企业外联网配置手册(Firewall与VPN)

企业外联网企业外联网实训手册实训手册华迪信息.网络工程中心(含防火墙、IPSEC/SSLVPN设置)第一部份防火墙配置设备：联想网神防火墙数量：一台防火墙形态防火墙形态类似于一台路由器设备，是一台特殊的计算机。以联想网神防火墙为实例，来测试防火墙各区域的访问控制机制：目标一：了解访问策略的原理与作用。通过设置访问策略，测试Intranet（企业内联网）,DMZ（非军事区）,Internet（互联网）区域之间访问控制机制。目标二：了解NAT原理与作用。测试内网通过NAT方式相互访问。并通过NAT访问因特网，过滤特定网站和特定网页。目标三：了解IP及端口映射原理与作用。测试外网通过映射访问企业内部服务器。配置目标配置目标„防火墙„„为为网网络络用用户户提提供供安安全全的的InternetInternet接接入入InternetInternetDMZWEB服务层Intranet内部网络Webe-mailFTP防火墙FireWallWebSiteFilterWebSiteFilter•Web站点访问过滤––限限制制对对非非本本企企业业业业务务目目的的的的InternetInternet资资源源的的访访问问ConnectiontooutsidenetworkConnectiontoinsidenetworkConnectionto(FE2)区域DMZ（FE3)区域Internet区域(FE4)大门实实验验室室分分布布情情况况Internet实验网络结构图实验网络结构图192.168.6.50/60网关：192.168.6.250DMZ区(FE3)IntranetWebe-mailFTPInternet外网192.168.2.50/60/70/80/90网关：192.168.2.250192.168.1.50/60/70/80/90网关：192.168.1.2502.2506.2501.250防火墙路由模式访问控制测试结构FE3FE4FE2一、通过防火墙的路由功能实现访问控制，操作步骤如下：STEP1:线路连接根据图示设置主机IP地址(注意主机IP与连接的防火墙端口地址为同一网段，不能与连接的防火墙端口地址冲突)，设置防火墙本区域端口IP地址为主机网关地址。测试能否PING通防火墙端口IP地址。STEP2:通过IE登陆到防火墙端口地址，输入：https://防火墙IP:8889,登陆到防火墙。查看防火墙“系统配置”了解其他各菜单功能。说明：登陆下列其中一个用户：user1/2/3/4/5/6/7/8/9/10,口令为：123456¾STEP3:防火墙区域缺省权限测试设好后测试与本区域主机和其他区域主机的连通性，检查能否PING通。¾STEP4:主机对象建立对象定义→地址→地址列表→添加把本主机IP地址定义为一个节点。掩码设为：255.255.255.255。说明：也可以定义一个子网范围。定义对象没有任何权限的作用。防火墙访问控制过滤机制－包过滤示意图防火墙访问控制过滤机制－包过滤示意图源地址过滤目的地址过滤协议过滤协议端口过滤数据包数据包应用层过滤缺省访问权限（允许/禁止）源对象目的对象策略服务http,ftp,smtp等时间策略访问控制允许/拒绝¾一条访问策略规则：¾STEP5:区域之间主机权限策略设置，测试访问控制1)首先明确源主机、目标主机,访问控制是针对源到目的的访问。然后在‘安全策略’→‘安全规则’，设置规则名，类型为‘包过滤’，策略源为本机对象，策略目的为被访问端对象，策略服务为PING，动作设为允许。通过PING对方主机测试连通性。访问控制测试访问控制测试2)增加‘包过滤策略’，建立禁止对方主机对象（策略源）访问本机（策略目的）的访问策略，测试对方区域的主机到本机的连通性。说明：必须针对不同区域设置访问权限，同一区域内的主机防火墙是不能控制权限的，设置的策略也是无用的。3)禁止其他区域主机访问本机135-139及445,7626,4006，1027，6267，8080端口（任选其一设置），没有此服务的需要在对象定义中，‘服务列表’中建立服务。每个访问策略都是单向访问，只有策略源对象访问到策略目的对象。两个不同区域主机如需要相互访问，则需要建立两个策略。访问策略可控制源地址，目标地址，策略服务，访问控制时间。访问控制测试访问控制测试STEP6:通过策略范围来控制主机访问权限(1)设置两个访问规则，一个为设置本机访问其他区域某一主机的访问策略，访问动作设为允许，另一个策略同样是访问该主机，但访问动作设为禁止，更改两个策略的优先级，通过PING对方主机测试连通性。说明：更改‘规则序号’可以更改优先级，排在上面的策略优先级高。(2)设置两个策略规则，一个策略为本机访问其他整个区域的策略，另一个策略为本机禁止访问其他区域内某一个主机的策略，更改两个策略的优先级，通过PING对方区域内主机测试连通性。(3)设置两个策略，一个策略为本机访问其他区域某主机的策略，策略服务为any(任何服务），另一个策略为本机禁止通过策略服务PING其他区域该主机。更改两个策略的优先级，通过PING对方主机测试连通性。访问控制测试访问控制测试(4)设置两个策略，一个策略为本机禁止访问其他区域某主机的策略，策略服务为any，另一个策略为本机允许通过策略服务PING其他区域该主机。更改两个策略的优先级，通过PING对方主机测试连通性，访问对方主机其他端口（如共享方式）进行测试。(5)设置本区域允许访问其他整个区域，策略服务为any服务，通过PING对方所有主机测试连通性。7）根据需要，自行定义策略，设置权限。可以通过策略的优先级，把范围小的策略优先级设置为高于范围大的策略，能够有效控制不同区域之间的访问对象和策略服务。这样先满足范围小的策略，超过这个范围则再受到范围大的策略限制。访问控制测试访问控制测试企业防火墙设置注意要点：企业防火墙设置注意要点：防火墙是企业安全的关键中枢，企业安全管理实施需要通过运用防火墙访问策略来实现。访问策略不只是从技术上考虑，昀重要的是安全管理的需要来进行设置。为了安全需要，防火墙昀好只能一个管理员进行配置，有其他人设置时要有日志记录便于管理审计。防止无关管理员任意设置。策略规则应尽量简化，策略太多容易杂乱，不便管理，影响防火墙效率。常见的木马、病毒使用的端口尽量关闭，如445,7626，4006，1027，6267等，对高发及昀新病毒、木马端口要及时做出处理。防止反向连接,对由内到外的连接也要注意端口防护。与另一区域的一主机配合操作。在目标主机无网关（路由）的情况下，通过NAT方式进行访问。访问端需要有网关（路由）。1）把需要测试的目标主机操作系统中网关地址(在网络属性中设置)删除。2）在目标主机无网关情况下，增加一个访问策略，允许本机（策略源）访问该目标主机（策略目的），测试与该主机连接情况。3)进入‘安全策略’→‘安全规则’，类型选择‘NAT方式’，增加本机（策略源）对象到该目标主机对象（策略目的）的策略。4）测试与该主机连通情况以及对方主机访问本机的连通情况。5）本机删除网关后，让对方主机增加网关，反过来再增加访问策略和NAT进行测试。说明：访问策略是权限的问题，NAT是路径的问题。NAT都是单向访问，内网需要网关路由到外网，而外网不需路由到内网。保护了内网的安全。思考:NAT是作为源IP地址转换，NAT在整个转换过程中所起到的作用?地址转换地址转换STEP7:设置NAT（网络地址转换）方式NAT在互联网的应用•隐藏了内部网络结构•内部网络可以使用私有IP地址NATNAT原理－源地址转换原理－源地址转换192.168.1.50网关：192.168.1.250192.168.8.50Intranet:192.168.1.250Internet:192.168.8.250报头数据源地址：192.168.1.50目的地址：192.168.8.50报头数据源地址：192.168.8.250目的地址：192.168.8.50NAT转换192.168.1.50发送的数据包经过NAT转换后，源地址成为192.168.8.250DMZ区Intranet内网Webe-mailFTPInternet互联网192.168.2.50/60/70/80/90网关：192.168.2.250192.168.1.50/60/70/80/90网关：192.168.1.2502.2506.2501.250互联网过滤互联网过滤1）首先把防火墙INTERNET区域端口接入到华迪实训公司INTERNET网络线路。2)建立一个访问策略（包过滤），以本机作为策略源，以INTERNET区域做为策略目的，服务设为any。3）再建立一个访问规则（NAT方式），本机做为策略源，INTERNET区域作为策略目的。然后本机DNS（在网络属性中设置）指向到互联网DNS服务器IP地址,检查能否PING通DNS服务器IP，测试能否连入互联网。DNS服务器IP：61.139.2.69STEP8:通过安全规则，过滤网站和过滤网页.4)在对象定义→URL列表→添加黑名单，HTTP端口为80,输入任一网址（或网页内容的关键字）。5）进入安全策略→安全规则，对原有包过滤策略修改，添加‘高级选项’，URL过滤中选择URL列表中的网站。把过滤策略优先级提到昀前面，测试该网站能否打开。6)PING某一网站域名(网址），记住其IP地址，通过访问策略禁止本机PING此IP地址。查看防火墙安全配置1）查看防火墙‘安全策略’中，地址绑定，P2P/IM限制，抗攻击，IDS联动，入侵防护，蠕虫过滤，URL重定向功能。2）查看‘对象定义’中的各选项配置，时间、带宽、病毒过滤等。3）在操作配置时，可查看‘系统监控’各项中的检测内容。二、二、IPIP及端口映射操作步骤及端口映射操作步骤DMZ区Intranet内网Webe-mailFTPInternet外网192.168.2.50/60/70/80/90网关：192.168.2.250192.168.1.50/60/70/80/90网关：192.168.1.250192.168.6.50/60网关：192.168.6.2502.2506.2501.250FE3FE4FE2（本实验可选）IP及端口映射（MAP)在互联网的应用MAP也称为反向NATSTEP1:在网络配置→接口IP，添加→设置本区域网络接口增加本区域同一网段的IP地址(以下简称A地址），注意不要跟其他地址冲突。说明：增加一个地址做映射地址。建立映射后，IP地址将会完全代替被映射的主机IP,为了不影响原有防火墙IP地址，所以增加一个地址来做为MAP映射的IP地址。本机测试与该IP地址的连通性。STEP2:在安全策略→安全规则，添加一个策略，类型设为‘端口映射’，策略源为本机对象（或本机IP,掩码为：255.255.255.255)，公开地址为本机区域创建的‘A地址’，‘对外服务’为：http。在‘操作’中，源地址转换为：‘不转换’，‘公开地址映射为’：对方主机地址对象。‘对外服务映射为’：http。STEP3:进行端口映射测试，本机通过HTTP访问’A地址’，看能否访问对方主机上网页。注意检查目标主机上IIS是否设置好，否则无法访问。也可以映射服务设为：ftp,3389端口通过地址映射后，访问A地址即实际转向访问到对方主机.访问‘A地址’上的网站即访问对方主机的WEB.认真按以下步骤操作，可参照后面参考案例端口映射：映射测试过程映射测试过程STEP1:在网络配置→接口IP，添加→设置本区域网络接口增加本区域同一网段的IP地址(以下简称A地址），注意不要跟其他地址冲突。本机测试与该IP地址的连通性。STEP2:在安全策略→安全规则，添加一个策略，类型设为‘IP映射’，策略源为本机对象（或本机IP,掩码为：255.255.255.255)，公开地址为本机区域创建的‘A地址’，源地址转换为：‘不转换’，‘