实验六防火墙的安装和调试.ppt

实验六 防火墙的安装配置,1003实验,一、实验介绍：1、实验名称：防火墙的安装和配置2、实验目的：掌握防火墙的安装和配置3、实验设备：防火墙、PC机各一台4、实验时间：40分钟,二、防火墙简介 古时候,人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所，这种墙称作防火墙。在网络时代，当一个网络接入Internet以后，它的用户就可以与外部世界相互通信。为安全起见，人们在该网络和Internet之间插入一个中介系统，竖起一道安全屏障。这道屏障作为扼守本网络的安全和审计的唯一关卡，可以阻断来自外部世界的威胁和入侵，这种中介系统也叫做防火墙或防火墙系统。防火墙作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器、限制器和分析器，可以有效监控内部网和Internet之间的任何活动，保证内部网络的安全。防火墙通常是放在外部因特网络和内部网络之间，以保证内部网络的安全。,1003实验,防火墙逻辑位置示意图：防火墙的两个重要的任务就是：在不危及内部网络数据与其它资源的前提下允许本地用户使用外部网络的资源 将外部未被授权的用户屏蔽在内部网络之外而无法使用内部的资源,1003实验,三、实验步骤：1、防火墙初始化操作步骤 2、路由模式配置 3、桥接模式配置 4、混合模式配置,1003实验,四、实验内容：1、防火墙初始化操作步骤(1)用串口线将防火墙和电脑COM口相联；(2)启动超级终端，终端属性设置为：波特率：9600；数据位：8；奇偶校验：无；停止位：1；流控制：无(3)进入防火墙后，要求输入登录帐号和密码，帐号和密码如下：帐号：root 密码：sys123(4)运行初始化命令：Secuadm reglicense(5)输入产品系列号及确认号码（在防火墙的标签上）及确定管理防火墙的接口（一般为eth3）和IP地址（一般为和管理端的IP地址：）说明：若是正式销售出厂产品而言，已经完成注册，无需进行上述步骤。,1003实验,以上步骤操作完后，即可以通过“防火墙的客户端”软件对防火墙进行配置；防火墙客户端软件的安装：在电脑上安装防火墙客户端软件（在随机光盘的“client/setup210_start/setup210”目录里；）将电脑的IP地址改成跟防火墙某一接口的IP地址同一网段，并用随机所带的交叉线连接；运行客户端软件：防火墙的客户端安装结束后，自动在桌面产生一个“配置龙马卫士安全平台(2.1-0)”快捷图标 系统启动过程中将出现图所示界面，表示程序正在载入：,1003实验,在当前节点上建立连接，然后单击确定，即可进行防火墙的配置了：,1003实验,四、实验内容：2、路由模式配置 1）网络拓扑及说明：,Internet,Network,e0,e1,e2,e3,1003实验,Eth0：接Internet网络；该接口的IP地址：；对端ISP IP：；Eth1：接内部局域网络；该接口的IP地址：；网关 Eth2：DMZ区，接对外提供服务的Internet服务器Server1（如WWW、FTP、Mail）。该接口的IP 地址：；Server1 IP：。防火墙通过目的地址NAT，将外部的数据包的目的IP改成内部Server1的私有IP和相应的端口，保证了外部用户正常访问内部服务器，同时，又保证了服务器免受攻击，达到安全的目的。Eth3：管理和配置防火墙的接口，该接口IP地址：；与该接口相连的电脑cfgGUI IP地址：；,1003实验,2）配置过程(1)首先进行接口以及路由的配置：在系统配置标签中点击“接口/网桥”图标 然后单击确定。Lan,dmz,contrl 口的配置方法相同。,1003实验,在系统配置标签中点击“路由配置”图标，定义缺省网关“218.246.98.129/26”,1003实验,(2)配置包过滤规则：定义资源对象：在“安全策略”对象中单击“包过滤”图标，定义如下:然后单击“确定”,1003实验,1003实验,资源对象wan,dmz的定义方法相同。结果如下：,1003实验,增加三条安全通道：分别为“lan 到 wan”，“lan 到 dmz”，和”wan 到dmz”,1003实验,然后定各个通道的安全规则：,1003实验,1003实验,1003实验,(3)定义网络地址转换：首先新建内网访问外网的“向外的源地址的转换”,1003实验,1003实验,然后定义“向内的目的地址的转换”，规则如下,1003实验,（4）在状态监控的“服务”选项中，开启“包过滤和NAT”服务（这一步一定要做）,1003实验,（5）加载并保存配置：在管理主界面导航目录“工具”中选择“保存配置”,1003实验,最后加载规则，整个配置完成。,1003实验,四、实验内容：3、桥接模式配置 1）网络拓扑及说明：,Internet,Network,e0,e1,e2,e3,1003实验,Eth0：接路由器；Eth1：接内部局域网络；Eth2：DMZ区，接对外提供服务的Internet服务器Server1（如WWW、FTP、Mail）；Eth3：管理和配置防火墙的接口，该接口IP地址：；与该接口相连的电脑cfgGUI IP地址：；网桥地址；NAT以及向内地址映射由路由器来实现 局域网可以访问wan区，dmz区，wan区可以访问服务器区，其他全部拒绝。,1003实验,2）配置过程(1)首先进行接口的配置：在系统配置标签中点击“接口/网桥”图标 接口定义分配地址（不分配地址也可以）：eth1,eth2,eth3设定方法同样。然后单击确定。Lan,dmz,contrl 口的配置方法相同。,1003实验,分配桥接口地址：brg0:10.10.10.1 点击“确定”后完成系统设置如右：,1003实验,(2)配置包过滤规则：定义资源对象：在“安全策略”对象中单击“包过滤”图标，定义如下:然后单击“确定”,1003实验,1003实验,资源对象wan,dmz的定义方法相同。结果如下：,1003实验,增加三条安全通道：分别为“lan 到 wan”，“lan 到 dmz”，和”wan 到dmz”,1003实验,然后定各个通道的安全规则：,1003实验,1003实验,1003实验,（3）在状态监控的“服务”选项中，开启“包过滤”服务（这一步一定要做）（4）加载并保存配置：在管理主界面导航目录“工具”中选择“保存配置”,1003实验,最后加载规则，整个配置完成。,1003实验,四、实验内容：4、混合模式配置 1）网络拓扑及说明：,Internet,Network,e0,e1,e2,e3,1003实验,Eth0：接Internet网络；Eth1：接内部局域网络；Eth2：DMZ区，接对外提供服务的Internet服务器Server1（如WWW、FTP、Mail）。Server1 IP 为公网地址 Eth3：管理和配置防火墙的接口，该接口IP地址：；与该接口相连的电脑cfgGUI IP地址：；bridge1：包括Eth0和Eth1,IP地址：；对端ISP IP：；,1003实验,2）配置过程（1）首先进行接口和路由的配置；（2）配置过滤规则；（3）配置地址转换规则；（注意增加服务器区的向外源地址转换，处理方式是PASS）（4）在状态监控的“服务”选项中，开启“包过滤和NAT”服务（这一步一定要做）（5）加载并保存配置：,1003实验,Q&A,