《防火墙培训》PPT课件

防火墙配置培训培训内容第一部分防火墙初始配置第二部分防火墙源NAT配置第三部分防火墙目的NAT配置第一部分防火墙初始配置初始化的内容由于大多数用户习惯于使用图形化界面对设备进行配置，所以我们这里讲的初始化的目的是：在能对防火墙使用图形化界面管理之前需要事先做好的配置。可采用以下任意两种方法：使用防火墙初始IP对其进行配置使用Console口进行配置配置接口地址添加管理服务添加具有管理权限的主机地址使用防火墙初始IP对其进行配置缺省出厂时防火墙Eth0/0接口IP为192.168.1.1/24可将管理主机IP配置为192.168.1.0/24网段IP与防火墙eth0/0接口相连，通过WEB登陆防火墙管理界面在浏览器地址栏中输入以下两种URL均可http://192.168.1.1https://192.168.1.1---经过SSL加密推荐使用缺省登陆用户名：admin密码：admin通过Console管理在出厂缺省配置被修改或其他无法通过WEBUI管理的情况下可通过console口登陆管理终端登陆参数设置如下：初始登陆用户名：admin密码：adminConsole口初始配置步骤对防火墙的初始管理配置包括以下几步：将接口加入指定的安全域（先）指定接口IP（后）指定接口管理服务指定接口管理IP(可选）添加可信任的管理主机IPConsole口初始配置步骤先将接口加入指定的安全域login:adminpassword:DCFW-1800#configDCFW-1800(config)#inteth0/1DCFW-1800(config-if-eth0/1)#ipaddress192.168.10.1/242008-06-2614:56:14,EventERR@NET:Failedtoexecuteconfigurationcommandinterfaceethernet0/1:ipaddress192.168.10.1255.255.255.0error:theinterfacedoesn'tbindtoanyzone,pleasebindtoazonebeforeconfigipaddress如果接口没有加入安全域前先添加接口IP将出现如上错误提示Console口初始配置步骤先将接口加入指定的安全域DCFW-1800(config-if-eth0/1)#zoneuntrust--将接口添加到安全域中DCFW-1800(config-if-eth0/1)#ipaddress192.168.10.1/24--为接口配置IP地址DCFW-1800(config-if-eth0/1)#managehttp--对该接口启用http管理服务DCFW-1800(config-if-eth0/1)#managehttps--对该接口启用https管理服务DCFW-1800(config-if-eth0/1)#managetelnet--对该接口启用telnet管理服务DCFW-1800(config-if-eth0/1)#managessh--对该接口启用ssh管理服务DCFW-1800(config-if-eth0/1)#manageping--该接口允许pingDCFW-1800(config-if-eth0/1)#manageip192.168.10.2--为接口指定管理IP（可选）(建议仅仅开放需要的管理服务，推荐WEBUI采用https，CLI采用SSH)Console口初始配置步骤具有安全意义的步骤添加可信任的管理主机DCFW-1800(config)#adminhost?anyAnyipaddressA.B.C.DHostIPaddressDCFW-1800(config)#adminhost192.168.1.0255.255.255.0？anyAllowedanylogintypehttpAllowedloginfromhttphttpsAllowedloginfromhttpssshAllowedloginfromsshtelnetAllowedloginfromtelnetDCFW-1800(config)#adminhost192.168.1.0255.255.255.0https这示192.168.1.0/24网段的设备都具备对防火墙的https管理权限（完成以上配置就可通过WEBUI方式对防火墙进行管理）Console口初始配置步骤具有安全意义的步骤修改缺省管理员admin口令DCN(config)#adminuseradminDCN(config-admin)#passwordq!Jiwx$*lc2H64cd#修改缺省的管理服务端口DCN(config)#httpport8088DCN(config)#httpsport1211创建具有不同权限的管理员需要使用admin账户创建新的管理员账户，并可对其修改、删除。使用admin添加的新管理员账户可赋予不同的权限（读、写）。使用admin添加的新管理员账户可赋予不同的管理方式。恢复出厂配置CLI命令:unsetallWebUI系统>维护>配置>管理>重置硬件开机加电前按住前面板“CLR”，然后加电；加电15秒后松开。常用查看命令ShowconfigShowversionShowinterfaceShowzoneShowiprouteShowadminuser/host/auth-serverShowarp第二部分防火墙源NAT配置描述InternetGW：222.1.1.1Eth0：192.168.1.1/24Zone:trustEth1：222.1.1.2/24Zone:untrust内网网段：192.168.1.0/24网络拓扑需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet配置步骤将接口加入所属的安全域并为接口配置IP地址添加路由配置源NAT添加安全策略保存配置配置步骤将接口加入所属的安全域并为接口配置IP地址CLI下先配置eth0/0接口DCFW-1800#configDCFW-1800(config)#interfaceeth0/0DCFW-1800(config-if-eth0/0)#zonetrust--将eth0/0接口加入trust安全域DCFW-1800(config-if-eth0/0)#ipadd192.168.1.1/24DCFW-1800(config-if-eth0/0)#managehttpsDCFW-1800(config-if-eth0/0)#manageping添加管理主机DCFW-1800(config)#adminhostanyany任意地址任意管理方式配置步骤将接口加入所属的安全域并为接口配置IP地址通过WEBUI登陆防火墙配置外网口所属安全域及IP只有指定安全域类型为“三层安全域”时才能给接口配置IP配置步骤添加路由这里添加的是到外网的缺省路由下一跳网关地址为222.1.1.1在“目的路由”中“新建”路由条目这里的子网掩码既可以写成0也可以写成0.0.0.0，防火墙会自动识别配置步骤配置源NAT在“源NAT”中“新建”源NAT条目出接口选择外网口内网访问Internet时转换为外网接口ip配置步骤添加安全策略在“安全”->“策略”中选择好“源安全域”和“目的安全域”后，新建策略。若对策略中的各个选项有更多配置可点击“高级配置”进行编辑配置步骤添加安全策略-安全策略高级配置模式安全策略的高级配置模式可以对各选项做出更多编辑。添加多个源地址添加多个目的地址添加多个服务对象可以添加时间对象以限制该策略仅在某个时段有效激活高级配置模式配置步骤保存配置所有配置在点击“确定”后立即生效，但并未保存到防火墙的启动配置中，所以为防止配置丢失需要对配置进行保存。通过给配置文件命名，防火墙最多可保存10份不同的配置。点击“保存”可以赋予配置文件不同的名称以对不同时间的配置加以区分第三部分防火墙目的NAT配置案例描述需求描述使用外网口IP为内网FTPServer及WEBServerB做端口映射，并允许外网用户访问该Server的FTP和WEB服务，其中Web服务对外映射的端口为TCP8000。允许内网用户通过域名访问WEBServerB(即通过合法IP访问）。使用合法IP218.240.143.220为WebServerA做IP映射，放允许内外网用户对该Server的Web访问。Eth0/0:192.168.1.91/24Zone:trustEth0/1:218.240.143.221/24Zone:untrustFTPServer&WebServerBIP:192.168.1.10/24InternetWebServerAIP:192.168.10.2/24Eth0/2:192.168.10.1/24Zone:DMZ配置步骤需求1配置步骤使用外网口IP为内网FTPServer及WEBServerB做端口映射，并允许外网用户访问该Server的FTP和WEB服务，其中Web服务对外映射的端口为TCP8000。配置目的NAT创建安全策略放行外网用户的访问。配置步骤需求1配置步骤-准备工作定义服务对象。我们要映射的端口为目的端口，端只有一个，所以只填写最小值即可因为此处定义的TCP8000端口将来为HTTP应用，所以要需要与应用类型管理，以便让防火墙知道该端口为HTTP业务使用配置步骤需求1配置步骤-配置目的NAT配置目的NAT,为trust区域server映射FTP(TCP21)和HTTP(TCP80)端口。此地址即外网用户要访问的合法IP。因为使用防火墙外网口IP映射，所以此处引用防火墙中缺省定义的地址对象ipv4.ethernet0/1。该对象表示Eth0/1接口IP代表内网服务器的实际地址对象webBServer对外宣布web服务端口为TCP8000webBServer真实的web服务端口为TCP80配置步骤需求1配置步骤-创建安全策略创建安全策略，允许untrust区域用户访问trust区域server的FTP和web应用。目的地址要定义为server映射前的合法IP。所以这里要选择代表外网口IP的地址对象从左边的可用成员中选中相应的服务对象推入右侧组成员中配置步骤需求2配置步骤允许内网用户通过域名访问WEBServerB(即通过合法IP访问）实现这一步所需要做的就是在之前的配置基础上，增加Trust->Trust的安全策略目的地址为转换前的合法IP。配置步骤需求3配置步骤使用合法IP218.240.143.220为WebServerA做IP映射，放允许内外网用户对该Server的Web访问。使用IP映射配置目的NAT创建安全策略，允许untrust用户对WebServerA的web访问配置步骤需求3配置步骤-准备工作定义地址对象。使用“IP成员”选项定义DMZ区域的server地址使用“IP成员”选项定义要映射的合法IP配置步骤需求3配置步骤-配置目的NAT为DMZ区域的WebServerA配置静态IP映射。对外宣告的合法IP用真实地址定义的地址对象配置步骤需求3配置步骤-创建安全策略创建安全策略，允许untrust用户访问WebServerA的HTTP应用。目的地址为转换前的合法IP。配置步骤需求3配置步骤-创建安全策略创建安全策略，允许trust用户访问WebServerA的HTTP应用。目的地址为转换前的合法IP。谢谢！