曙光天罗防火墙快速安装配置指南V2.0

xsz7224835
2 ℃
2019-12-13

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

曙光天罗曙光天罗曙光天罗曙光天罗TLFW系列系列系列系列防火墙防火墙防火墙防火墙快速安装配置指南快速安装配置指南快速安装配置指南快速安装配置指南V2.0曙光信息产业曙光信息产业曙光信息产业曙光信息产业（（（（北京北京北京北京））））有限公司有限公司有限公司有限公司版权声明Copyright©1995-2007曙光信息产业（北京）有限公司。版权所有，复制必究。未经曙光信息产业（北京）有限公司的书面准许，不得将本手册的任何部分以任何形式、采用任何手段（电子的或机械的，包括照相复制或录制）、或为任何目的，进行复制或扩散。曙光信息产业（北京）有限公司保留在不通知用户的情况下对本手册进行改版或者更改本手册内容的权利。曙光信息产业（北京）有限公司在编写本手册时已尽力保证其内容准确可靠，对于因本手册中存在的遗漏和印刷错误及用户对本手册误解造成的损失，我们皆不承担直接或间接的责任。目目目目录录录录登陆防火墙登陆防火墙登陆防火墙登陆防火墙.............................................................................................................................................4系统管理..........................................................................................................................................4网桥模式配置网桥模式配置网桥模式配置网桥模式配置：：：：.....................................................................................................................................6NAT模式设置模式设置模式设置模式设置......................................................................................................................................13SNAT模式举例.............................................................................................................................16DNAT模式举例.............................................................................................................................22透明网关透明网关透明网关透明网关SNAT模式模式模式模式（（（（混合模式混合模式混合模式混合模式））））...................................................................................................27登陆防火墙登陆防火墙登陆防火墙登陆防火墙利用IE浏览器以默认管理员帐号admin(具备系统管理，安全策略、日志审计等基本操作权限)身份通过连接防火墙的eth1（即内网口）登录防火墙（）。初始密码dawning。。。。登录成功后，出现界面如图所示。在该界面中，防火墙有7个功能模块：系统管理、安全策略、日志管理、安全检测、网络计费、虚拟专网、在线帮助。[注意注意注意注意]防火墙型号的不同，可能导致不具备全部功能模块。无论哪种网络模式，都要给防火墙加上包过滤规则，不然防火墙无法正确为客户提供服务。账户管理的功能模块是超级管理员才有权限使用，所以出现提示：“权限限制”。关于超级管理员的操作说明请参考《曙光天罗防火墙用户操作手册》系统管理系统管理包括：管理界面设置、网络配置、IP/MAC绑定、系统状态、系统备份、保存配置、关机重启等等。主要完成对防火墙的接口地址、路由、网关等基本信息的配置；对防火墙的配置信息进行备份保存。界面管理设置界面管理设置界面管理设置界面管理设置：：：：界面管理设置可以对系统管理员登录界面进行安全设置，其界面如下图所示：详细配置参数说明如下：最大认证失败次数：管理员连续登录防火墙该参数值失败后，系统将锁定此管理帐号，该参数默认值为3次。帐号失败锁定时间：被锁定的管理员账号在经过此时间后，系统将解除对该账号的锁定，该参数默认值为2分钟。最大超时时间：在无任何操作时，防火墙管理界面自动退出的时间，该参数默认值为300秒。若用户登录后发现容易超时退出若用户登录后发现容易超时退出若用户登录后发现容易超时退出若用户登录后发现容易超时退出，，，，建议在此项将时间改成建议在此项将时间改成建议在此项将时间改成建议在此项将时间改成3000秒或更长秒或更长秒或更长秒或更长（（（（但是不能超过但是不能超过但是不能超过但是不能超过10000秒秒秒秒）。）。）。）。接下来我们通过三个实例三个实例三个实例三个实例带领大家进入防火墙快速配置，在一般的网络环境中，只需参照此文即可完成对防火墙的配置。网桥模式配置网桥模式配置网桥模式配置网桥模式配置：：：：要增加透明网桥，首先必须在下图所示的网络接口界面中增加一个网桥设备，即“网络接口扩展”必须选择网桥。然后根据需要将防火墙的两个或两个以上的接口选择为网桥工作模式。系统根据防火墙系统的硬件架构最多可以设置4个甚至更多口的网桥。防火墙作为实际存在的物理设备，其本身也起到路由的作用，所以在为用户安装防火墙时，就需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表，以适应用户的实际需要，这样就增加了工作的复杂程度和难度。但如果防火墙采用了透明模式，即类似无IP方式运行，用户将不必重新设定和修改路由，防火墙就可以直接安装和放置到网络中使用，如交换机一样不需要设置IP地址。透明网桥模式透明网桥模式透明网桥模式透明网桥模式如下图，在原有网络的环境里面，加入开启网桥模式的防火墙。一般来说，这种模式下的防火墙是不需要配置IP地址的。但是为了管理方便，会给防火墙配置一个网内地址，便于登陆防火墙进行系统管理等操作。比如网桥1，我们填入IP地址和掩码：1.1.1.1/255.255.255.0，点击增加，就可以看到网络配置部分新增加了一个网桥。在这里我们使用eth3（扩展口1）和eth4（扩展口2）来做网桥的两个接口。点击eth4，可以看到在工作模式部分，出现了“网桥1”的选项，选中它提交成功；然后在eth3里面也是如此。[[[[网络接口设置网络接口设置网络接口设置网络接口设置补充说明补充说明补充说明补充说明]：IP地址：该接口的IP地址。地址掩码：该接口的网络掩码。工作模式：分为正常模式、DHCP和网桥模式三种。工作在正常模式时，网络接口必须配有IP地址，并且可以增加虚拟接口，如eth0：0等；工作在网桥模式时，网络接口可以不配置IP地址。一个网桥要正常工作，至少需要两个物理接口同时工作在网桥下。工作DHCP模式时，该物理接口的IP地址直接从网络中的DHCP服务动态得到IP地址，也无需配置也无需配置也无需配置也无需配置IP地址地址地址地址。控制选项：表示是否可以从该接口利用Web方式管理防火墙。建议用户勾上此选项建议用户勾上此选项建议用户勾上此选项建议用户勾上此选项。。。。Ping响应：是否允许防火墙回应其他设备的“Ping”操作。地址池：在这个网络接口上配置多个IP地址，每个IP地址占一行，输入格式为IP/MASK或单个IP。对于地址池中的IP可以向正常IP使用，如进行SNAT、DANT使用地址池中的IP地址，但地址池中的IP地址不能PING到。[[[[注意注意注意注意]只有首先建立网桥后，在工作模式中才会显示出网桥工作模式。[[[[提示提示提示提示]]]]网桥的两个网口需要配置IP地址，但是因为网桥接口的透明性，所以给网口配置上跟本地地址无关的地址即可，切勿再配置1.1.1.1这个网段内的ip地址。在接口查询里面也可以看到网桥模式的现有状态。增加网桥设备时，有两种选择：1)如果网络具有大量的静态IP地址，并且不用对原有网络结构改动。这样，对网桥和工作在网桥模式下的物理接口都不要配置IP地址，也就是普通网桥模式。2)符合以上条件，但是有些地址必须经过网络地址转换（NAT）才能提供服务或正常工作，此时配置网桥设备，需要对“网桥”配置IP地址，用以完成NAT，这就是混合模式。3)可以启动多个网口来设成网桥模式。比如可以将eth0、eth1、eth2等网口都设置成网桥模式来满足多线路接入的需要。至此网桥部分设置成功。[[[[注意注意注意注意]]]]设置完网桥以后，必须在包过滤规则部分进行防火墙的规则配置。包过滤规则是针对数据包的头信息和状态进行检测并实施访问控制的过滤规则。防火墙在此模式下控制所有通过防火墙的数据包，如果需要设置NAT规则，同时还必须添加相应的包过滤规则。[[[[注意注意注意注意]]]]如果某条规则左侧有叹号“！”提示，则表明该条规则选中的用户组或接口已经不存在，需要重新设置该条规则。本实例需要用到的最基本的规则是：允许net（1.1.1.1/24）这个网段对all（0.0.0.0/0）进行网络访问，即就是允许内网用户对外网的所有地址进行访问。用户组配置：点击用户组管理，新建一个用户组名字为net，用户IP地址为1.1.1.1/24。包过滤－包过滤规则：用户组：选择net目的地址：访问的目标地址，如果系统管理员想明确只开放或禁止对某个IP的访问，可以在这里声明。默认填入所有的网络地址0.0.0.0/0。注意，一定要加上掩码。其他选项使用默认设置即可，不须填写。处理方式：允许。最后点击确定，规则出现之后，便立即生效。1.1.1.1/24这个网段的计算机用户可以访问外部的网络。NATNATNATNAT模式设置模式设置模式设置模式设置NAT英文全称是“NetworkAddressTranslation”，中文意思是“网络地址转换”，它是一个IETF(InternetEngineeringTaskForce,因特网工程任务组)标准，允许一个整体机构以一个公用IP（InternetProtocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。如图：简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。NAT模式分为SNAT（源网络地址转换）和DNAT（目标网络地址转换）。利用NAT可以节省静态地址资源、隐藏内部IP地址以及保护重要服务器不受直接攻击等。下图就是防火墙的NAT操作界面。【注意】如果某条规则左侧有叹号“！”提示，则表明该条规则选中的用户组或接口已经不存在，需要重新设置该条规则。SNAT模式用于将内部私有地址转换成外部公网地址，其配置界面如图所示：【填写说明】：目标地址：不填写时的默认值为所有网络地址（0.0.0.0/0）。填写格式支持n.n.n.n(某个地址)、n.n.n.n/n（可以表示某个网段）、！n.n.n.