综合案例
案例1:路由模式下通过专线访问外网
路由模式下通过专线访问外网,主要描述总公司接入网络卫士防火墙后的简单配置,总公司的网络卫士防火墙工作在路由模式下。(提示:用LAN 或者WAN 表示方式。一般来说,WAN 为外网接口,LAN 为内网接口。)
图 1 网络卫士防火墙的路由模式
网络状况:
●总公司的网络卫士防火墙工作在路由模式。Eth1 属于外网区域,IP 为202.69.38.8;Eth2 属于SSN 区域,IP 为172.16.1.1;Eth0 属于内网区域,IP 为192.168.1.254。
●网络划分为三个区域:外网、内网和SSN。管理员位于内网中。内网中存在3个子网,分别为192.168.1.0/24,192.168.2.0/24,192.168.3.0/24。
●在SSN 中有三台服务器,一台是HTTP 服务器(IP 地址:172.16.1.2),一台是FTP 服务器(IP 地址:172.16.1.3),一台是邮件服务器(IP 地址:172.16.1.4)。
用户需求:
●内网的机器可以任意访问外网,也可访问SSN 中的HTTP 服务器、邮件服务器和FTP 服务器;
●外网和SSN 的机器不能访问内网;
●允许外网主机访问SSN 的HTTP 服务器。
配置步骤:
1) 为网络卫士防火墙的物理接口配置IP 地址。
进入NETWORK 组件 topsec# network
配置Eth0 接口IP topsecwork# interface eth0 ip add 192.168.1.254 mask255.255.255.0
配置Eth1 接口IP topsecwork# interface eth1 ip add 202.69.38.8 mask255.255.255.0
配置Eth2 接口IP topsecwork# interface eth2 ip add 172.16.1.1 mask255.255.255.0
2)内网中管理员通过浏览器登录网络卫士防火墙,为区域资源绑定属性,设置权限。
设置内网 绑定属性为“Eth0”,权限选择为禁止。
设置外网 绑定属性为“Eth1”, 权限选择为允许。
设置SSN 绑定属性为“Eth2”,权限选择为禁止。
3)定义地址资源
定义HTTP 服务器:主机名称设为HTTP_SERVER, IP 为172.16.1.2。
定义FTP 服务器:主机名称设为FTP_SERVER, IP 为172.16.1.3。
定义邮件服务器:主机名称设为MAIL_SERVER, IP 为172.16.1.4。
定义虚拟HTTP服务器:主机名称设为V_SERVER,IP 为202.69.38.10。
4)定义地址转换规则
内网用户通过源地址转换访问外网 | 转换控制选择“源转换”; 源区域选择“内网”; 目的区域选择“外网”; 服务不选,表示全部服务; 源地址转换为“eth1”。 |
外网用户通过目的地址转换访问HTTP 服务器 | 转换控制选择“目的转换”; 源区域选择“外网”; 目的区域选择“SSN”,目的地址选择“V_SERVER”; 服务选择“HTTP”; 目的地址转换为“HTTP_SERVER”。 |
5) 定义访问规则
允许内网用户访问HTTP服务器 | 源区域选择“内网”; 目的区域选择“SSN”,目的地址选择“HTTP_SERVER”;服务选择“HTTP”; 访问权限选择“允许”,并启用该规则。 |
允许内网用户访问邮件服务器 | 源区域选择“内网”; 目的区域选择“SSN”,目的地址选择“MAIL_SERVER”;服务选择“POP3”,“SMTP”; 访问权限选择“允许”,并启用该规则。 |
允许内网用户访问FTP 服务器 | 源区域选择“内网”; 目的区域选择“SSN”,目的地址选择“FTP_SERVER”;服务选择“FTP”; 访问权限选择“允许”,并启用该规则 |
允许外网用户访问HTTP服务器 | 源区域选择“外网”; 目的区域选择“SSN”,目的地址选择“HTTP_SERVER”;服务选择“HTTP”; 访问权限选择“允许”,并启用该规则 |
6)定义路由
为内网用户访问Internet 添加缺省路由 | 目的地址设为“0.0.0.0”; 网关地址设为“202.69.38.9”。 |
添加回指路由,为发往内网的数据包指定路由 | 目的地址设为“192.168.0.0”; 网关地址设为“192.168.1.10”。 |
案例2:混合模式下通过ADSL 拨号访问外网
案例2:混合模式下通过ADSL 拨号访问外网,主要描述分公司网络卫士防火墙的配置,分公司的网络卫士防火墙工作在混合模式下。值得注意的是,分公司是通过ADSL 拨号与外网进行连接的。
图 2 网络卫士防火墙的混合模式
网络状况:
●分公司的网络卫士防火墙工作在混合模式。Eth1 为路由接口,属于外网区域,通过路由器与外部网络及ISP 相连(该接口由ADSL拨号获取公网IP);Eth0 和Eth2 均为交换接口,Et
h0 工作在Trunk 方式下,Eth2 工作在Access 方式下;Eth0 下连接着2 个VLAN,VLAN-1 和VLAN-2;Eth3 下连接着1 个VLAN,VLAN-3。
●VLAN-1 的IP 为192.168.10.1/24;VLAN-2 的IP 为192.168.25.1/24;VLAN-3 的IP 为192.168.95.1/24。
●管理主机位于VLAN-1 内。
用户需求:
●防火墙通过ADSL 拨号获取eth1 的公网IP 地址。
● VLAN-1 内的机器可以任意访问外网(NAT 方式),VLAN-2 和VLAN-3 内的机器禁止访问外网,但允许VLAN-2 访问VLAN-3。
●外网的机器不能访问VLAN-1 与VLAN-2;外网的机器可以访问VLAN-3。
配置步骤:
1)通过CONSOLE 口登录网络卫士防火墙,配置基本信息。
进入network 组件 topsec # network
添加VLAN-1 topsecwork# vlan add id 1
配置VLAN-1 的管理IP topsecwork# interface vlan.0001 ip add 192.168.10.1 mask
255.255.255.0
配置eth0 接口为交换接口 topsecwork# interface eth0 switchport mode trunk
设置eth0 接口属于VLAN-1 topsecwork# interface eth0 switchport trunk allowed-vlan 0001
2)管理员通过VLAN-1 的管理IP 登录网络卫士防火墙,并绑定eth1 口和ADSL 的拨号属性、设置区域资源及VLAN。
设置区域(外网) 绑定属性为“adsl”;权限设为允许访问。
添加VLAN-2 管理IP 设为“192.168.25.1”,MASK 设为“255.255.255.0”。
添加VLAN-3 管理IP 设为“192.168.95.1”,MASK 设为“255.255.255.0”。
设置eth0 接口属于VLAN-2,VLAN 范围设为“1-2”。
3)设置接口
设置接口eth2 设置为“交换接口”;接口类型为“access”;VLAN 范围为“3”。
4)设置ADSL 拨号参数
设置ADSL 拨号参数 接口设置为“eth1”;用户名和密码根据ISP 服务商提供的参数值进行设置;绑定属性为“adsl”。
5)定义访问规则
禁止VLAN-2 用户访问外网 | 源VLAN 选择“VLAN.0002”;目的区域选择“外网”; 服务不选,表示全部服务;访问权限选择“拒绝”,并启用该规则 |
禁止VLAN-3 用户访问外网 | 源VLAN 选择“VLAN.0003”;目的区域选择“外网”; 服务不选,表示全部服务; 访问权限选择“拒绝”,并启用该规则。 |
允许VLAN-2 用户访问VLAN-3 | 源VLAN 选择“VLAN.0002”;目的VLAN 选择“VLAN.0003”; 服务不选,表示全部服务; 访问权限选择“允许”,并启用该规则。 |
禁止外网用户访问VLAN-1 | 源区域选择“外网”;目的VLAN 选择“VLAN.0001”; 服务不选,表示全部服务; 访问权限选择“拒绝”,并启用该规则。 |
禁止外网用户访问VLAN-2 | 源区域选择“外网”;目的VLAN 选择“VLAN.0002”; 服务不选,表示全部服务; 访问权限选择“拒绝”,并启用该规则。 |
6)定义地址转换规则
VLAN-1 用户通过源地址转换访问外网:
转换控制选择“源转换”;源VLAN 选择“VLAN.0001”;目的区域选择“外网”;服务不选,表示全部服务;源地址转换为“adsl”。
7)拨号
在防火墙上通过选择 网络管理 > ADSL 菜单,并点击“开始拨号”按钮进行ADSL
拨号。建立ADSL 连接成功后,在防火墙的路由表中会增加一条内网用户访问Internet 的
路由信息:
源为“0.0.0.0/0”;
目的为“0.0.0.0/0”;
网关地址为ISP 分配的公网IP 地址(如:169.254.125.124);
接口为与Eth1 口绑定的ppp0 口(拨号成功后,系统自动创建了一个ppp0 口)。
案例3:建立VPN 隧道
建立VPN 隧道,主要介绍在如上所述的网络环境中,如何在总公司与分公司之间建立IPSec VPN 隧道。
图 3 网络卫士防火墙的VPN 隧道模式
网络状况:
●总公司防火墙工作在路由模式下,接口Eth1(IP:202.69.38.8)通过路由器与Internet 相连;分公司防火墙工作在混合模式下,接口Eth1 通过路由器与Internet相连,且Eth1 口通过ADSL 拨号获取公网IP。
●总公司防火墙的Eth0 口与Eth2 口分别连接公司内网区和SSN 区域,内网区有三个子网:192.168.2.0/24、192.168.3.0/24、192.168.1.0/24。
●分公司防火墙的Eth0 口与Eth2 口分别连接内网的三个Vlan:VLAN-1、VLAN-2和VLAN-3,其中VLAN-1 的IP 为192.168.10.1/24。
用户需求:
●分公司的VLAN-1 所在子网192.168.10.0/24 与总公司子网192.168.2.0/24 之间建立基于预共享密钥认证的VPN 通信。
配置步骤:
1)配置总公司防火墙,具体的配置步骤请参见案例1。
2)配置分公司防火墙,具体的配置步骤请参见案例2。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论