防火墙配置（防火墙配置安全策略）

防火墙配置（防火墙配置安全策略）

图 12-1三网口纯路由模式注意：网御安全网关Power V的基本配置是有四个物理设备，其中fe1是默认的可管理设备（默认启用），地址是10.1.5.254。

12.1.1 需求描述上图是一个具有三个区段的小型网络。Internet区段的网络地址是202.100.100.0，掩码是255.255.255.0；DMZ区段的网络地址是172.16.1.0，掩码是255.255.255.0；内部网络区段的网络地址是192.168.1.0，掩码是255.255.255.0。fe1的IP地址是192.168.1.1，掩码是255.255.255.0；fe3的IP地址是172.16.1.1，掩码是255.255.255.0；fe4的IP地址是202.100.100.3，掩码是255.255.255.0。内部网络区段主机的缺省网关指向fe1的IP地址192.168.1.1；DMZ网络区段的主机的缺省网关指向fe3的IP地址172.16.1.1；安全网关的缺省网关指向路由器的地址202.100.100.1。WWW服务器的地址是172.16.1.10，端口是80；MAIL服务器的地址是172.16.1.11，端口是25和110；FTP服务器的地址是172.16.1.12，端口是21。

安全策略的缺省策略是禁止。允许内部网络区段访问DMZ网络区段和Internet区段的配置步骤1. 网络管理>网络设备>：编辑物理设备fe1，将它的IP地址配置为192.168.1.1，掩码是255.255.255.0。注意：fe1默认是用于管理的设备，如果改变了它的地址，就不能用原来的地址管理了。而且默认的管理主机地址是10.1.5.200，如果没有事先添加其它的管理主机地址，将会导致安全网关再也不能被管理了（除非用串口登录上去添加新的管理主机地址）。其它设备默认是不启用的，所以配地址时要同时选择启用设备。2. 网络管理>网络设备>：编辑物理设备fe3，将IP地址配置为172.16.1.1，掩码是255.255.255.0。3. 网络管理>网络设备>：编辑物理设备fe4，将IP地址配置为202.100.100.3，掩码是255.255.255.0。4. 网络管理>静态路由>：添加下一跳地址是202.100.100.1的默认路由。目的地址，掩码都是0.0.0.0，接口选择fe4。注意：防火墙是基于资源的，所以在配置下面的策略时，请先定义如下的资源：LOCAL_NET：网络地址192.168.1.0，掩码255.255.255.0DMZ_NET：网络地址172.16.1.0，掩码255.255.255.0WWW_SERVER：主机地址172.16.1.10，掩码是255.255.255.255MAIL_SERVER ：主机地址172.16.1.11，掩码是255.255.255.255FTP_SERVER ：主机地址172.16.1.12，掩码是255.255.255.2555. 防火墙>安全规则>：添加源地址是LOCAL_NET，目的地址是any，服务是防火墙>安全规则>：添加源地址是LOCAL_NET，目的地址是any，服务是smtp，动作是允许的包过滤规则。7. 防火墙>安全规则>：添加源地址是LOCAL_NET，目的地址是any，服务是pop3，动作是允许的包过滤规则。

8. 防火墙>安全规则>：添加源地址是LOCAL_NET，目的地址是any，服务是ftp，动作是允许的包过滤规则。9. 防火墙>安全规则>：添加源地址是LOCAL_NET，目的地址是any，服务是any的NAT规则。10. 防火墙>安全规则>：添加源地址是any，目的地址172.16.1.10，服务是防火墙>安全规则>：添加源地址是any，目的地址172.16.1.11，服务是smtp，动作是允许的包过滤规则。12. 防火墙>安全规则>：添加源地址是any，目的地址172.16.1.11，服务是pop3，动作是允许的包过滤规则。13. 防火墙>安全策略>：添加源地址是any，目的地址172.16.1.12，服务是ftp，动作是允许的包过滤规则。14. 防火墙>安全策略>：添加公开地址是202.100.100.3，对外服务是防火墙>安全策略>：添加公开地址是202.100.100.3，对外服务是smtp，内部地址是MAIL_SERVER，内部服务是smtp的端口映射规则。16. 防火墙>安全策略>：添加公开地址是202.100.100.3，对外服务是pop3，内部地址是MAIL_SERVER，

内部服务是pop3的端口映射规则。17. 防火墙>安全策略>：添加公开地址是202.100.100.3，对外服务是ftp，内部地址是FTP_SERVER，内部服务是ftp的端口映射规则。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

配置服务端口映射：

1. 网络管理>网络设备>：编辑物理设备fe4，将IP地址配置为202.100.100.3，掩码是255.255.255.0。

2. 网络管理>静态路由>：添加下一跳地址是202.100.100.1的默认路由。目的地址，掩码都是0.0.0.0，接口选择fe4。

3.注意：防火墙是基于资源的，所以在配置下面的策略时，请先定义如下的资源：WWW_SERVER：主机地址172.16.1.10，掩码是255.255.255.255

4. 防火墙>安全规则>：添加源地址是any，目的地址172.16.1.10，服务是防火墙>安全策略>：添加公开地址是202.100.100.3，对外服务是http，内部地址是WWW_SERVER，内部服务是http的端口映射规则。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。