防火墙技术项目化教程图文 (8)

项目2 基于防火墙的局域网与广域网的访问控制与实现
分析内容 该案例中内外网处于不同的网段，要求只允许内网用户 访问外网用户，因此可以采用防火墙SNAT模式来实现。 一、网络拓扑 网络拓扑如图S2-1所示。
项目2 基于防火墙的局域网与广域网的访问控制与实现
图S2-1 网络拓扑
项目2 基于防火墙的局域网与广域网的访问控制与实现
项目2 基于防火墙的局域网与广域网的访问控制与实现
在防火墙中，安全域的类型有三种：三层安全域、二层 安全域和无绑定安全域。当安全域需要配置IP时，必须配置 接口为三层安全域。这里的IP可以选择静态IP获取方式、从 DHCP服务器动态获取IP方式、从PPPoE获取IP方式，进而设 定IP的地址和子网掩码。如果一个IP地址为标准IP，则子网 掩码也遵循标准。这里内网口IP为192.168.2.1，为标准C类地 址，其子网掩码为标准的24位。如果内网网络进行了子网划 分，则内网口地址为子网划分后的IP地址，子网掩码就需要 进行单独计算。实验中由于要进行Ping命令的测试，因此 Ping管理选项为必选项。这里的管理选项指内网口具备的网 络管理功能，可根据防火墙所管辖的网络需求选择管理功能。
项目2 基于防火墙的局域网与广域网的访问控制与实现
(3) 进入网络选项卡，选择接口选项，打开接口界面进行 配置。配置外网接口为ethernet0/2，安全域为untrust，配置外 网接口的IP为222.1.1.2，子网掩码为24位。防火墙外网接口 配置如图S2-4所示。
项目2 基于防火墙的局域网与广域网的访问控制与实现
项目2 基于防火墙的局域网与广域网的访问控制与实现
思考 内网访问公网时，在防火墙上为什么要进行SNAT转换呢？
项目2 基于防火墙的局域网与广域网的访问控制与实现
任务2-2 同网段之间的访问控制与实现
知识导入 1. 什么是透明模式 透明模式，顾名思义，其特点就是对用户是透明的 (Transparent)，即用户感知不到防火墙的存在。要想实现透明 模式，防火墙必须在没有IP地址的情况下工作，不需要对其 设置IP地址，用户也不知道防火墙的IP地址。 2. 透明模式应用范围 透明模式中防火墙连接的内外网属于同一网段。
图S2-4 ethernet0/2接口配置
项目2 基于防火墙的局域网与广域网的访问控制与实现
这里选择外网接口为ethernet0/2，外网口的安全域设置为 untrust，其他选项的配置参照内网口的配置。
第二步：添加路由。 选择网络选项卡，选择路由，打开菜单项，选择目的路 由，进入目的路由的配置。添加内网到外网的缺省路由，在 目的路由中新建路由条目，添加下一条地址。选用万能地址 0.0.0.0为目的IP，子网掩码为0.0.0.0。下一跳选择网关。选择 外网的网关地址为222.1.1.1。具体的目的路由配置如图S2-5 所示。
项目2 基于防火墙的局域网与广域网的访问控制与实现
任务2-1 局域网访问广域网的控制与实现
知识导入 1. 什么是SNAT模式 SNAT是源地址转换(Source Network Address Translation) 的缩写，其作用是将IP数据包的源地址转换成另外一个地址。 在防火墙中内部地址要访问公网上的服务时，内部地址会主 动发起连接，由防火墙上的网关对内部地址做地址转换，将 内部地址的私有IP转换为公网的公有IP，网关的这个地址换 转就称为SNAT。
项目2 基于防火墙的局域网与广域网的访问控制与实现
图S2-9 外网PC机的IP配置
项目2 基于防火墙的局域网与广域网的访问控制与实现
图S2-10 内网PC Ping 外网PC
项目2 基于防火墙的局域网与广域网的访问控制与实现
相关知识 1. 防火墙的配置接口为ethernet0/0，默认地址为 192.168.1.1，一般情况下只作为防火墙配置接口，不作内网 接口。同时配置接口的安全域默认为trust，不可更改。 2. SNAT模式用于实现内网IP到公网(即外网) IP的转换， 因此设置接口时出接口应该选择外网口。 3. 使用内网PC1进行验证时，应首先保证测试机PC1与防 火墙内网口能够互联互通，内网PC1的默认网关可以不设置， 也可以设置为防火墙内网口的IP地址。 4. 外网PC2应该保证与防火墙外网口互联互通，进而使 用内网PC1对外网PC2测试实现互联互通。
项目2 基于防火墙的局域网与广域网的访问控制与实现
图S2-2 WebUI登录防火墙界面
项目2 基于防火墙的局域网与广域网的访问控制与实现
防火墙共有5个端口，ethernet0/0～ethernet0/4, 其中ethernet0/0 为防火墙默认登录端口，地址默认为192.168.1.1/24，使用该接口 登录后可以配置其他4个端口，这4个接口可配置为内网口、外网 口、登录端口等。如：设置ethernet0/1为内网口，安全域为trust； 设置ethernet0/2为外网口，安全域为untrust；同时设置ethernet0/4为 管理接口，地址为192.168.7.1，安全域为trust，则可以使用该端口 登录防火墙进行配置。这里特别提醒，一般不建议更改默认端口 的IP地址。
项目2 基于防火墙的局域网与广域网的访问控制与实现
项目2 基于防火墙的局域网与广域网的访问控制与实现
任务2-1 局域网访问广域网的控制与实现 任务2-2 同网段之间的访问控制与实现 任务2-3 广域网访问局域网的控制与实现 任务2-4 局域网、广域网与服务器的访问控制与实现 项目实训二 基于防火墙的网络访问控制实现
第三步：添加SNAT策略。 选择防火墙选项卡、NAT菜单、SNAT选项进行防火墙基 本模式的配置，并添加源NAT策略。出接口地址选择为外网 口ethernet0/2。源NAT基本配置如图S2-6所示。
项目2 基于防火墙的局域网与广域网的访问控制与实现
图S2-6 SNAT配置
项目2 基于防火墙的局域网与广域网的访问控制与实现
(2) 进入网络选项卡，选择接口选项，打开接口界面进行配置。 配置内网接口为ethernet0/1，安全域为trust，配置内网端口的IP为 192.168.2.1，子网掩码为24位。防火墙内网接口配置操作界面如图 S2-3所示。
项目2 基于防火墙的局域网与广域网的访问控制与实现
图S2-3 ethernet0/1接口配置
项目2 基于防火墙的局域网与广域网的访问控制与实现
图S2-8 内网Pwk.baidu.com机的IP配置
项目2 基于防火墙的局域网与广域网的访问控制与实现
这里，默认网关可以不写，也可以写成内网地址 192.168.2.1，因为内网接口充当了内网的网关。
(2) 外网计算机与ethernet0/2的相应IP地址如图S2-9所示。 (3) 测试内网计算机与外网目标计算机是否连接，测试结 果如图S2-10所示。
项目2 基于防火墙的局域网与广域网的访问控制与实现
分析内容 该企业内网与外网属于同一网段，是典型的透明模式的 应用。 一、网络拓扑 网络拓扑如图S2-11所示。
项目2 基于防火墙的局域网与广域网的访问控制与实现
图S2-11 网络拓扑
项目2 基于防火墙的局域网与广域网的访问控制与实现
二、操作流程 第一步：接口配置。 对于同一网段的接口，可以采取l2接口模式进行配置。 将其中的一段网络地址作为内网的网络IP地址，同时设置连 接的接口为内网口，属于二层安全域l2中的trust。因此可以将 Eth1接口作为内网接口，加入二层安全域l2-trust。ethernet0/1 内网接口属性配置如图S2-12所示。
项目2 基于防火墙的局域网与广域网的访问控制与实现
2. SNAT模式适用情形 在防火墙多种模式中，SNAT模式可以实现内网(即局域 网)到公网(即广域网)的访问控制。SNAT模式是防火墙NAT模 式转换中最常见的一种模式。 案例及分析 某企业拥有自己的局域网(内网)，内网IP地址为 192.168.2.0/24，现需要通过防火墙访问网关IP为222.1.1.1的 Internet(外网)，内网用户可以通过防火墙访问外网资源，外 网用户不能访问内网资源。请设置防火墙实现上述要求。
项目2 基于防火墙的局域网与广域网的访问控制与实现
图S2-5 目的路由配置
项目2 基于防火墙的局域网与广域网的访问控制与实现
目的IP为内网访问外网的IP，由于外网IP未知且不确定， 因此可以选择目的IP地址为万能IP地址：0.0.0.0；子网掩码不 能写成位数，而是采用点分式结构，即写成0.0.0.0；下一跳 选择网关，在后面网关栏目输入网关地址：222.1.1.1。
项目2 基于防火墙的局域网与广域网的访问控制与实现
案例及分析 某企业内部局域网网段为192.168.2.1～192.168.2.100，要 求通过防火墙的设置，实现内网用户可以访问相同网段的另 一段地址范围为192.168.2.101～192.168.2.200的网络。 要求： (1) 防火墙ethernet0/1接口和ethernet0/2接口配置为透明模 式； (2) ethernet0/1与ethernet0/2同属一个虚拟桥接组， ethernet0/1属于l2-trust安全域，ethernet0/2属于l2-untrust安全 域； (3) 为虚拟桥接组vswitchf1配置IP地址以便管理防火墙； (4) 允许网段A Ping 网段B并能访问网段B的Web服务。
二、操作流程 第一步：配置接口。 (1) 通过防火墙默认端口(ethernet0/0)地址192.168.1.1登录 到防火墙界面进行接口的配置。可以通过WebUI登录防火墙 界面，如图S2-2所示。 在这里，192.168.1.1为防火墙的默认登录地址，在出厂 的时候已经设定好。一般情况下我们选择默认地址进行登录。 在用户名和密码栏中输入缺省用户名admin，密码admin，选 择语言中文，点击登录，即进入到防火墙配置界面。
项目2 基于防火墙的局域网与广域网的访问控制与实现
图S2-7 安全策略
项目2 基于防火墙的局域网与广域网的访问控制与实现
第五步：测试。 可以通过配置内外网的PC机搭建网络拓扑结构。 (1) 设置内网计算机与ethernet0/1接口位于同一网段。由 于内网口IP为静态IP地址，因此可以将内网PC机的IP地址设 置为192.168.2.13，内网的子网掩码为24位，因此子网掩码为 255.255.255.0。相应的IP设置如图S2-8所示。
项目2 基于防火墙的局域网与广域网的访问控制与实现
图S2-12 定义内网接口为二层安全域
项目2 基于防火墙的局域网与广域网的访问控制与实现
将另一段网络IP作为外网网段，其对应的网络接口为外 网口，属于二层安全域l2中的untrust。因此可以将Eth2接口加 入二层安全域l2-unstrust。ethernet0/2外网接口属性配置如图 S2-13所示。
由于内网的IP地址不确定，所以源地址选择Any选项， 允许内网网段内的任何地址访问；图S2-6中的出接口选择外 网口ethernet0/2，与前面接口配置中的外网口保持一致。由于 允许内网用户访问外网用户，需要将内网的地址转换为出接 口的IP地址，因此行为栏中选择NAT(出接口IP)。
第四步：添加安全策略。 选择防火墙选项卡中的策略选项进入策略配置界面。在 防火墙策略中，制定内网到外网的访问策略。内网为可信， 外网为不可信，因此，将源安全域设为trust，目的安全域设 为untrust。由于内网访问地址和外网访问地址不确定，因此 地址栏中均设为Any选项。由于要求允许内网用户访问外网， 故行为选择为允许。策略基本配置如图S2-7所示。
项目2 基于防火墙的局域网与广域网的访问控制与实现
图S2-13 定义外网接口为二层安全域
项目2 基于防火墙的局域网与广域网的访问控制与实现
第二步：配合虚拟交换机(VSwitch)。 Virtual Switch(VSwitch)相当于一个虚拟的二层交换机， 它连接虚拟网卡和物理网卡，将虚拟机上的数据报文从物理 网口转发出去。根据需要，VSwitch 还可以支持二层转发、 安全控制、接口镜像等功能。这里利用VSwitch 的二层转发 功能，实现l2-trust安全域和l2-untrust安全域的通信。虚拟桥 接口基本属性配置如图S2-14所示。