第13章--防火墙初级与中级应用

第13章防火墙初级与中级应用前言本课程介绍了锐捷防火墙的初级和中级的一些应用，并对整体系统和概念进行了相关说明。课程目标通过本课程的学习，您可以掌握以下知识：了解锐捷防火墙的使用方式，可以熟练注册防火墙。掌握对防火墙的初始化，熟悉防火墙各界面包含的内容熟练对防火墙进行配置，对网络环境可以设置简单的策略和规则提纲防火墙初级应用防火墙的应用方式介绍新防火墙的注册路由方式的注册透明桥方式的注册JAVA软件的选择和安装接口的配置防火墙与互联网相连防火墙中级应用路由的配置规则策略URL阻断NAT的配置以及使用路由与NAT的关系防火墙日志与报表管理锐捷防火墙初级应用防火墙初级应用防火墙的应用方式介绍透明桥的应用方式选择透明桥的方式原因防火墙两端的路由设备利用动态路由协议通信现有网络不能修改网络地址体系路由的应用方式选择路由应用的原因利用锐捷防火墙取代已安装防火墙或NAT设备同一网络或者有限的路由器接口环境下安装两台以上的锐捷防火墙构成HA功能能够负载均衡功能，并且确保锐捷防火墙的扩展性防火墙的应用方式介绍透明桥的应用方式典型连接方式应用场所：简单的说，当防火墙使用在两个相同环境里的时候，不需要进行IP地址相互转换的情况、或者在这个网络中需要对不同的应用进行安全隔离，但是还要有部分应用要相互交互数据，在这种情况下，都可以使用桥的方式路由的应用方式典型连接方式应用场所当有HA功能需求的时候当应用到DNS分离的环境防火墙的应用方式介绍用户区RG-WALL交换机交换机DMZ区INTETNET路由模式CERNET防火墙初级应用新防火墙的注册路由模式的注册桥模式的注册当获得一台防火墙的时候，首先要做的第一个任务就是对防火墙进行注册，在注册之前，使用防火墙包装箱里的配置线与一台PC的串口相连接，搭建一个配置的网络环境新防火墙的注册初始化步骤连接串口线，启动防火墙后，会出现如下的登陆提示该提示是系统的登陆过程，系统默认的登陆ID和口令如下：ID：rootPW：rg-wall123新防火墙的注册到这一步说明我们已经登陆到防火墙的内部，在这一步，我们可以输入SI进入注册的界面防火墙的默认方式为路由方式，因此，我们先进行路由方式的注册新防火墙的注册路由方式的注册在这一步输入管理员的用户名和密码我们使用admin作为管理员的用户，锐捷防火墙要求管理员的密码最少为6位，因此，我们使用admin123作为管理员的密码下一步为对防火墙语言的选择新防火墙的注册路由方式的注册下一步为对时间和时区的设置，如果网络中没有对网络时间有过多的要求，可以选择“0”直接进行下一步的配置下一步要求我们输入管理远的IP地址，这一步是比较关键的一步，如果在放火墙中没有相应的管理员IP地址，那么当远程管理的时候则不能登陆到防火墙上新防火墙的注册路由方式的注册这一步为对防火墙的内、外网络接口的设置对防火墙接口的设置只要选取相应的序号，进入后，可以对这个接口设置不同的接口方式和IP地址。新防火墙的注册路由方式的注册对VLAN的设置，锐捷防火墙最多可以设置6个VLAN，可以把防火墙的接口分配到不同的VLAN中。默认网关的设置，同时在这一步可以查看路由表新防火墙的注册路由方式的注册下一步为动态路由的配置，如果不需要使用，可以自己选“0”进入到下一步HA的配置界面，当使用到了热备份的方式可以设置此项新防火墙的注册路由方式的注册虚IP地址的配置,可以直接跳过这一步，可以不用设置输入DNS，当使用防火墙上网的时候，在这一步可以输入当地ISP的DNS地址新防火墙的注册新防火墙的注册路由方式的注册最后一步为防火墙规则的选择，按照网络的要求可以选择一个对应不同区域的要求到这一步后，路由方式基本配置完毕，后面的选项可以使用默认的方式设置，重新启动防火墙就可以了。透明桥注册的方式连接串口线，启动防火墙后，会出现如下的登陆提示该提示是系统的登陆过程，系统默认的登陆ID和口令如下：ID：rootPW：rg-wall123新防火墙的注册透明桥的注册方式到这一步说明我们已经登陆到防火墙的内部，在这一步，我们可以输入SI进入注册的界面防火墙的默认方式为路由方式，下面开始对桥模式进行注册：新防火墙的注册透明桥方式的注册在这一步输入管理员的用户名和密码我们使用admin作为管理员的用户，锐捷防火墙要求管理员的密码最少为6位，因此，我们使用admin123作为管理员的密码下一步为对防火墙语言的选择新防火墙的注册透明桥方式的注册下一步为对时间和时区的设置，如果网络中没有对网络时间有过多的要求，可以选择“0”直接进行下一步的配置下一步要求我们输入管理远的IP地址，这一步是比较关键的一步，如果在放火墙中没有相应的管理员IP地址，那么当远程管理的时候则不能登陆到防火墙上新防火墙的注册新防火墙的注册透明桥方式的注册设置相应的接口，桥的方式在应用上一般不需要对内、外网使用IP地址，但是，为了方便对防火墙进行管理，需要给防火墙的BR0接口一个地址，作为管理使用。新防火墙的注册透明桥方式的注册默认网关，可以查看路由表桥模式下的HA设置新防火墙的注册透明桥方式的注册输入DNS，当防火墙连接到网络上，请输入当地ISP的DNS地址选择规则，桥模式的规则比较简单，按照要求选择就可以了。到此桥模式的注册已经完成，重新启动后可以使用防火墙了。JAVA软件的选择和安装锐捷网络的RG-WALL系列防火墙在通过WEB方式的使用和管理应用到了JAVA这个软件,使用的主要目的就是针对管理员在使用WEB方式进行网络管理的时候,通过JAVA加载保存在防火墙里的图形界面来以图形的方式对防火墙进行管理。因此，在使用防火墙之前有必要简单的了解一下有关JAVA的一些知识。JAVA软件的下载和安装这个软件可以到JAVA的网站上去下载，这个网站还提供了免费升级的软件的版本，因此使用起来很方便，目前最高版本为1.50。JAVA软件的选择和安装通常，下载下来的软件为一个压缩包，安装的方式也很简单，执行这个压缩包进行安装就可以了安装结束后，如果要进行调试的防火墙已经和管理的PC机连接好，我们就可以登陆到这个防火墙了，在登陆的同时，JAVA会下发一个安全证书给用户，因此选确认一项就可以了JAVA软件的选择和安装出现问题的处理常遇到的问题是在安装后已经打开了防火墙的界面，但是却不能出现防火墙的登陆界面，这说明JAVA软件的安装不正确或者当前的软件版本过低造成，建议安装更高的版本或者进行在线升级JAVA软件的选择和安装修改后，正常的防火墙登陆界面，说明JAVA软件加载正常防火墙初级应用防火墙的管理方式锐捷防火墙的两大常用管理方式利用客户端进行管理速度相对比较快，受网络的影响小使用IE的方式进行管理速度受网络影响的关系很明显，尤其是在对远程的设备进行管理时。防火墙的管理方式客户端的管理方式：锐捷公司提供了一个针对RG-WALL防火墙进行管理的软件RG-WALLManager，这个软件也是一个加载防火墙内JAVA界面的一个小程序，在随防火墙包装的光盘上均有这个安装程序，安装后直接运行就可以了防火墙的管理方式IE的管理方式：这种方式主要应用在对远程防火墙进行管理时使用的一个方法，如果管理员没有锐捷客户端，也可以使用这个方法管理本地的防火墙设备，当管理员不可到达远程防火墙所在的地点时，通过互联网络可以远程登陆到防火墙上对其进行管理，但是使用这种方法要满足以下两个要求：防火墙的外部接口运行在公网上，而且必须要有相应的外部网络地址。在防火墙中要设置有远程管理员的公网IP地址，否则不会登陆到防火墙防火墙的管理方式防火墙IE登陆界面防火墙的初级应用接口的配置锐捷防火墙的接口主要有三种内部网络接口外部网络接口DMZ接口接口的配置在我们注册防火墙的时候，已经涉及到了对各个接口的定义，为了在路由模式下对各个接口定义相应的IP地址，所以也可以通过在防火墙内部的“网卡”一项中来指定外部网络的接口接口的配置外部网络接口的配置防火墙的外部接口根据网络环境的不同可以设置相应的选项，如果在外网接口上分配了多个IP地址，则可以在此选项的右边把这些IP地址以别名的方式增加到外网口上接口的配置内部网络接口的配置内部网定义的就是网络中的内部IP地址，如果有多个子网的IP地址，则可以把他设置在界面右侧的别名区域中。接口的配置DMZ区接口的配置DMZ区的作用是放置对公网发布的各种服务器，比如MAIL服务器、DNS服务器、服务器等，都放置在这个区域，而且，这个区域不但要和公网数据交换，而且内部网络也要对这个区域进行访问，在这个区域内，可以有多个IP地址网段，因此，把不同的IP地址都可以放到右侧的区域中防火墙与互联网相联案例：用户需求：服务器172.16.2.13通过RG-WALL翻译成公网地址61.233.14.73服务器172.16.2.12通过RG-WALL翻译成公网地址61.233.14.74内部网络用户172.16.1.0/24网段的用户可以直接通过公网IP地址访问放在防火墙内部网络的服务器公网用户可以通过公网IP访问通过防火墙提供服务的公网服务器图示防火墙与互联网相联实现步骤1：首先对防火墙的IP地址进行设置和规划RG-WALL基本配置：外网地址61.233.14.66DMZ地址192.168.0.1内网地址172.16.1.1默认路由61.233.14.65从ISP获得公网地址61.233.14.66-61.233.14.76防火墙与互联网相联实现步骤2：配置默认路由下一跳61.233.14.65防火墙与互联网相联实现步骤3：PAT的配置静态NAT配置公网用户可以使用公网IP访问放在防火墙DMZ区域的服务器172.16.2.13对应61.233.14.73172.16.2.12对应61.233.14.74反向PAT配置指定所需要内网访问的网段对应需要内网用公网IP访问的服务器公网IP地址注：只需要配置1个反向PAT地址即可防火墙与互联网相联通过反向PAT,客户就可以在内网使用公网地址访问放在内部网络的服务器。访问速度为内网访问速度。由于静态NAT使用的一对一地址映射，映射后的主机拥有公网地址，建议采用严格的过滤规则来保护服务器，相关设置可在策略规则中设定。锐捷防火墙中级应用防火墙中级应用路由的配置锐捷防火墙有三种路由的方式：路由的方式，在这个选项中，包含了三种方式：静态路由、动态路由、直连OSPF的方式源路由的方式防火墙中级应用路由：在这个选项中，包含了三种方式：静态路由、动态路由、直连静态路由的添加防火墙中级应用路由：动态路由直连路由防火墙中级应用OSPF：OSPF设置界面防火墙中级应用源路由：源路由在使用中是一个很常见的应用方法，在这里我们以一个例子来简单对源路由进行一下介绍。例：在内部网络中，有两个子网，NETA与NETB，出口有两条线路，CERNET和INTERNET，通常的路由都是基于目的的路由，但是在有一些的环境中，对路由的要求是不同的，比如在上面的例子中，我们要求的路由走向为：NETA----CERNETNETB----INTERNET对于内部的不同的网段，走不同的链路，这时候通常的目的路由无法满足，因此就需要使用基于源地址的路由设置，对于不同的源地址走不同的线路。防火墙中级应用源路由：例：CERNETINTERNETNETARG-WALLNETB192.168.1.0/24192.168.2.0/2420.20.20.1/2410.10.10.1/24防火墙中级应用源路由：设置方法：防火墙中级应用规则：锐捷防火墙规则的组成：防火墙中级应用规则策略所谓的策略是指控制通过防火墙系统的数据包的规则。锐捷防火墙通过如下两种策略来控制数据包传输，锐捷防