Amaranten防火墙配置培训2（PPT66页)

第八章节透明模式什么是透明模式防火墙工作于透明模式的时候不需要修改原有的网络中的路由和主机配置防火墙工作在透明模式时同样可以实现所有的功能（如包过滤、代理、NAT等），毫不损失任何功能及性能阿姆瑞特F系列防火墙的透明工作模式基于ProxyARP技术ProxyARPARP代理路由器一端那些不知道已经划分了子网的主机试图直接将数据发送给目标主机，而目标主机位于路由器的另外一侧，源主机发出一个ARP请求来查询目标主机的MAC地址，我们知道，目标主机不会做出响应，因为它根本不会收到请求信息，所以通信就无法完成了。具有ProxyARP功能的路由器（或者是其它网络设备）可以代替另外一端的主机用自己的MAC地址去响应那样的ARP请求，接着源主机将数据发送给路由器，然后路由器再将数据包转发出去。ARP地址解析协议MapIPMACLocalARP172.16.3.1IP:172.16.3.2Ethernet:0800.0020.2222172.16.3.2IP:172.16.3.2=???哦，我收到了你的请求，在我发给你的信息里有我的MAC地址我需要知道IP地址是176.16.3.2的MAC地址IP:172.16.3.2对应的MAC:0800.0020.2222IP:172.16.3.1对应的MAC:0800.0020.1111IP:172.16.3.1MAC:0800.0020.1111IP:172.16.3.2MAC:0800.0020.2222透明接入原理IP:172.16.3.2对应的MAC:0800.0020.2222IP:172.16.3.1对应的MAC:0800.0020.1111IP:172.16.3.1MAC:0800.0020.1111IP:172.16.3.2MAC:0800.0020.2222IP:172.16.2.2MAC:0800.0200.3333IP:172.16.3.3IP:172.16.2.1MAC:0800.0200.4444IP:172.16.3.2对应的MAC:0800.0020.3333IP:172.16.3.1对应的MAC:0800.0020.4444ARPProxy配置防火墙－简单示例Internet194.1.2.1192.168.123.1gw-worldint-net192.168.123.0/24Internet194.1.2.1192.168.123.1gw-worldint-net192.168.123.0/24定义主机和网络增加相应的主机和网络第一条，第二条定义防火墙内口的ip地址以及广播地址第三条，第四条定义防火墙外口的ip地址以及广播地址第五条定义内网网段第六条定义管理网段第七条定义默认网关192.168.123.2192.168.123.255192.168.123.3192.168.123.255定义路由规则增加相应的路由规则第一条规则定义了到管理网络的路由（为了不占用ip地址，防火墙内口使用了不同网段的ip地址）第二条规则定义了到内部网络的路由，同时通过防火墙的外部网口ProxyARP内部网络(192.168.123.0/24)上所有主机的MAC地址。第三条规则定义了到网关的路由，同时通过防火墙的内部网口ProxyARP网关(192.168.123.1/32)的MAC地址到内部网络。第四条规则定义了防火墙的缺省路由。DMZ制定过滤规则增加相应的过滤规则第一条规则删除了所有NetBIOS数据包第二条规则允许管理网络上的所有主机向防火墙发送ICMPechorequest(Ping)数据包第三条规则允许内部网络上的主机和Internet上的主机进行通讯第四条规则删除所有的数据包并对其进行记录试验九：用户可以提供2个可用的IP地址试验十：用户可以提供1个可用的IP地址试验十一：用户无法提供可用的IP地址第九章节混合模式混合模式总体描叙：网络中存在两类IP地址。一种是公网IP。一种是私有IP,因此需要将防火墙工作在透明和路由/NAT模式下。防火墙模式混合拓扑图:172.16.20.140INT:172.30.15.1172.16.20.20DMZ:172.16.20.205混合模式（一）防火墙模式混合Ext------DMZ透明INT--------EXTNATDMZ------INT路由主机和网络路由UseLocalIP过滤规则DMZEXTAll-netscompaqHttp-inAny_Allow_DMZ规则说明第四条规则内部区域连接到INTERNET经过NAT模式。第六条规则DMZ区域连接到INTERNET经过透明模式。接口模式混合拓扑图Internetfirewall192.168.0.0/24EXT:172.16.20.200INT:192.168.0.1172.16.20.150—172.16.20.170GW:172.16.20.20INT:172.16.20.149混合模式（二）端口模式混合Ext------INT即做透明又做地址翻译。内网和外网即有公网IP.又有私有IP.这就是所谓的端口模式混合。1.在内网的公网IP经过透明出去。(双向)2.在内网的私有IP经过NAT出去.(单向)接口模式混合主机和网络ARP绑定路由gateway过滤规则试验十二：防火墙混合模式试验十三：接口混合模式第十章节:预共享密钥式的VPN配置Pre-shareVPN隧道InternetLan5:1.1.1.10Lan5:2.2.2.10Lan1:172.30.15.1Lan1:192.168.0.1172.30.15.5172.30.15.6192.168.0.5192.168.0.6TypicaltopologyusedforconfiguringtheCorporateAmarantenforPre-sharekeysVPNBothendsofthetunnelwillneedtoconfigured开始配置预共享密钥AVPNusingPre-sharedKeysrequirebothendsofthetunnelbemanuallyconfiguredVPN隧道CreatenewVPNtunnelVPN隧道远程Amaranten防火墙配置TunnelName:VPN_NANJINGLocalNetwork:192.168.0.0/24RemoteNetwork:172.30.15.0/24RemoteGateway:1.1.1.10IKEProposal:ike-lantolanIPSecProposal:esp-tn-lantolanAuthenticaion:VPN_KEY预共享密钥VPN隧道–总结TheVPNPre-sharedkeytableshowsalistofthePre-sharekeyscreated路由表的要求IN8.2orAbove8.2Thevpninterfaceregradedasanactualinteface需要什么样的规则CreateBi-directionRulsforvpnThevpnrulesshouldbeputatthetoptotherulesVpn监控Cmdvpnstats---IPsecSAs:1VPNTunnel:vpn-shanghaiEndpoints:172.30.15.0/24Remotegateway:2.2.2.10Protocol:ESP:rijndael-cbchmac-sha1-962VPNTunnel:vpn-nanjingEndpoints:192.168.0.0/24Remotegateway:1.1.1.10Protocol:ESP:rijndael-cbchmac-sha1-96Cmd试验十四：共享密钥的VPN配置第十一章:ClavisterVPN客户端软件ConfiguringtheRemoteClientSoftwareUsingPre-sharedKeys如何工作?InternetVPNTunnel172.30.15.100Lan5:1.1.1.10Lan1:192.168.0.1192.168.0.100ClientVPNisbuiltfromClientAtoDestinationNetwork－ConfiguredfromHostPCtoFirewall－Notdonefromfirewalltofirewall开始WindwosTaskbarAfterInstallingAmaranten-RemoteSoftware,havingselectingallthedefaults,RebootYourPC－AfterthePCisrebooted,－3stepstoconfigureAmarantenRemoteAddPre-sharedKeysAddnewVPNConnectionDefinetheIPSecProtocols创建一个预共享密钥添加新的VPN连接Bydefault,noVPNconnectionArecreated添加远程网络hereyouneeddeployremotesubnetandsubmask举例如下添加VPN举例加密算法youcanselectanotherkindsofencryptionalgorithmsaccordingtoyourrequirements第十二章实现阿姆瑞特防火墙的PBR功能下接三层设备实验机型：AS_F300-pro内核版本：8.40.01拓扑环境描述InternetSiSi计算机计算机计算机计算机Net_LAN-01:192.168.1.0/24Net_LAN-02:192.168.2.0/24IP_LAN-R:10.10.10.2/30GW_Internal:10.10.10.1/30IP_WAN-Telcom:218.10.0.2/29IP_WAN-CNC:64.134.0.2/29GW_World-Telcom:218.10.0.1/29GW_World-CNC:64.134.0.1/29实验环境描述：网络有两个出口，分别是中国电信和中国网通，都可以接入因特网内网有多个子网，由三层交换接入防火墙lan1接口防火墙接口定义：lan1接内网，连接三层交换机，IP地址为：10.10.10.2/30，内部网关为：10.10.10.1/30lan2接中国电信GW_World-Telcom:218.10.0.1/29接口IP地址为：Net_WAN-Telcom:218.10.0.2/29lan3接中国电信GW_World-CNC:64.134.0.1/29接口IP地址为：Net_WAN-CNC:64.134.0.2/29实验达到的目的：使用PBR，使内网中192.168.1.0/24网络的计算机从中国电信GW_World-Telcom出去上网，使内网192.168.2.0/24网络从中国网通GW_World-CNC出去上网拓扑环境描述和目的建立网络对象：在“局部对象”-“主机和网络”中定义网络拓扑中出现的所有对象，命名策略必须遵照“阿姆瑞特命名规范.PPT”防火墙配置第一步1防火墙配置第一步2建立网络对象：检查“局部对象”-“主机和网络”中定义网络拓扑中出现的所有对象定义电信接口lan2的IP地址,以及电信分配的接口lan2所连接网络的广播地址和网络地址；Internet的电信网关地址：GW_World-Telcom定义内网接口lan1的IP地址（lan1下联三层设备）,以及内网接口lan1所连接网络的广播地址和网络地址；Internal网关地址：GW_Internal定义网通接口lan3的IP地址,以及网通分配的接口lan3所连接网络的广播地址和网络地址；Internet的网通网关地址：GW_World-CNC定义内网接口三层设备（GW_Internal）所连接的网络,并将连接的网络Net_LAN01和Net_LAN0