一步一步教你配置硬件防火墻_第1頁
一步一步教你配置硬件防火墻_第2頁
一步一步教你配置硬件防火墻_第3頁
一步一步教你配置硬件防火墻_第4頁
一步一步教你配置硬件防火墻_第5頁
已閱讀5頁,還剩19頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

一步一步配置硬件防火墻集團(tuán)信息技術(shù)總部蘇亮2009年9月提綱防火墻的配置準(zhǔn)備(位置、接口IP、路由)防火墻的NAT策略

NAT上網(wǎng)、時(shí)間限制、效勞限制、連接數(shù)限制、帶寬限制……..防火墻的端口映射備注:主要是中興防火墻配置防火墻的配置準(zhǔn)備防火墻〔雙機(jī)〕Internet接入switch核心三層交換機(jī)SDH專線防火墻路由器路由器一、九州通網(wǎng)絡(luò)拓樸三層交換機(jī)應(yīng)用效勞器終端防火墻2MB光纖30MB光纖10MB光纖VPN應(yīng)用效勞器終端集團(tuán)總部二級(jí)公司三級(jí)公司VPNVPN應(yīng)用效勞器終端防火墻VPN雙三層交換機(jī)冗余會(huì)聚層交換機(jī)三層交換機(jī)防火墻/VPN外部效勞器(AM、電子商務(wù)等)DMZ區(qū)

一級(jí)骨干網(wǎng)絡(luò);

二級(jí)內(nèi)部網(wǎng)絡(luò);

三級(jí)內(nèi)部網(wǎng)絡(luò);

四級(jí)內(nèi)部網(wǎng)絡(luò)。雙防火墻冗余雙核心交換機(jī)冗余會(huì)聚層交換機(jī)10MB光纖1、連接防火墻〔consol口或默認(rèn)IP〕2、設(shè)置防火墻內(nèi)、外網(wǎng)接口IP3、配置路由

默認(rèn)路由:電信或網(wǎng)通提供的網(wǎng)關(guān)IP

內(nèi)網(wǎng)路由:內(nèi)網(wǎng)三層接口IP防火墻的管理:接口IP防火墻的管理:配置路由默認(rèn)路由、靜態(tài)路由、動(dòng)態(tài)路由防火墻管理:管理員及管理IP設(shè)置管理員權(quán)限:超級(jí)管理員、管理員、只讀管理IP:只有可信的管理IP才能直接訪問防火墻防火墻相關(guān)概念什么是計(jì)算機(jī)端口如果把IP地址比作一間房子,端口就是出入這間房子的門。真正的房子只有幾個(gè)門,但是一個(gè)IP地址的端口可以有65536個(gè)之多!端口是通過端口號(hào)來標(biāo)記的,端口號(hào)只有整數(shù),范圍是從0到65535。

端口有什么用呢?我們知道,一臺(tái)擁有IP地址的主機(jī)可以提供許多效勞,比方Web效勞、FTP效勞、SMTP效勞等,這些效勞完全可以通過1個(gè)IP地址來實(shí)現(xiàn)。那么,主機(jī)是怎樣區(qū)分不同的網(wǎng)絡(luò)效勞呢?顯然不能只靠IP地址,因?yàn)镮P地址與網(wǎng)絡(luò)效勞的關(guān)系是一對(duì)多的關(guān)系。實(shí)際上是通過“IP地址+端口號(hào)”來區(qū)分不同的效勞的。〔源端口/目的端口〕

效勞器一般都是通過知名端口號(hào)來識(shí)別的。例如,對(duì)于每個(gè)TCP/IP實(shí)現(xiàn)來說,F(xiàn)TP效勞器的TCP端口號(hào)都是21,每個(gè)Telnet效勞器的TCP端口號(hào)都是23,每個(gè)TFTP(簡(jiǎn)單文件傳送協(xié)議)效勞器的UDP端口號(hào)都是69。任何TCP/IP實(shí)現(xiàn)所提供的效勞都用知名的1~1023之間的端口號(hào)。這些知名端口號(hào)由Internet號(hào)分配機(jī)構(gòu)〔InternetAssignedNumbersAuthority,IANA〕來管理。

什么是端口映射端口映射:內(nèi)網(wǎng)的一臺(tái)電腦要上因特網(wǎng)對(duì)外開放效勞或接收數(shù)據(jù),都需要端口映射。端口映射分為動(dòng)態(tài)和靜態(tài).動(dòng)態(tài)端口映射:內(nèi)網(wǎng)中的一臺(tái)電腦要訪問新浪網(wǎng),會(huì)向NAT網(wǎng)關(guān)發(fā)送數(shù)據(jù)包,包頭中包括對(duì)方(就是新浪網(wǎng))IP、端口和本機(jī)IP、端口,NAT網(wǎng)關(guān)會(huì)把本機(jī)IP、端口替換成自己的公網(wǎng)IP、一個(gè)未使用的端口,并且會(huì)記下這個(gè)映射關(guān)系,為以后轉(zhuǎn)發(fā)數(shù)據(jù)包使用。然后再把數(shù)據(jù)發(fā)給新浪網(wǎng),新浪網(wǎng)收到數(shù)據(jù)后做出反響,發(fā)送數(shù)據(jù)到NAT網(wǎng)關(guān)的那個(gè)未使用的端口,然后NAT網(wǎng)關(guān)將數(shù)據(jù)轉(zhuǎn)發(fā)給內(nèi)網(wǎng)中的那臺(tái)電腦,實(shí)現(xiàn)內(nèi)網(wǎng)和公網(wǎng)的通訊.當(dāng)連接關(guān)閉時(shí),NAT網(wǎng)關(guān)會(huì)釋放分配給這條連接的端口,以便以后的連接可以繼續(xù)使用。動(dòng)態(tài)端口映射其實(shí)也就是NAT網(wǎng)關(guān)的工作方式。靜態(tài)端口映射:就是在NAT網(wǎng)關(guān)上開放一個(gè)固定的端口,然后設(shè)定此端口收到的數(shù)據(jù)要轉(zhuǎn)發(fā)給內(nèi)網(wǎng)哪個(gè)IP和端口,不管有沒有連接,這個(gè)映射關(guān)系都會(huì)一直存在。就可以讓公網(wǎng)主動(dòng)訪問內(nèi)網(wǎng)的一個(gè)電腦。防火墻的NAT策略什么是NAT〔網(wǎng)絡(luò)地址轉(zhuǎn)換〕網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,NetworkAddressTranslation)被廣泛應(yīng)用于各種類型Internet接入方式和備種類型的網(wǎng)絡(luò)中。原因很簡(jiǎn)單,NAT不僅完美地解決了lP地址缺乏的問題,而且還能夠有效地防止來自網(wǎng)絡(luò)外部的攻擊,隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。

借助于NAT,私有(保存)地址的“內(nèi)部”網(wǎng)絡(luò)通過路由器發(fā)送數(shù)據(jù)包時(shí),私有地址被轉(zhuǎn)換成合法的IP地址,一個(gè)局域網(wǎng)只需使用少量IP地址(甚至是1個(gè))即可實(shí)現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計(jì)算機(jī)與Internet的通信需求。

NAT將自動(dòng)修改IP報(bào)文頭中的源IP地址和目的IP地址,Ip地址校驗(yàn)?zāi)敲丛贜AT處理過程中自動(dòng)完成。NAT實(shí)現(xiàn)方式靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址,IP地址對(duì)是一對(duì)一的,是一成不變的,某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)轉(zhuǎn)換,可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如效勞器)的訪問。

動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí),IP地址對(duì)是不確定的,而是隨機(jī)的,所有被授權(quán)訪問上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說,只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換,以及用哪些合法地址作為外部地址時(shí),就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)??梢圆捎脛?dòng)態(tài)轉(zhuǎn)換的方式。internetCatalyst2924〔Nat以后地址〕策略必須包含以下信息:源IP目標(biāo)IP效勞〔目標(biāo)端口〕行為:允許/拒絕時(shí)間限制流量限制連接數(shù)限制應(yīng)用限制網(wǎng)址限制下載限制復(fù)雜的NAT策略NAT策略截圖〔中興防火墻〕如何做端口映射1、保證需要映射的效勞在內(nèi)網(wǎng)訪問正常,明確使用的IP及端口2、要使用的外網(wǎng)IP〔只能是硬件防火墻可以使用的〕及對(duì)外的端口3、定義該端口并做端口映射4、做允許外網(wǎng)用戶訪問該效勞的規(guī)那么5、測(cè)試InternetWWW效勞器80特點(diǎn):只有一個(gè)公有IP,具有三個(gè)不同的效勞器內(nèi)部網(wǎng)訪問Internet需要做NAT內(nèi)外網(wǎng)訪問DMZ區(qū)的效勞器需要做SAT(端口映射〕NATSATIntExtDmz端口映射策略截圖〔中興防火墻〕允許從外網(wǎng)訪問映射的效勞防火墻配置使用技巧1、單獨(dú)配置一個(gè)接口做管理口2、只允許可管理IP能直接訪問防火墻3、VPN和阻止策略放

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論