第十九硬件硬件防火墻的配置

實訓(xùn)十九、銳捷硬件防火墻的配置重點內(nèi)容：?掌握使用WEB方式配置硬件防火墻；?掌握銳捷防火墻實現(xiàn)安全策略的配置；?掌握銳捷防火墻實現(xiàn)抗攻擊的配置；一、硬件防火墻設(shè)備的安裝目前,硬件防火墻通常除了初始配置端口（console口）外,一般還提供三個以上的LAN端口,分別用于連接內(nèi)部網(wǎng)絡(luò)（LAN）、外部網(wǎng)絡(luò)（WAN）及非軍事區(qū)域（DMZ）。非軍事區(qū)域主要用于存放單位/企業(yè)的網(wǎng)絡(luò)服務(wù)器,如WEB服務(wù)器、FTP服務(wù)器、E-mail服務(wù)器等。下面以圖19-1銳捷硬件防火墻（RG-WALL120）為例,介紹設(shè)備的物理端口的功能。面板的第一個端口為console端口,第二個端口為AUX端口,該端口可通過Modem設(shè)備實現(xiàn)遠(yuǎn)程配置防火墻。接下來四個端口為LAN端口。而防火墻的電源接口位置在防火墻的后面板。圖19-

1

銳捷硬件防火墻設(shè)備的安裝過程如下:1、將防火墻安裝于機柜中，并用螺絲釘固定。2、使用電源線連接防火墻的電源接口（位置于后面板）至電源插排上。3、分別將連接外部網(wǎng)絡(luò)及連接內(nèi)部網(wǎng)絡(luò)的雙絞線隨意選擇一個LAN端口插入，不過在登錄防火墻配置接口IP地址時，要根據(jù)相應(yīng)的接口配置對應(yīng)的IP地址。提示:有的防火墻面板上標(biāo)有LAN端口、WAN端口及DMZ端口，則只要將相應(yīng)的網(wǎng)線插入相應(yīng)的端口就可以了。完成硬件上的線路連接后，還需要登錄到防火墻內(nèi)部進(jìn)行配置相應(yīng)端口的IP地址，方可實現(xiàn)防火墻的功能。4、如果內(nèi)部網(wǎng)絡(luò)安裝了網(wǎng)絡(luò)服務(wù)器，并需要向外網(wǎng)提提供網(wǎng)絡(luò)服務(wù)，此時，可再隨意選擇一個LAN端口作為DMZ端口（如取lan3），通過雙絞線網(wǎng)線連接防火墻（lan3端口）到交換機上，交換機上再通過雙絞線網(wǎng)線可連接多臺服務(wù)器，如WEB服務(wù)器，F(xiàn)TP服務(wù)器等。二、安裝防火墻軟件許可證(密鑰)購買硬件防火墻時,通常廠商會提供防火墻的硬件密鑰或軟件密鑰,硬件密鑰通常為USB接口,但由于提供硬件密鑰的設(shè)備較容易損壞或丟失,現(xiàn)在部分廠商將提供軟件密鑰。下面以銳捷RG-WALL120防火墻提供的軟件密鑰程序,介紹其安裝過程。1、在管理主機上雙擊防火墻許可證（密鑰）程序,啟動“證書導(dǎo)入向?qū)А?如圖19-2所示。2、單擊“下一步”按鈕,選擇要導(dǎo)入的許可證文件的路徑,如圖19-3所示。圖19-3

導(dǎo)入許可證文件路徑圖19-2

證書導(dǎo)入向?qū)?、單擊“下一步”按鈕，輸入證書密碼，該證書密碼可以從購買該設(shè)備的廠商中得到。4、單擊“下一步”按鈕，選擇證書存儲區(qū)，按默認(rèn)設(shè)置，單擊“下一步”按鈕。5、提示完成證書導(dǎo)入任務(wù)，單擊“完成”按鈕，完成許可證（密鑰）的安裝。提示:許可證書導(dǎo)入成功后，就可以配置管理主機登錄防火墻中進(jìn)行配置了。三、以Web管理方式配置防火墻1、使用雙絞線網(wǎng)線連接PC機的網(wǎng)卡至防火墻的LAN端口（假設(shè)fe1端口為出廠默認(rèn)配置口），配置PC機的IP地址、子網(wǎng)掩碼及網(wǎng)關(guān)。IP地址設(shè)置為防火墻出廠默認(rèn)的管理主機IP地址（如00），網(wǎng)關(guān)為防火墻的出廠默認(rèn)接口IP地址（如00）。2、打開IE瀏覽器，在地址欄中輸入防火墻出廠默認(rèn)接口的管理IP地址及端口號，如https://192.168.10.100:6666，回車后打開登錄界面，如圖19-4所示。注意“http”后面帶一個“s”。錄到防火墻后,你可以通過添加/修改接口的IP地址及管理主機IP地址,然后根據(jù)防火墻中所設(shè)置的管理主機IP地址、接口IP地址重新配置PC機的IP地址及網(wǎng)關(guān)。本例中根據(jù)內(nèi)網(wǎng)IP規(guī)劃要求,設(shè)置防火墻fe2接口為配置接口,用于連接內(nèi)部網(wǎng)絡(luò),該接口IP地址設(shè)置為,并添加管理主機IP地址為172.16.0.2。所以,當(dāng)重新配置管理機的IP地址、子網(wǎng)掩碼及網(wǎng)關(guān)后在打開的IE地址欄中輸入https://172.16.0.1:6666,就可以打開防火墻登錄界面。如圖19-5所示。圖19-4防火墻登錄界面圖19-5防火墻登錄界面3、輸入默認(rèn)的帳號及口令,單擊“登錄”按鈕,打開防火墻配置窗口,如圖19-6所示。4、配置管理方式單擊窗口左列表中的“管理配置”→“管理方式”,如圖19-7所示。圖19-6防火墻首頁圖19-7管理方式5、配置管理主機單擊窗口左列表中的“管理配置”→“管理主機”,單擊“添加主機”按鈕,輸入管理主機的IP地址,如172.16.0.2,設(shè)置完成后將保存在列表中,如圖19-8所示。6、配置管理員帳號單擊窗口左列表中的“管理配置”→“管理員帳號”,打開配置窗口如圖19-9所示。圖19-9

設(shè)置管理員帳號圖19-8設(shè)置管理主機IP7、配置接口（端口）IP地址單擊窗口左列表中的“網(wǎng)絡(luò)配置”→“接口IP”,打開的配置界面如圖19-10所示。接著根據(jù)內(nèi)外網(wǎng)絡(luò)的網(wǎng)線所插入防火墻的接口來配置相應(yīng)的接口IP地址。假設(shè)fe2網(wǎng)絡(luò)接口連接內(nèi)部網(wǎng)絡(luò),fe3網(wǎng)絡(luò)接口連接外部網(wǎng)絡(luò),則fe2接口的IP地址配置為內(nèi)網(wǎng)保留IP地址,如172.16.0.1；fe3接口的IP地址配置為外網(wǎng)真實IP地址,如61.131.24.244。圖19-

10

接口IP地址8、配置策略路由單擊窗口左列表中的“網(wǎng)絡(luò)配置”→“策略路由”,打開配置界面如圖19-11所示。單擊“添加”按鈕,打開編輯策略路由的窗口,如圖19-12所示。圖19-

11

策略路由列表圖19-

12

編輯策略路由9、添加安全規(guī)則單擊窗口左列表中的“安全策略”→“安全規(guī)則”,在右窗口中的點擊“添加”按鈕,彈出“安全規(guī)則維護(hù)”對話框,如圖19-13所示。在“安全規(guī)則維護(hù)”對話框中可以添加網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、包過濾、IP地址映射、端口映射等類型的安全規(guī)則。配置NAT規(guī)則,可以使內(nèi)部網(wǎng)絡(luò)中使用私有IP地址的主機訪問Internet資源；配置包過濾規(guī)則,可以阻止非法用戶訪問網(wǎng)絡(luò)資源；配置IP地址映射和端口映射規(guī)則,可以實現(xiàn)將內(nèi)網(wǎng)中的網(wǎng)絡(luò)服務(wù)器公布于Internet上,以供外網(wǎng)用戶訪問。圖19-

13安全規(guī)則維護(hù)1)、添加NAT規(guī)則在“安全規(guī)則維護(hù)”對話框中,規(guī)則序號和規(guī)則名可隨意命名。源地址表示本地網(wǎng)絡(luò)的地址,你可以選擇“手工輸入”或選擇已定義的列表名稱,如DMZ名稱(不過列表各個名稱所對應(yīng)的地址必須預(yù)先在“對象定義>>地址>>地址列表”中定義好)。目的地址是指你要訪問的目標(biāo)網(wǎng)絡(luò),選擇“any”,表示到任何地方。服務(wù)選項中可以選擇具體的某個服務(wù)（如http,ftp等）,表示只開放該服務(wù)項,如果選擇“any”,則表示開放所有的服務(wù)。本例以配置內(nèi)網(wǎng)中私有IP地址為172.16.0.0-172.16.8.254轉(zhuǎn)換成公網(wǎng)IP地址為44,從而實現(xiàn)訪問外網(wǎng)的所有服務(wù),具體配置如圖19-14所示。圖19-

14添加NAT規(guī)則2)、添加包過濾規(guī)則添加包過濾規(guī)則相當(dāng)于在路由器的命令行方式下配置訪問控制列表，以允許或禁止相應(yīng)的用戶訪問網(wǎng)絡(luò)資源，具體配置如圖19-15、23-16所示。圖19-15中所配置的包過濾規(guī)則內(nèi)容是:允許源IP地址為192.168.10.200的主機訪問目的IP地址為這臺WEB服務(wù)器。圖19-16中所配置的包過濾規(guī)則內(nèi)容是:允許源IP地址為192.168.10.200的主機訪問目的IP地址為這臺FTP服務(wù)器。圖19-

16

添加包過濾規(guī)則圖19-

15

添加包過濾規(guī)則3)、添加IP映射規(guī)則IP映射通常是一對一的,即一個內(nèi)網(wǎng)私有IP地址和一個公網(wǎng)IP地址建立映射關(guān)系。方法是將內(nèi)網(wǎng)中使用私用IP地址的服務(wù)器映射成一個具體的公網(wǎng)IP地址,或者說將公網(wǎng)IP地址映射到內(nèi)網(wǎng)中的某個具體的私有IP地址。這樣,當(dāng)外網(wǎng)用戶訪問該公網(wǎng)IP地址時,系統(tǒng)會自動轉(zhuǎn)到所映射的內(nèi)網(wǎng)私有IP地址的主機,該主機通常提供某種網(wǎng)絡(luò)服務(wù),如WEB服務(wù)、FTP服務(wù)器。所以,IP映射主要應(yīng)用于將內(nèi)網(wǎng)的服務(wù)器發(fā)布于Internet上,以供外網(wǎng)用戶訪問,如WEB服務(wù)器、FTP服務(wù)器、E-mail服務(wù)器等。配置如圖19-17所示。圖19-

17添加IP映射規(guī)則4）、添加端口映射規(guī)則端口映射與IP映射的區(qū)別在于IP映射將提供所有的端口服務(wù),而端口映射是指提供具體的某個端口服務(wù),如提供FTP服務(wù)的端口號默認(rèn)為21、HTTP服務(wù)的端口號默認(rèn)為80。本例中假設(shè)內(nèi)網(wǎng)FTP服務(wù)器使用私有IP地址為,當(dāng)該內(nèi)網(wǎng)IP地址與公網(wǎng)IP地址44建立映射關(guān)系后,外網(wǎng)用戶訪問44這個公網(wǎng)IP地址時,防火墻將自動轉(zhuǎn)到內(nèi)網(wǎng)中IP地址為這臺FTP服務(wù)器。這樣,就實現(xiàn)將內(nèi)網(wǎng)FTP服務(wù)器發(fā)布于Internet上了。具體配置如圖19-18所示。圖19-

18

添加端口映射10、配置防火墻接口具有抗攻擊能力單擊窗口左列表中的“安全策略”→“抗攻擊”按鈕,選擇窗口右列表相應(yīng)的接口,然后單擊“編輯”按鈕,彈出該接口的抗攻擊設(shè)置對話框,如圖19-19所示。打勾“啟用抗攻擊”復(fù)選框及相應(yīng)的抗攻擊類型選擇,單擊“確定”按鈕,完成設(shè)置。圖19-

19

抗攻擊設(shè)置11、使用“初始向?qū)А惫δ芘渲梅阑饓κ状问褂梅阑饓?我們可以通過“初始向?qū)А眮韺Ψ阑饓M(jìn)行簡單的配置,但初始向?qū)е荒芘渲梅阑饓邆浠镜氖褂霉δ?。配置步驟如下。1）、登錄到防火墻后,單擊界面中的“初始向?qū)А卑粹o,彈出修改管理員口令的窗口如圖19-20所示。2）、單擊“下一步”按鈕,設(shè)置工作模式,這里設(shè)置成路由模式。3）、單擊“下一步”按鈕,設(shè)置連接內(nèi)外網(wǎng)的接口IP地址及子網(wǎng)掩碼,如圖19-21所示。圖19-20

修改管理員口令圖19-21

設(shè)置接口IP4）、單擊“下一步”按鈕,設(shè)置默認(rèn)網(wǎng)關(guān)IP地址,如“61.131.24.241”。5）、單擊“下一步”按鈕,設(shè)置管理主機,這里輸入“172.1