtp的埠對映規則。
16. 防火牆>安全策略>：新增公開地址是202.100.100.3，對外服務是pop3，內部地址是MAIL_SERVER，

內部服務是pop3的埠對映規則。
17. 防火牆>安全策略>：新增公開地址是202.100.100.3，對外服務是ftp，內部地址是FTP_SERVER，內部服務是ftp的埠對映規則。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

配置服務埠對映：

1. 網路管理>網路裝置>：編輯物理裝置fe4，將IP地址配置為202.100.100.3，掩碼是255.255.255.0。

2. 網路管理>靜態路由>：新增下一跳地址是202.100.100.1的預設路由。目的地址，掩碼都是0.0.0.0，介面選擇fe4。

3.注意：防火牆是基於資源的，所以在配置下面的策略時，請先定義如下的資源：
WWW_SERVER：主機地址172.16.1.10，掩碼是255.255.255.255

4. 防火牆>安全規則>：新增源地址是any，目的地址172.16.1.10，服務是http，動作是允許的包過濾規則。

5. 防火牆>安全策略>：新增公開地址是202.100.100.3，對外服務是http，內部地址是WWW_SERVER，內部服務是http的埠對映規則。

轉載於:https://blog.51cto.com/6923450605400/1030974

防火牆配置

Linux學習筆記（17）Linux防火牆配置詳解

H3C防火牆配置

防火牆配置

firewalld防火牆配置

樹莓派防火牆配置

kingbaseES R3叢集防火牆配置案例

Linux之防火牆配置

centos7防火牆配置

linux Centos8系統，防火牆配置常用命令，systemctl 和firewall

OpenWrt 防火牆配置、NAT配置

第三篇：華為USG防火牆配置命令

防火牆——iptables防火牆（四表五鏈、防火牆配置方法、匹配規則詳解）

druid防火牆配置或dbms_random.value異常

Centos防火牆配置

華為6320防火牆配置思路

oracle監聽配置，防火牆處理

linux centos7防火牆的簡單配置實現開放埠

×××實驗配置2 思科路由器與思科ASA防火牆傳統IPSEC ×××配置例項

ASA防火牆之一配置案例

Endian firewall——配置Linux防火牆從此不再難

防火牆配置

相關推薦