步一步教你配置硬件防火墙.ppt

上传人：小飞机

文档编号：6585766

上传时间：2023-11-15

格式：PPT

页数：24

大小：633.50KB

《步一步教你配置硬件防火墙.ppt》由会员分享，可在线阅读，更多相关《步一步教你配置硬件防火墙.ppt（24页珍藏版）》请在三一办公上搜索。

1、一步一步配置硬件防火墙,集团信息技术总部苏亮2009年9月,提纲,防火墙的配置准备(位置、接口IP、路由)防火墙的NAT策略NAT上网、时间限制、服务限制、连接数限制、带宽限制.防火墙的端口映射备注：主要是中兴防火墙配置,防火墙的配置准备,防火墙（双机）,Internet接入switch,核心三层交换机,SDH专线,防火墙路由器,路由器,一、九州通网络拓朴,三层交换机,应用服务器,终端,防火墙,2MB光纤,30MB光纤,10MB光纤,VPN,应用服务器,终端,集团总部,二级公司,三级公司,VPN,VPN,应用服务器,终端,防火墙,VPN,双三层交换机冗余,汇聚层交换机,三层交换机,防火墙/

2、VPN,外部服务器(AM、电子商务等),DMZ区,一级骨干网络；二级内部网络；三级内部网络；四级内部网络。,双防火墙冗余,双核心交换机冗余,汇聚层交换机,10MB光纤,1、连接防火墙（consol口或默认IP）2、设置防火墙内、外网接口IP3、配置路由默认路由:电信或网通提供的网关IP内网路由：内网三层接口IP,防火墙的管理:接口IP,防火墙的管理：配置路由,默认路由、静态路由、动态路由,防火墙管理：管理员及管理IP设置,管理员权限：超级管理员、管理员、只读管理IP：只有可信的管理IP才能直接访问防火墙,防火墙相关概念,什么是计算机端口,如果把IP地址比作一间房子，端口就是出入这间房子的门。真

3、正的房子只有几个门，但是一个IP地址的端口可以有65536个之多！端口是通过端口号来标记的，端口号只有整数，范围是从0 到65535。端口有什么用呢？我们知道，一台拥有IP地址的主机可以提供许多服务，比如Web服务、FTP服务、SMTP服务等，这些服务完全可以通过1个IP地址来实现。那么，主机是怎样区分不同的网络服务呢？显然不能只靠IP地址，因为IP 地址与网络服务的关系是一对多的关系。实际上是通过“IP地址+端口号”来区分不同的服务的。（源端口/目的端口）服务器一般都是通过知名端口号来识别的。例如，对于每个TCP/IP实现来说，FTP服务器的TCP端口号都是21，每个Telnet服务器的

4、TCP端口号都是23，每个TFTP(简单文件传送协议)服务器的UDP端口号都是69。任何TCP/IP实现所提供的服务都用知名的11023之间的端口号。这些知名端口号由Internet号分配机构（InternetAssignedNumbersAuthority,IANA）来管理。,什么是端口映射,端口映射:内网的一台电脑要上因特网对外开放服务或接收数据，都需要端口映射。端口映射分为动态和静态.动态端口映射:内网中的一台电脑要访问新浪网，会向NAT网关发送数据包，包头中包括对方(就是新浪网)IP、端口和本机IP、端口，NAT网关会把本机IP、端口替换成自己的公网IP、一个未使用的端口，并且会记下这

5、个映射关系，为以后转发数据包使用。然后再把数据发给新浪网，新浪网收到数据后做出反应，发送数据到NAT网关的那个未使用的端口，然后NAT网关将数据转发给内网中的那台电脑，实现内网和公网的通讯.当连接关闭时，NAT网关会释放分配给这条连接的端口，以便以后的连接可以继续使用。动态端口映射其实也就是NAT网关的工作方式。静态端口映射:就是在NAT网关上开放一个固定的端口，然后设定此端口收到的数据要转发给内网哪个IP和端口，不管有没有连接，这个映射关系都会一直存在。就可以让公网主动访问内网的一个电脑。,防火墙的NAT策略,什么是NAT（网络地址转换）,网络地址转换(NAT,Network Address

6、 Translation)被广泛应用于各种类型Internet接入方式和备种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。借助于NAT，私有(保留)地址的“内部”网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。NAT将自动修改IP报文头中的源IP地址和目的IP地址，Ip地址校验则在NAT处理过程中自动完成。,NAT实现方式,静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对

7、是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址对是不确定的，而是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。,internet,Catalyst 2924,（Nat以后地址）,

8、策略必须包含以下信息:源IP目标IP服务（目标端口）行为：允许/拒绝,时间限制流量限制连接数限制应用限制网址限制下载限制,复杂的NAT策略,NAT策略截图（中兴防火墙）,如何做端口映射,1、保证需要映射的服务在内网访问正常，明确使用的IP及端口2、要使用的外网IP（只能是硬件防火墙可以使用的）及对外的端口3、定义该端口并做端口映射4、做允许外网用户访问该服务的规则5、测试,Internet,WWW服务器 172.16.1.2 80,特点：只有一个公有IP,具有三个不同的服务器内部网访问Internet需要做NAT内外网访问DMZ区的服务器需要做SAT(端口映射）,NAT,SAT,Int,Ext,Dmz,端口映射策略截图（中兴防火墙）,允许从外网访问映射的服务,防火墙配置使用技巧,1、单独配置一个接口做管理口2、只允许可管理 IP能直接访问防火墙3、VPN和阻止策略放在最前面4、尽量定义一组对象并对组做策略5、监控防火墙的CPU及内存使用率、连接数是否有异常，熟悉并利用防火墙的各类日志信息进行相应管理6、对配置经常备份,24,医药通九州健康送万家,JOINTOWN GROUP CO.,LTD.,谢谢！,