实训十九、锐捷硬件防火墙的配置.ppt

实训十九、锐捷硬件防火墙的配置,重点内容：掌握使用WEB方式配置硬件防火墙；掌握锐捷防火墙实现安全策略的配置；掌握锐捷防火墙实现抗攻击的配置；,一、硬件防火墙设备的安装,目前，硬件防火墙通常除了初始配置端口（console口）外，一般还提供三个以上的LAN端口，分别用于连接内部网络（LAN）、外部网络（WAN）及非军事区域（DMZ）。非军事区域主要用于存放单位/企业的网络服务器，如WEB服务器、FTP服务器、E-mail服务器等。下面以图19-1锐捷硬件防火墙（RG-WALL 120）为例，介绍设备的物理端口的功能。面板的第一个端口为console端口，第二个端口为AUX端口，该端口可通过Modem设备实现远程配置防火墙。接下来四个端口为LAN端口。而防火墙的电源接口位置在防火墙的后面板。,图19-1 锐捷硬件防火墙,设备的安装过程如下：1、将防火墙安装于机柜中，并用螺丝钉固定。2、使用电源线连接防火墙的电源接口（位置于后面板）至电源插排上。3、分别将连接外部网络及连接内部网络的双绞线随意选择一个LAN端口插入，不过在登录防火墙配置接口IP地址时，要根据相应的接口配置对应的IP地址。提示：有的防火墙面板上标有LAN端口、WAN端口及DMZ端口，则只要将相应的网线插入相应的端口就可以了。完成硬件上的线路连接后，还需要登录到防火墙内部进行配置相应端口的IP地址，方可实现防火墙的功能。4、如果内部网络安装了网络服务器，并需要向外网提提供网络服务，此时，可再随意选择一个LAN端口作为DMZ端口（如取lan3），通过双绞线网线连接防火墙（lan3端口）到交换机上，交换机上再通过双绞线网线可连接多台服务器，如WEB服务器，FTP服务器等。,二、安装防火墙软件许可证(密钥),购买硬件防火墙时，通常厂商会提供防火墙的硬件密钥或软件密钥，硬件密钥通常为USB接口，但由于提供硬件密钥的设备较容易损坏或丢失，现在部分厂商将提供软件密钥。下面以锐捷RG-WALL120防火墙提供的软件密钥程序，介绍其安装过程。1、在管理主机上双击防火墙许可证（密钥）程序，启动“证书导入向导”，如图19-2所示。2、单击“下一步”按钮，选择要导入的许可证文件的路径，如图19-3所示。,图19-3 导入许可证文件路径,图19-2 证书导入向导,3、单击“下一步”按钮，输入证书密码，该证书密码可以从购买该设备的厂商中得到。4、单击“下一步”按钮，选择证书存储区，按默认设置，单击“下一步”按钮。5、提示完成证书导入任务，单击“完成”按钮，完成许可证（密钥）的安装。提示：许可证书导入成功后，就可以配置管理主机登录防火墙中进行配置了。,三、以Web管理方式配置防火墙,1、使用双绞线网线连接PC机的网卡至防火墙的LAN端口（假设fe1端口为出厂默认配置口），配置PC机的IP地址、子网掩码及网关。IP地址设置为防火墙出厂默认的管理主机IP地址（如），网关为防火墙的出厂默认接口IP地址（如）。,2、打开IE浏览器，在地址栏中输入防火墙出厂默认接口的管理IP地址及端口号，如https:/192.168.10.100:6666，回车后打开登录界面，如图19-4所示。注意“http”后面带一个“s”。,录到防火墙后，你可以通过添加/修改接口的IP地址及管理主机IP地址，然后根据防火墙中所设置的管理主机IP地址、接口IP地址重新配置PC机的IP地址及网关。本例中根据内网IP规划要求，设置防火墙fe2接口为配置接口，用于连接内部网络，该接口 IP地址设置为，并添加管理主机IP地址为。所以，当重新配置管理机的IP地址、子网掩码及网关后在打开的IE地址栏中输入https:/172.16.0.1:6666，就可以打开防火墙登录界面。如图19-5所示。,图19-5 防火墙登录界面,图19-4 防火墙登录界面,3、输入默认的帐号及口令，单击“登录”按钮，打开防火墙配置窗口，如图19-6所示。,图19-6 防火墙首页,4、配置管理方式单击窗口左列表中的“管理配置”“管理方式”，如图19-7所示。,图19-7 管理方式,5、配置管理主机 单击窗口左列表中的“管理配置”“管理主机”，单击“添加主机”按钮，输入管理主机的IP地址，如，设置完成后将保存在列表中，如图19-8所示。,图19-8设置管理主机IP,6、配置管理员帐号 单击窗口左列表中的“管理配置”“管理员帐号”，打开配置窗口如图19-9所示。,图19-9 设置管理员帐号,7、配置接口（端口）IP地址 单击窗口左列表中的“网络配置”“接口IP”，打开的配置界面如图19-10所示。接着根据内外网络的网线所插入防火墙的接口来配置相应的接口IP地址。假设fe2网络接口连接内部网络，fe3网络接口连接外部网络，则fe2接口的IP地址配置为内网保留IP地址，如；fe3接口的IP地址配置为外网真实IP地址，如。,图19-10 接口IP地址,8、配置策略路由 单击窗口左列表中的“网络配置”“策略路由”，打开配置界面如图19-11所示。单击“添加”按钮，打开编辑策略路由的窗口，如图19-12所示。,图19-11 策略路由列表,图19-12 编辑策略路由,9、添加安全规则 单击窗口左列表中的“安全策略”“安全规则”，在右窗口中的点击“添加”按钮，弹出“安全规则维护”对话框，如图19-13所示。在“安全规则维护”对话框中可以添加网络地址转换（NAT）、包过滤、IP地址映射、端口映射等类型的安全规则。配置NAT规则，可以使内部网络中使用私有IP地址的主机访问Internet资源；配置包过滤规则，可以阻止非法用户访问网络资源；配置IP地址映射和端口映射规则，可以实现将内网中的网络服务器公布于Internet上，以供外网用户访问。,图19-13安全规则维护,1)、添加NAT规则 在“安全规则维护”对话框中，规则序号和规则名可随意命名。源地址表示本地网络的地址，你可以选择“手工输入”或选择已定义的列表名称，如DMZ名称(不过列表各个名称所对应的地址必须预先在“对象定义地址地址列表”中定义好)。目的地址是指你要访问的目标网络，选择“any”，表示到任何地方。服务选项中可以选择具体的某个服务（如http，ftp等），表示只开放该服务项，如果选择“any”，则表示开放所有的服务。本例以配置内网中私有IP地址为转换成公网IP地址为，从而实现访问外网的所有服务，具体配置如图19-14所示。,图19-14 添加NAT规则,2)、添加包过滤规则 添加包过滤规则相当于在路由器的命令行方式下配置访问控制列表，以允许或禁止相应的用户访问网络资源，具体配置如图19-15、23-16所示。图19-15中所配置的包过滤规则内容是：允许源IP地址为的主机访问目的IP地址为这台WEB服务器。,图19-15 添加包过滤规则,图19-16 添加包过滤规则,图19-16中所配置的包过滤规则内容是：允许源IP地址为的主机访问目的IP地址为这台FTP服务器。,3)、添加IP映射规则 IP映射通常是一对一的，即一个内网私有IP地址和一个公网IP地址建立映射关系。方法是将内网中使用私用IP地址的服务器映射成一个具体的公网IP地址，或者说将公网IP地址映射到内网中的某个具体的私有IP地址。这样，当外网用户访问该公网IP地址时，系统会自动转到所映射的内网私有IP地址的主机，该主机通常提供某种网络服务，如WEB服务、FTP服务器。所以，IP映射主要应用于将内网的服务器发布于Internet上，以供外网用户访问，如WEB服务器、FTP服务器、E-mail服务器等。配置如图19-17所示。,图19-17添加IP映射规则,4）、添加端口映射规则 端口映射与IP映射的区别在于IP映射将提供所有的端口服务，而端口映射是指提供具体的某个端口服务，如提供FTP服务的端口号默认为21、HTTP服务的端口号默认为80。本例中假设内网FTP服务器使用私有IP 地址为，当该内网IP地址与公网IP地址建立映射关系后，外网用户访问这个公网IP地址时，防火墙将自动转到内网中IP地址为这台FTP服务器。这样，就实现将内网FTP服务器发布于Internet上了。具体配置如图19-18所示。,图19-18 添加端口映射,10、配置防火墙接口具有抗攻击能力 单击窗口左列表中的“安全策略”“抗攻击”按钮，选择窗口右列表相应的接口，然后单击“编辑”按钮，弹出该接口的抗攻击设置对话框，如图19-19所示。打勾“启用抗攻击”复选框及相应的抗攻击类型选择，单击“确定”按钮，完成设置。,图19-19 抗攻击设置,11、使用“初始向导”功能配置防火墙 首次使用防火墙，我们可以通过“初始向导”来对防火墙进行简单的配置，但初始向导只能配置防火墙具备基本的使用功能。配置步骤如下。1）、登录到防火墙后，单击界面中的“初始向导”按钮，弹出修改管理员口令的窗口如图19-20所示。2）、单击“下一步”按钮，设置工作模式，这里设置成路由模式。3）、单击“下一步”按钮，设置连接内外网的接口IP 地址及子网掩码，如图19-21所示。,图19-21 设置接口IP,图19-20 修改管理员口令,4）、单击“下一步”按钮，设置默认网关IP地址，如“61.131.24.241”。5）、单击“下一步”按钮，设置管理主机，这里输入“172.16.0.2”。6）、单击“下一步”按钮，配置安全规则，如图19-22所示，这里的源IP地址和掩码可设置成内网的IP地址，而目的地址的IP地址和掩码可设置成公网IP地址，目的在于将内网的私有IP地址转换成公网IP地址。7）、完成安全规则配置后，单击“下一步”按钮，进入设置管理方式界面。8）、完成管理方式配置后，单击“下一步”按钮，完成防火墙的初始配置。,图19-22 配置安全规则,完,