企业外联网配置手册(Firewall与VPN)

6.250 1.250
2.250
DMZ 区 192.168.2.50/60/70/80/90 网关：192.168.2.250
Intranet 内网 192.168.1.50/60/70/80/90
网关：192.168.1.250
互联网过滤
STEP8: 通过安全规则， 过滤网站和过滤网页. 1）首先把防火墙INTERNET区域端口接入到华迪实训公司INTERNET网络 线路。 2) 建立一个访问策略（包过滤），以本机作为策略源，以INTERNET区域 做为策略目的，服务设为any。 3）再建立一个访问规则（NAT方式），本机做为策略源，INTERNET区域 作为策略目的。 然后本机DNS（在网络属性中设置）指向到互联网DNS服务器IP地址, 检查能否PING通DNS服务器IP，测试能否连入互联网。 DNS服务器IP：61.139.2.69
防火墙 路由模式 访问控制 测试结构
Intranet 192.168.1.50/60/70/80/90
网关：192.168.1.250
一、通过防火墙的路由功能实现访问控制，操作步骤如下： STEP1:线路连接 根据图示设置主机IP地址(注意主机IP与连接的防火墙端口地址为同一网 段，不能与连接的防火墙端口地址冲突)，设置防火墙本区域端口IP地址 为主机网关地址。 测试能否PING通防火墙端口IP地址。
STEP2: 通过IE 登陆到防火墙端口地址，输入： https://防火墙IP:8889, 登陆到防火墙。查看防火墙 菜单功能。 说明：登陆下列其中一个用户： user1/2/3/4/5/6/7/8/9/10, 口令为：123456 “系统配置” 了解其他各
STEP3: 防火墙区域缺省权限测试 设好后测试与本区域主机和其他区域主机的连通性，检查能否 PING通。
地址转换
STEP7: 设置NAT（网络地址转换）方式
与另一区域的一主机配合操作。在目标主机无网关（路由）的情况 下，通过NAT方式进行访问。访问端需要有网关（路由）。 1）把需要测试的目标主机操作系统中网关地址 (在网络属性中设置) 删 除。 2）在目标主机无网关情况下， 增加一个访问策略，允许本机（策略源） 访问该目标主机（策略目的），测试与该主机连接情况。 3) 进入‘安全策略’→‘安全规则’，类型选择‘NAT方式’，增加本机（策略 源）对象到该目标主机对象（策略目的）的策略。 4） 测试与该主机连通情况以及对方主机访问本机的连通情况。 5） 本机删除网关后，让对方主机增加网关，反过来再增加访问策略和 NAT进行测试。 说明：访问策略是权限的问题，NAT是路径的问题。 NAT都是单向访问，内网需要网关路由到外网，而外网不需路由到内网。 保护了内网的安全。 思考: NAT是作为源IP地址转换，NAT在整个转换过程中所起到的作用?
报头 192.168.1.50发送 的数据包经过NAT 转换后，源地址成 为192.168.8.250
数据 源地址：192.168.1.50
192.168.1.50 网关：192.168.1.250
目的地址：192.168.8.50
互联网过滤
In te rn et 互
联
网
Web e-mail FTP
4) 在对象定义→URL列表→ 添加黑名单 ，HTTP端口为80, 输入任一网 址（或网页内容的关键字）。 5）进入安全策略 → 安全规则 ，对原有包过滤策略修改，添加‘高级选 项’，URL过滤中选择 URL列表中的网站 。把过滤策略优先级提到最前面， 测试该网站能否打开。 6) PING 某一网站域名(网址），记住其IP地址，通过访问策略禁止本 机PING此IP地址。
防火墙访问控制过滤机制包过滤示意图防火墙访问控制过滤机制包过滤示意图源地址过滤目的地址过滤协议过滤协议端口过滤数据包数据包应用层过滤缺省访问权限允许禁止源对象目的对象策略服务httpftpsmtp等时间策略访问控制允许拒绝step5
企业外联网 实训手册
(含防火墙、IPSEC/SSL VPN设置)
华迪信息.网络工程中心
STEP4: 主机对象建立 对象定义→地址→地址列表→添加 把本主机IP地址定义为一个节点。掩码设为：255.255.255.255。 说明：也可以定义一个子网范围。定义对象没有任何权限的作用。
防火墙访问控制过滤机制－包过滤示意图
缺省访问权限（允许/禁止）
数据包
数据包
源地址 过滤 一条访问策略规则： 源对象 策略服务
网关：192.168.1.250
IP及端口映射（MAP) 在互联网的应用
MAP也称为反向NAT
映射测试过程
认真按以下步骤操作，可参照后面参考案例
端口映射：
STEP1:在网络配置→接口IP ，添加→设置本区域网络接口 增加本区域 同一网段的IP地址(以下简称A地址），注意不要跟其他地址冲突。 说明：增加一个地址做映射地址。建立映射后，IP地址将会完全代替被 映射的主机IP,为了不影响原有防火墙IP地址，所以增加一个地址来做为 MAP映射的IP地址。 本机测试与该IP地址的连通性。 STEP2: 在安全策略→安全规则，添加一个策略，类型设为‘端口映射’， 策略源为本机对象（或本机IP ,掩码为：255.255.255.255)，公开地址为本 机区域创建的‘A地址’，‘对外服务’为：http 。 在‘操作’中，源地址转换为： ‘不转换’ ，‘公开地址映射为’：对方主机地址对象。‘对外服务映射为’： http 。
Internet
实验网络结构图
Web e-mail FTP
FE3 DMZ 区(FE3) 192.168.2.50/60/70/80/90 网关：192.168.2.250
FE4 6.250 FE2 1.250
Internet 外网 192.168.6.50/60
2.250
网关：192.168.6.250
第一部份
防火墙配置
设备： 联想网神防火墙 数量： 一台
防火墙形态
类似于一台路由器设备，是一台特殊的计算机。
配置目标
以联想网神防火墙为实例，来测试防火墙各区域的访问控制机制： 目标一： 了解访问策略的原理与作用。通过设置访问策略，测试Intranet（企 业内联网）, DMZ（非军事区）,Internet（互联网）区域之间访问控制机 制。 目标二： 了解NAT原理与作用。测试内网通过NAT方式相互访问。并通过 NAT访问因特网，过滤特定网站和特定网页。 目标三： 了解IP及端口映射原理与作用。测试外网通过映射访问企业内部服务 器。
企业防火墙设置注意要点：
防火墙是企业安全的关键中枢，企业安全管理实施需要 通过运用防火墙访问策略来实现。 访问策略不只是从技术上考虑，最重要的是安全管理的 需要来进行设置。 为了安全需要，防火墙最好只能一个管理员进行配置， 有其他人设置时要有日志记录便于管理审计。防止无关管理 员任意设置。 策略规则应尽量简化，策略太多容易杂乱，不便管理， 影响防火墙效率。 常见的木马、病毒使用的端口尽量关闭，如445,7626， 4006，1027，6267等，对高发及最新病毒、木马端口要及 时做出处理。 防止反向连接,对由内到外的连接也要注意端口防护。
STEP3: 进行端口映射测试，本机通过HTTP访问’A地址’ ，看能否访问对方 主机上网页。 注意检查目标主机上IIS是否设置好，否则无法访问。 也可以映射服务设 为：ftp , 3389端口 通过地址映射后，访问A地址即实际转向访问到对方主机. 访问‘A地址’上的 网站即访问对方主机的WEB.
映射测试过程
认真按以下步骤操作，可参照后面参考案例
IP映射：
STEP1:在网络配置→接口IP ，添加→设置本区域网络接口 增加本区域 同一网段的IP地址(以下简称A地址），注意不要跟其他地址冲突。 本机测试与该IP地址的连通性。 STEP2: 在安全策略→安全规则，添加一个策略，类型设为‘IP映射’，策 略源为本机对象（或本机IP ,掩码为：255.255.255.255)，公开地址为本机 区域创建的‘A地址’，源地址转换为：‘不转换’ ，‘公开地址映射为’：对方主 机地址对象。
NAT 在互联网的应用
• •
隐藏了内部网络结构 内部网络可以使用私有IP地址
NAT原理－源地址转换
192.168.8.50 报头 数据 源地址：192.168.8.250 目的地址：192.168.8.50 Internet:192.168.8.250 NAT转换
Intranet:192.168.1.250
访问控制测试
(4) 设置两个策略，一个策略为本机禁止访问其他区域某主机的策 略，策略服务为any，另一个策略为本机允许通过策略服务PING其 他区域该主机。更改两个策略的优先级，通过PING 对方主机测试 连通性，访问对方主机其他端口（如共享方式）进行测试。 (5) 设置本区域允许访问其他整个区域，策略服务为any服务，通 过PING 对方所有主机测试连通性。 7）根据需要，自行定义策略，设置权限。 可以通过策略的优先级，把范围小的策略优先级设置为高于范围 大的策略，能够有效控制不同区域之间的访问对象和策略服务。这 样先满足范围小的策略，超过这个范围则再受到范围大的策略限 制。
Web e-mail FTP
FE3 DMZ 区 192.168.2.50/60/70/80/90 网关：192.168.2.250
FE4 6.250
Internet 外网 192.168.6.50/60
2.250 FE2 1.250
网关：1et 内网 192.168.1.50/60/70/80/90
目的 地址 过滤
协议 过滤
协议 端口 过滤
应用层 过滤
时间策略 目的对象
访问控制 允许/拒绝
http,ftp,smtp等
访问控制测试
STEP5 :区域之间主机权限策略设置，测试访问控制 1) 首先明确源主机、目标主机,访问控制是针对源到目 的的访问。 然后在‘安全策略’→‘安全规则’，设置规则名，类型为‘包 过滤’，策略源为本机对象，策略目的为被访问端对象，策 略服务为PING，动作设为允许。通过PING 对方主机测试 连通性。
查看防火墙安全配置
1）查看防火墙‘安全策略’中，地址绑定，P2P/IM 限制，抗攻击，IDS联动，入侵防护，蠕虫过滤， URL重定向功能。 2）查看‘对象定义’中的各选项配置，时间、带 宽、病毒过滤等。 3）在操作配置时，可查看‘系统监控’各项中的检 测内容。
二、IP及端口映射操作步骤
（本实验可选）
防火墙在企业网的接入
Internet
防火墙
Connection to outside network 防火墙 FireWall DMZ WEB服务层 Connection to inside network Connection to www network
Web e-mail FTP
为网络用户提供安全 的 Internet 接 入
访问控制测试
STEP6: 通过策略范围来控制主机访问权限
(1)设置两个访问规则，一个为设置本机访问其他区域某一主机的访问 策略，访问动作设为允许，另一个策略同样是访问该主机，但访问动作 设为禁止，更改两个策略的优先级，通过PING 对方主机测试连通性。 说明：更改‘规则序号’可以更改优先级，排在上面的策略优先级高。 (2) 设置两个策略规则，一个策略为本机访问其他整个区域的策略， 另一个策略为本机禁止访问其他区域内某一个主机的策略，更改两个策 略的优先级，通过PING 对方区域内主机测试连通性。 (3) 设置两个策略，一个策略为本机访问其他区域某主机的策略，策 略服务为any (任何服务），另一个策略为本机禁止通过策略服务PING 其他区域该主机。更改两个策略的优先级，通过PING 对方主机测试连 通性。
• Web 站 点 访 问 过 滤
– 限 制 对 非 本 企 业 业 务 目 的 的 Internet 资 源 的 访 问
Web Site Filter Intranet 内部网络
大门
实 验 室 分 布 情 况
DMZ（FE3)区域 Internet区域 (FE4)
Intranet (FE2) 区域
访问控制测试
2) 增加‘包过滤策略’，建立禁止对方主机对象（策略源）访问本机（策 略目的）的访问策略，测试对方区域的主机到本机的连通性。 说明： 必须针对不同区域设置访问权限，同一区域内的主机防火墙是 不能控制权限的，设置的策略也是无用的。 3) 禁止其他区域主机访问本机135-139及445,7626,4006，1027， 6267，8080端口（任选其一设置），没有此服务的需要在对象定义 中，‘服务列表’中建立服务。 每个访问策略都是单向访问，只有策略源对象访问到策略目的对 象。两个不同区域主机如需要相互访问，则需要建立两个策略。 访问策略可控制源地址，目标地址，策略服务，访问控制时间。