防火墻的安裝和調(diào)試

實(shí)驗(yàn)六防火墻的安裝配置1003實(shí)驗(yàn)一、實(shí)驗(yàn)介紹：1、實(shí)驗(yàn)名稱：防火墻的安裝和配置2、實(shí)驗(yàn)?zāi)康模赫莆辗阑饓Φ陌惭b和配置3、實(shí)驗(yàn)設(shè)備：防火墻、PC機(jī)各一臺(tái)4、實(shí)驗(yàn)時(shí)間：40分鐘二、防火墻簡介古時(shí)候,人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢(shì)蔓延到別的寓所，這種墻稱作‘防火墻’。在網(wǎng)絡(luò)時(shí)代，當(dāng)一個(gè)網(wǎng)絡(luò)接入Internet以后，它的用戶就可以與外部世界相互通信。為安全起見，人們?cè)谠摼W(wǎng)絡(luò)和Internet之間插入一個(gè)中介系統(tǒng)，豎起一道安全屏障。這道屏障作為扼守本網(wǎng)絡(luò)的安全和審計(jì)的唯一關(guān)卡，可以阻斷來自外部世界的威脅和入侵，這種中介系統(tǒng)也叫做‘防火墻’或‘防火墻系統(tǒng)’。防火墻作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器、限制器和分析器，可以有效監(jiān)控內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻通常是放在外部因特網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，以保證內(nèi)部網(wǎng)絡(luò)的安全。1003實(shí)驗(yàn)防火墻邏輯位置示意圖：防火墻的兩個(gè)重要的任務(wù)就是：在不危及內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)與其它資源的前提下允許本地用戶使用外部網(wǎng)絡(luò)的資源將外部未被授權(quán)的用戶屏蔽在內(nèi)部網(wǎng)絡(luò)之外而無法使用內(nèi)部的資源1003實(shí)驗(yàn)三、實(shí)驗(yàn)步驟：

1、防火墻初始化操作步驟

2、路由模式配置

3、橋接模式配置

4、混合模式配置1003實(shí)驗(yàn)四、實(shí)驗(yàn)內(nèi)容：

1、防火墻初始化操作步驟(1)用串口線將防火墻和電腦COM口相聯(lián)；(2)啟動(dòng)超級(jí)終端，終端屬性設(shè)置為：波特率：9600；數(shù)據(jù)位：8；奇偶校驗(yàn)：無；停止位：1；流控制：無(3)進(jìn)入防火墻后，要求輸入登錄帳號(hào)和密碼，帳號(hào)和密碼如下：帳號(hào)：root密碼：sys123(4)運(yùn)行初始化命令：Secuadm

reglicense

(5)輸入產(chǎn)品系列號(hào)及確認(rèn)號(hào)碼（在防火墻的標(biāo)簽上）及確定管理防火墻的接口（一般為eth3）和IP地址（一般為/24和管理端的IP地址：54/24）說明：若是正式銷售出廠產(chǎn)品而言，已經(jīng)完成注冊(cè)，無需進(jìn)行上述步驟。1003實(shí)驗(yàn)以上步驟操作完后，即可以通過“防火墻的客戶端”軟件對(duì)防火墻進(jìn)行配置；防火墻客戶端軟件的安裝：在電腦上安裝防火墻客戶端軟件（在隨機(jī)光盤的“client/setup210_start/setup210”目錄里；）將電腦的IP地址改成跟防火墻某一接口的IP地址同一網(wǎng)段，并用隨機(jī)所帶的交叉線連接；運(yùn)行客戶端軟件：防火墻的客戶端安裝結(jié)束后，自動(dòng)在桌面產(chǎn)生一個(gè)“配置龍馬衛(wèi)士安全平臺(tái)(2.1-0)”快捷圖標(biāo)

系統(tǒng)啟動(dòng)過程中將出現(xiàn)圖所示界面，表示程序正在載入：

1003實(shí)驗(yàn)在當(dāng)前節(jié)點(diǎn)上建立連接，然后單擊確定，即可進(jìn)行防火墻的配置了：1003實(shí)驗(yàn)四、實(shí)驗(yàn)內(nèi)容：

2、路由模式配置

1）網(wǎng)絡(luò)拓?fù)浼罢f明：InternetNetworke0e1e2e31003實(shí)驗(yàn)

Eth0：接Internet網(wǎng)絡(luò)；該接口的IP地址：41/92；對(duì)端ISPIP：29/92；

Eth1：接內(nèi)部局域網(wǎng)絡(luò)；該接口的IP地址：/24；網(wǎng)關(guān)54Eth2：DMZ區(qū)，接對(duì)外提供服務(wù)的Internet服務(wù)器Server1（如WWW、FTP、Mail）。該接口的IP地址：/24；

Server1IP：/24。防火墻通過目的地址NAT，將外部的數(shù)據(jù)包的目的IP改成內(nèi)部Server1的私有IP和相應(yīng)的端口，保證了外部用戶正常訪問內(nèi)部服務(wù)器，同時(shí)，又保證了服務(wù)器免受攻擊，達(dá)到安全的目的。

Eth3：管理和配置防火墻的接口，該接口IP地址：/24；與該接口相連的電腦cfgGUIIP地址：54/24；1003實(shí)驗(yàn)2）配置過程(1)首先進(jìn)行接口以及路由的配置：在系統(tǒng)配置標(biāo)簽中點(diǎn)擊“接口/網(wǎng)橋”圖標(biāo)然后單擊確定。Lan,dmz,contrl

口的配置方法相同。

1003實(shí)驗(yàn)在系統(tǒng)配置標(biāo)簽中點(diǎn)擊“路由配置”圖標(biāo)，定義缺省網(wǎng)關(guān)“29/26”

1003實(shí)驗(yàn)(2)配置包過濾規(guī)則：定義資源對(duì)象：在“安全策略”對(duì)象中單擊“包過濾”圖標(biāo)，定義如下:

然后單擊“確定”1003實(shí)驗(yàn)1003實(shí)驗(yàn)資源對(duì)象wan,dmz的定義方法相同。結(jié)果如下：1003實(shí)驗(yàn)增加三條安全通道：分別為“l(fā)an

到wan”，“l(fā)an

到dmz”，和”wan到dmz”1003實(shí)驗(yàn)然后定各個(gè)通道的安全規(guī)則：1003實(shí)驗(yàn)1003實(shí)驗(yàn)1003實(shí)驗(yàn)(3)定義網(wǎng)絡(luò)地址轉(zhuǎn)換：首先新建內(nèi)網(wǎng)訪問外網(wǎng)的“向外的源地址的轉(zhuǎn)換”1003實(shí)驗(yàn)1003實(shí)驗(yàn)然后定義“向內(nèi)的目的地址的轉(zhuǎn)換”，規(guī)則如下1003實(shí)驗(yàn)（4）在狀態(tài)監(jiān)控的“服務(wù)”選項(xiàng)中，開啟“包過濾和NAT”服務(wù)（這一步一定要做）1003實(shí)驗(yàn)（5）加載并保存配置：在管理主界面導(dǎo)航目錄“工具”中選擇“保存配置”1003實(shí)驗(yàn)最后加載規(guī)則，整個(gè)配置完成。1003實(shí)驗(yàn)四、實(shí)驗(yàn)內(nèi)容：

3、橋接模式配置

1）網(wǎng)絡(luò)拓?fù)浼罢f明：

InternetNetworke0e1e2e31003實(shí)驗(yàn)

Eth0：接路由器；

Eth1：接內(nèi)部局域網(wǎng)絡(luò)；

Eth2：DMZ區(qū)，接對(duì)外提供服務(wù)的Internet服務(wù)器Server1（如WWW、FTP、Mail）；

Eth3：管理和配置防火墻的接口，該接口IP地址：/24；與該接口相連的電腦cfgGUIIP地址：54/24；網(wǎng)橋地址:/24；

NAT以及向內(nèi)地址映射由路由器來實(shí)現(xiàn)局域網(wǎng)可以訪問wan區(qū)，dmz區(qū)，wan區(qū)可以訪問服務(wù)器區(qū)，其他全部拒絕。1003實(shí)驗(yàn)2）配置過程(1)首先進(jìn)行接口的配置：在系統(tǒng)配置標(biāo)簽中點(diǎn)擊“接口/網(wǎng)橋”圖標(biāo)接口定義分配地址（不分配地址也可以）：

eth0ip:1eth1ip:2eth2ip:3eth3ip:eth1,eth2,eth3設(shè)定方法同樣。

然后單擊確定。Lan,dmz,contrl

口的配置方法相同。

1003實(shí)驗(yàn)分配橋接口地址：brg0:點(diǎn)擊“確定”后完成系統(tǒng)設(shè)置如右：

1003實(shí)驗(yàn)(2)配置包過濾規(guī)則：定義資源對(duì)象：在“安全策略”對(duì)象中單擊“包過濾”圖標(biāo)，定義如下:

然后單擊“確定”1003實(shí)驗(yàn)1003實(shí)驗(yàn)資源對(duì)象wan,dmz的定義方法相同。結(jié)果如下：1003實(shí)驗(yàn)增加三條安全通道：分別為“l(fā)an

到wan”，“l(fā)an

到dmz”，和”wan到dmz”1003實(shí)驗(yàn)然后定各個(gè)通道的安全規(guī)則：1003實(shí)驗(yàn)1003實(shí)驗(yàn)1003實(shí)驗(yàn)（3）在狀態(tài)監(jiān)控的“服務(wù)”選項(xiàng)中，開啟“包過濾”服務(wù)（這一步一定要做）（4）加載并保存配置：在管理主界面導(dǎo)航目錄“工具”中選擇“保存配置”1003實(shí)驗(yàn)最后加載規(guī)則，整個(gè)配置完成。1003實(shí)驗(yàn)四、實(shí)驗(yàn)內(nèi)容：

4、混合模式配置

1）網(wǎng)絡(luò)拓?fù)浼罢f明：InternetNetworke0e1e2e31003實(shí)驗(yàn)

Eth0：接Internet網(wǎng)絡(luò)；

Eth1：接內(nèi)部局域網(wǎng)絡(luò)；

Eth2：DMZ區(qū)，接對(duì)外提供服務(wù)的Internet服務(wù)器Server1（如WWW、FTP、Mail）。

Server1IP為公網(wǎng)地址

Eth3：管理和配置防火墻的接口，該接口IP地址：/24；與該接口相連的電腦cfgGUIIP地址：54/24；

bridge1：包括Eth0和Eth1,IP地