防火墙配置案例
综合案例
案例1:路由模式下通过专线访问外网
路由模式下通过专线访问外网,主要描述总公司接入网络卫士防火墙后的简单配置,总公司的网络卫士防火墙工作在路由模式下。(提示:用LAN 或者WAN 表示方式。一般来说,WAN 为外网接口,LAN 为内网接口。)
图 1 网络卫士防火墙的路由模式
网络状况:
●总公司的网络卫士防火墙工作在路由模式。Eth1 属于外网区域,IP 为202.69.38.8;Eth2 属于SSN 区
域,IP 为172.16.1.1;Eth0 属于内网区域,IP 为192.168.1.254。
●网络划分为三个区域:外网、内网和SSN。管理员位于内网中。内网中存在3个子网,分别为
192.168.1.0/24,192.168.2.0/24,192.168.3.0/24。
●在SSN 中有三台服务器,一台是HTTP 服务器(IP 地址:172.16.1.2),一台是FTP 服务器(IP 地
址:172.16.1.3),一台是邮件服务器(IP 地址:172.16.1.4)。
用户需求:
●内网的机器可以任意访问外网,也可访问SSN 中的HTTP 服务器、邮件服务器和FTP 服务器;
●外网和SSN 的机器不能访问内网;
●允许外网主机访问SSN 的HTTP 服务器。
配置步骤:
1) 为网络卫士防火墙的物理接口配置IP 地址。
进入NETWORK 组件topsec# network
配置Eth0 接口IP https://www.sodocs.net/doc/4116448996.html,work# interface eth0 ip add 192.168.1.254 mask255.255.255.0
配置Eth1 接口IP https://www.sodocs.net/doc/4116448996.html,work# interface eth1 ip add 202.69.38.8 mask255.255.255.0
配置Eth2 接口IP https://www.sodocs.net/doc/4116448996.html,work# interface eth2 ip add 172.16.1.1 mask255.255.255.0
2)内网中管理员通过浏览器登录网络卫士防火墙,为区域资源绑定属性,设置权限。设置内网绑定属性为“Eth0”,权限选择为禁止。
设置外网绑定属性为“Eth1”,权限选择为允许。
设置SSN 绑定属性为“Eth2”,权限选择为禁止。
3)定义地址资源
定义HTTP 服务器:主机名称设为HTTP_SERVER,IP 为172.16.1.2。
定义FTP 服务器:主机名称设为FTP_SERVER,IP 为172.16.1.3。
定义邮件服务器:主机名称设为MAIL_SERVER,IP 为172.16.1.4。
定义虚拟HTTP服务器:主机名称设为V_SERVER,IP 为202.69.38.10。
6)定义路由
案例2:混合模式下通过ADSL 拨号访问外网
案例2:混合模式下通过ADSL 拨号访问外网,主要描述分公司网络卫士防火墙的配置,分公司的网络卫士防火墙工作在混合模式下。值得注意的是,分公司是通过ADSL 拨号与外网进行连接的。
图 2 网络卫士防火墙的混合模式
网络状况:
●分公司的网络卫士防火墙工作在混合模式。Eth1 为路由接口,属于外网区域,通过路由器与外部网
络及ISP 相连(该接口由ADSL拨号获取公网IP);Eth0 和Eth2 均为交换接口,Eth0 工作在Trunk 方式下,Eth2 工作在Access 方式下;Eth0 下连接着2 个VLAN,VLAN-1 和VLAN-2;Eth3 下连接着1 个VLAN,VLAN-3。
●VLAN-1 的IP 为192.168.10.1/24;VLAN-2 的IP 为192.168.25.1/24;VLAN-3 的IP 为
192.168.95.1/24。
●管理主机位于VLAN-1 内。
用户需求:
●防火墙通过ADSL 拨号获取eth1 的公网IP 地址。
●VLAN-1 内的机器可以任意访问外网(NAT 方式),VLAN-2 和VLAN-3 内的机器禁止访问外网,
但允许VLAN-2 访问VLAN-3。
●外网的机器不能访问VLAN-1 与VLAN-2;外网的机器可以访问VLAN-3。
配置步骤:
1)通过CONSOLE 口登录网络卫士防火墙,配置基本信息。
进入network 组件topsec # network
添加VLAN-1 https://www.sodocs.net/doc/4116448996.html,work# vlan add id 1
配置VLAN-1 的管理IP https://www.sodocs.net/doc/4116448996.html,work# interface vlan.0001 ip add 192.168.10.1 mask
255.255.255.0
配置eth0 接口为交换接口https://www.sodocs.net/doc/4116448996.html,work# interface eth0 switchport mode trunk
设置eth0 接口属于VLAN-1 https://www.sodocs.net/doc/4116448996.html,work# interface eth0 switchport trunk allowed-vlan 0001
2)管理员通过VLAN-1 的管理IP 登录网络卫士防火墙,并绑定eth1 口和ADSL 的拨号属性、设置区域
资源及VLAN。
设置区域(外网)绑定属性为“adsl”;权限设为允许访问。
添加VLAN-2 管理IP 设为“192.168.25.1”,MASK 设为“255.255.255.0”。
添加VLAN-3 管理IP 设为“192.168.95.1”,MASK 设为“255.255.255.0”。
设置eth0 接口属于VLAN-2,VLAN 范围设为“1-2”。
3)设置接口
设置接口eth2 设置为“交换接口”;接口类型为“access”;VLAN 范围为“3”。
4)设置ADSL 拨号参数
设置ADSL 拨号参数接口设置为“eth1”;用户名和密码根据ISP 服务商提供的参数值进行设置;绑定属性为“adsl”。
5)定义访问规则
VLAN-1 用户通过源地址转换访问外网:
转换控制选择“源转换”;源VLAN 选择“VLAN.0001”;目的区域选择“外网”;服务不选,表示全部服务;源地址转换为“adsl”。
7)拨号
在防火墙上通过选择网络管理> ADSL 菜单,并点击“开始拨号”按钮进行ADSL
拨号。建立ADSL 连接成功后,在防火墙的路由表中会增加一条内网用户访问Internet 的
路由信息:
源为“0.0.0.0/0”;
目的为“0.0.0.0/0”;
网关地址为ISP 分配的公网IP 地址(如:169.254.125.124);
接口为与Eth1 口绑定的ppp0 口(拨号成功后,系统自动创建了一个ppp0 口)。
案例3:建立VPN 隧道
建立VPN 隧道,主要介绍在如上所述的网络环境中,如何在总公司与分公司之间建立IPSec VPN 隧道。
图 3 网络卫士防火墙的VPN 隧道模式
网络状况:
●总公司防火墙工作在路由模式下,接口Eth1(IP:202.69.38.8)通过路由器与Internet 相连;分公司
防火墙工作在混合模式下,接口Eth1 通过路由器与Internet相连,且Eth1 口通过ADSL 拨号获取公网IP。
●总公司防火墙的Eth0 口与Eth2 口分别连接公司内网区和SSN 区域,内网区有三个子网:
192.168.2.0/24、192.168.3.0/24、192.168.1.0/24。
●分公司防火墙的Eth0 口与Eth2 口分别连接内网的三个Vlan:VLAN-1、VLAN-2和VLAN-3,其中
VLAN-1 的IP 为192.168.10.1/24。
用户需求:
●分公司的VLAN-1 所在子网192.168.10.0/24 与总公司子网192.168.2.0/24 之间建立基于预共享密钥
认证的VPN 通信。
配置步骤:
1)配置总公司防火墙,具体的配置步骤请参见案例1。
2)配置分公司防火墙,具体的配置步骤请参见案例2。
下面只描述与建立VPN 隧道有关的操作。
3)在总公司防火墙上开放“IPSecVPN”服务
开放IPSecVPN 服务:
服务名称为“IPSecVPN”;控制区域为“area_eth1”;控制地址为“any”。
4)在分公司防火墙上开放服务
开放IPSecVPN 服务:
服务名称为“IPSecVPN”;控制区域为“area_eth1”;控制地址为“any”。
5)在总公司防火墙上绑定虚接口
绑定虚接口:
虚接口名为“ipsec0”;绑定接口名为“eth1”;接口地址为“202.69.38.8”。
6)在分公司防火墙上绑定虚接口
绑定虚接口:
虚接口名为“ipsec0”;绑定接口名为“eth1”;接口地址为“0.0.0.0”。
7)在总公司防火墙上添加静态隧道,隧道参数采用默认设置。
添加静态隧道:隧道名:zong-fen
IKE 协商模式:主模式
认证方式= 预共享密钥,密钥= 123456
本地标识:@202_8
对方标识:@0_0
对方地址:0.0.0.0
本地子网:192.168.2.0
本地掩码:255.255.255.0
对方子网:192.168.10.0
对方掩码:255.255.255.0
主动发起协商:是
8) 在分公司防火墙上添加静态隧道,隧道参数采用默认设置。
添加静态隧道隧道名:fen-zong
IKE 协商模式:主模式
认证方式= 预共享密钥,密钥=123456
本地标识:@0_0
对方标识:@202_8
对方地址:202.69.38.8
本地子网:192.168.10.0
本地掩码:255.255.255.0
对方子网:192.168.2.0
对方掩码:255.255.255.0
主动发起协商:是
提示
本案例中分公司防火墙采用的是ADSL 拨号的方式,故其IP 设置为0.0.0.0。如果建立隧道的两台防火墙均为ADSL 环境,则可以通过DDNS 方式,利用域名来建立隧道。
1.案例4:网络情况介绍及应用需求描述:
a.局域网内共5个VLAN,其中VLAN1用于网络设备管理,VLAN10、11、12用于局域网内用户,VLAN20为内部服务器,对应的子网规划:
VLAN1:192.168.0.0/24 GW:192.168.0.254
VLAN10:192.168.10.0/24 GW:192.168.10.254
VLAN11:192.168.11.0/24 GW:192.168.11.254
VLAN12:192.168.12.0/24 GW:192.168.12.254
VLAN20:192.168.20.0/24 GW:192.168.20.254
防火墙内口位于VLAN1,分配IP为192.168.0.253,OA Server位于VLAN20,分配IP为192.168.20.250 b.SSN内的服务器对Internet及内部局域网提供WEB、Email、FTP服务,内部OA服务器对局域网用户及分支机构用户提供OA服务
c.从ISP那里申请到一段61.144.102.0/29段公网IP,共8个IP,缺省路由是61.144.102.6,可用IP 有5个,分配如下:
防火墙外口:61.144.102.1
WEB:61.144.102.2
FTP:61.144.102.3
Email:61.144.102.4
备用:61.144.102.5
其中SSN那3台服务器的IP由防火墙实现一对一地址翻译
d.分支机构与防火墙建立VPN隧道访问内部OA服务器:
分支机构1、2也安装VPN网关直接与防火墙建立Site-to-Site的VPN隧道;
ADSL拨号分支机构与远程移动办公用户采用VPN Client软件与防火墙建立Client-to-Server的VPN 隧道。
e.访问控制需求:
VLAN10用户访问Internet,24小时允许POP3、SMTP、DNS服务,休息时间(周一至五的下午6点至次日9点、周六周日全天)允许HTTP;
VLAN11用户访问Internet,24小时允许HTTP、POP3、SMTP、FTP、DNS;
VLAN12用户访问Internet及SSN,24小时所有服务不限制;
所有内部用户及Internet公网访问SSN内WEB的HTTP、Email的POP3和SMTP、FTP服务器的FTP服务24小时不限制;
分支机构通过VPN隧道访问内部OA服务器24小时不限;
VLAN10、VLAN11用户访问Internet作带宽限制最高256Kbps,其中VLAN11优先级稍高;
H3C SecPath系列防火墙典型配置案例集-6W100-SecPath系列防火墙IPSec典型配置举例
SecPath系列防火墙IPSec典型配置举例 关键词:IKE、IPSec 摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。 缩略语: 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP
目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一:基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二:与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)
防火墙双机热备配置案例
双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。 双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。 配置要点 ?设置HA心跳口属性 ?设置除心跳口以外的其余通信接口属于VRID2 ?指定HA的工作模式及心跳口的本地地址和对端地址 ?主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 ?主墙 a)配置HA心跳口地址。 ①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。 点击“确定”按钮保存配置。
H3CSecPathF100系列防火墙配置教程
H3C SecPath F100系列防火墙配置教程初始化配置 〈H3C〉system-view 开启防火墙功能 [H3C]firewall packet-filter enable [H3C]firewall packet-filter default permit 分配端口区域 [H3C] firewall zone untrust [H3C-zone-trust] add interface GigabitEthernet0/0 [H3C] firewall zone trust [H3C-zone-trust] add interface GigabitEthernet0/1 工作模式 firewall mode transparent 透明传输 firewall mode route 路由模式 http 服务器 使能HTTP 服务器undo ip http shutdown 关闭HTTP 服务器ip http shutdown 添加WEB用户 [H3C] local-user admin [H3C-luser-admin] password simple admin [H3C-luser-admin] service-type telnet [H3C-luser-admin] level 3 开启防范功能 firewall defend all 打开所有防范 切换为中文模式language-mode chinese 设置防火墙的名称sysname sysname 配置防火墙系统IP 地址firewall system-ip system-ip-address [ address-mask ] 设置标准时间clock datetime time date 设置所在的时区clock timezone time-zone-name { add | minus } time
C防火墙配置实例
C防火墙配置实例Prepared on 21 November 2021
本文为大家介绍一个H3C防火墙的配置实例,配置内容包括:配置接口IP地址、配置区域、配置NAT地址转换、配置访问策略等,组网拓扑及需求如下。 1、网络拓扑图 2、配置要求 3、防火墙的配置脚本如下
rule1000denyip aclnumber3002 descriptioninside-to-outside rule1000denyip # interfaceAux0 asyncmodeflow # interfaceEthernet0/0 shutdown # interfaceEthernet0/1 shutdown # interfaceEthernet0/2 speed100 duplexfull descriptiontoserver firewallpacket-filter3002inbound firewallaspf1outbound # interfaceEthernet0/3 shutdown # interfaceEthernet1/0 shutdown # interfaceEthernet1/1 shutdown # interfaceEthernet1/2 speed100 duplexfull descriptiontointernet firewallpacket-filter3001inbound firewallaspf1outbound natoutboundstatic # interfaceNULL0 # firewallzonelocal setpriority100 # firewallzonetrust addinterfaceEthernet0/2 setpriority85
防火墙典型配置举例
1.1防火墙典型配置举例
[Quidway-acl-101]rule deny ip source any destination any #配置规则允许特定主机访问外部网,允许内部服务器访问外部网。 [Quidway-acl-101]rule permit ip source129.38.1.40destination any [Quidway-acl-101]rule permit ip source129.38.1.10destination any [Quidway-acl-101]rule permit ip source129.38.1.20destination any [Quidway-acl-101]rule permit ip source129.38.1.30destination any #配置规则允许特定用户从外部网访问内部服务器。 [Quidway]acl102 [Quidway-acl-102]rule permit tcp source202.39.2.30destination 202.38.160.10 #配置规则允许特定用户从外部网取得数据(只允许端口大于1024的包)。 [Quidway-acl-102]rule permit tcp source any destination 202.38.160.10.0.0.0destination-port greater-than1024 #将规则101作用于从接口Ethernet0进入的包。 [Quidway-Ethernet0]firewall packet-filter101inbound #将规则102作用于从接口Serial0进入的包。 [Quidway-Serial0]firewall packet-filter102inbound
部署防火墙的步骤
部署防火墙的步骤 部署防火墙的步骤一#转换特权用户pixfirewall>ena pixfirewall# #进入全局配置模式 pixfirewall# conf t #激活内外端口 interface ethernet0 auto interface ethernet1 auto #下面两句配置内外端口的安全级别 nameif ethernet0 outside security0 nameif ethernet1 inside security100 #配置防火墙的用户信息 enable password pix515 hostname pix515 domain-name domain #下面几句配置内外网卡的ip地址 ip address inside 192.168.4.1 255.255.255.0 ip address outside 公网ip 公网ip子网掩码global (outside) 1 interface nat (inside) 1 192.168.4.0 255.255.255.0 0 0
#下面两句将定义转发公网ip的ssh和www服务到192.168.4.2 static (inside,outside) tcp 公网ip www 192.168.4.2 www netmask 255.255.255.255 0 0 static (inside,outside) tcp 公网ip ssh 192.168.4.2 ssh netmask 255.255.255.255 0 0 #下面两句将定义外部允许访问内部主机的服务 conduit permit tcp host 公网ip eq www any conduit permit tcp host 公网ip eq ssh 信任ip 255.255.255.255 #允许内部服务器telnet pix telnet 192.168.4.2 255.255.255.0 inside #下面这句允许ping conduit permit icmp any any #下面这句路由网关 route outside 0.0.0.0 0.0.0.0 公网ip网关 1 #保存配置 write memory 部署防火墙的步骤二步骤一:安装程序时 许多程序在安装时都要求关闭防火墙(如wps office 2003)。有些程序虽然并未直接明示,但若不及时关闭,就有可能造成安装失败,比如弹出“读取错误”、“安装*.exe出错”等信息,或者干脆死机,或者安装上去之后不能正常使用。笔者在安装金山影霸、office xp等程序时已经屡经验证。
H3C防火墙典型配置举例
SecBlade防火墙插卡配置管理典型配置举例 关键词:配置管理,备份 摘要:配置管理模块主要用于对SecBlade防火墙插卡进行配置保存(加密和非加密)、备份、配置恢复和恢复出厂配置,用户可以在web页面方便地对设备的配置进行维护和管理。 缩略语: 缩略语英文全名中文解释 - - -
目录 1 特性简介 (3) 2 应用场合 (3) 3 注意事项 (3) 4 配置举例 (3) 4.1 组网需求 (3) 4.2 配置思路 (3) 4.3 使用版本 (4) 4.4 配置步骤 (4) 4.4.1 基本配置 (4) 4.4.2 配置管理 (4) 4.5 验证结果 (6) 4.5.1 配置保存 (6) 4.5.2 配置备份 (7) 4.5.3 配置恢复 (7) 4.5.4 恢复出厂配置 (7) 4.5.5 软件升级 (7) 4.5.6 设备重启 (7)
1 特性简介 配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。 配置保存可以加密保存配置,如果将配置信息备份下来,打开文件查看时,看到的是密文显示。 在此页面可以对当前的配置信息进行配置备份和备份恢复。软件升级和系统重启可以让用户通过web页面对设备进行管理和操作。 2 应用场合 用于设备的日常维护,当配置修改后,可以保存配置以免设备断电配置信息丢失。也可以将配置信息备份下来,用于日后的配置恢复。如果想清空配置信息时,可以恢复出厂配置。 3 注意事项 (1) 软件升级时,尽量在流量少的时候操作,以免影响用户正常使用。 (2) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。 4 配置举例 4.1 组网需求 本配置举例中,设备使用的是Secblade II防火墙插卡。本典型配置举例同样适合Secblade LB插卡。 图1配置管理组网图 4.2 配置思路 GE0/1所在的局域网(内网)接口配置地址为192.168.252.98/22,加入ManageMent域,使GE0/1成为管理口。
DPtech FW1000系列应用防火墙典型配置v3.2
DPtech FW1000系列应用防火墙 典型配置 手册版本:v3.2 软件版本:FW1000-S211C011D001P15 发布时间:2018-12-07
声明 Copyright ? 2008-2018杭州迪普科技股份有限公司版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。 为杭州迪普科技股份有限公司的商标。 对于本手册中出现的其他所有商标或注册商标,由各自的所有人拥有。 由于产品版本升级或其他原因,本手册内容有可能变更。杭州迪普科技股份有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导,杭州迪普科技股份有限公司尽全力在本手册中提供准确的信息,但是杭州迪普科技股份有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。 杭州迪普科技股份有限公司 地址:杭州市滨江区通和路68号中财大厦6层 邮编:310051 网址:https://www.sodocs.net/doc/4116448996.html, 技术论坛:https://www.sodocs.net/doc/4116448996.html, 7x24小时技术服务热线:400-6100-598
约定图形界面格式约定 各类标志约定 表示操作中必须注意的信息,如果忽视这类信息,可能导致数据丢失、功能失效、设备损坏或不可预知的结果。 表示对操作内容的描述进行强调和补充。
目录 1产品介绍 ........................................................................................................................................... 1-1 1.1产品概述.................................................................................................................................. 1-1 1.2产品特点.................................................................................................................................. 1-1 2设备基本配置维护案例...................................................................................................................... 2-1 2.1登陆防火墙设备Web界面....................................................................................................... 2-1 2.1.1组网说明........................................................................................................................ 2-1 2.1.2配置前提........................................................................................................................ 2-1 2.1.3注意事项........................................................................................................................ 2-1 2.1.4配置思路........................................................................................................................ 2-2 2.1.5配置步骤........................................................................................................................ 2-2 2.1.6结果验证........................................................................................................................ 2-3 2.2 Telnet/SSH远程管理防火墙..................................................................................................... 2-4 2.2.1组网说明........................................................................................................................ 2-4 2.2.2配置前提........................................................................................................................ 2-5 2.2.3注意事项........................................................................................................................ 2-5 2.2.4配置思路........................................................................................................................ 2-5 2.2.5配置步骤........................................................................................................................ 2-5 2.2.6结果验证........................................................................................................................ 2-6 2.3限制特定IP/特定协议管理防火墙 ............................................................................................ 2-7 2.3.1组网说明........................................................................................................................ 2-7 2.3.2配置前提........................................................................................................................ 2-7 2.3.3注意事项........................................................................................................................ 2-7 2.3.4配置思路........................................................................................................................ 2-7 2.3.5配置步骤........................................................................................................................ 2-8 2.3.6结果验证........................................................................................................................ 2-9 2.4保存/下载/导入防火墙配置文件.............................................................................................. 2-10 2.4.1组网说明...................................................................................................................... 2-10 2.4.2配置前提...................................................................................................................... 2-10 2.4.3注意事项...................................................................................................................... 2-10 2.4.4配置思路...................................................................................................................... 2-10 2.4.5配置步骤....................................................................................................................... 2-11 2.4.6结果验证...................................................................................................................... 2-13 2.5 Web页面升级防火墙软件版本 ............................................................................................... 2-13
东软防火墙配置过程
(一)初始化设备 1) 初始化配置步骤: 1.用超级终端通过串口控制台连接(RJ-45 null-modem 线缆)来完成初始配置。完成初始配置后,可不再使用控制台。 2.打开NetEye 设备的电源开关。 3.终端控制台将显示如下提示: LILO 22.7.1 1 NetEye_FW_4_2_build_200080.install 2 bootmgr Press key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟,在此期间输入1 并按回车。 4.配置设备。 Config the firewall or quit (y/n)(n)y 5.修改主机名。 Please input the host name for this system Host name:
10:22:36 7.设置系统语言。 Please set system language (1) English (2) Chinese Please input a choice[1-2,q](2) <1、2 或q> 选择2,中文,回车 8.更改根管理员口令。(此步骤可选,但东软强烈建议首次登录后修改口令。) Changing default password of root?(y/n)(y): Old password(6-128): neteye Password(6-128): < 新密码> Repeat Password(6-128): < 新密码> 这里我们不更改它的默认密码,选择n 9.添加根系统管理员及选择登录方式。 Creating an administrator?(y/n)(y): Username: < 用户名> Please select a login type (1) Web (2) Telnet (3) SSH
华为USG防火墙配置
华为USG2000防火墙配置 USG2000防火墙基本设置: 外观 1个调试口(CONSOLE); 2个以太网口(GE0/0/0和GE0/0/1,电口或者SFP光口任取一); 1个reset按钮(操作不当访问不到防火墙时初始化出厂配置)。 初始配置 GE0/0/0配置为路由接口,IP地址为192.168.0.1 防火墙访问IP为192.168.0.1,登录用户名admin,密码Admin@123 USG2000防火墙配置过程中注意事项: 接口配置时,不要操作当前连接的端口,否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。
USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口,访问19 2.168.0.1登录防火墙。 登录过程中出现证书错误,点击‘继续浏览此网站’继续。
输入用户名admin密码Admin@123登录防火墙。 登录后,弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式,不适合I区和II区之间,直接点取消。
以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口,在GE0/0/1行最后点配置。
别名设置‘安全II区端口’,选择模式‘交换’,连接类型选择为‘access’,点击应用。 3.添加Vlan接口 在接口页面中,点击新加,接口名称设置为‘配置接口’,类型设置为‘VLAN’,VALN ID 设置为‘1’,接口成员选择‘GE0/0/1’,连接类型设置为‘静态IP’,IP地址设置为‘192.168.1.100’,子网掩码设置为‘255.255.0.0’,最后点击应用。如下图所示 4.按照配置GE0/0/1的方法,配置GE0/0/0,将别名设为‘安全I区端口’。 注意:配置完成后,点击应用后,由于GE0/0/0的IP地址已变更,将无法访问到192.168.0.1。 5.关闭所有浏览器页面,然后重新开启浏览器,连接GE0/0/0,访问192.168.1.100。 修改刚添加的‘配置接口’的Vlan端口,将GE0/0/0添加到接口成员中。
H3C防火墙配置实例
精心整理本文为大家介绍一个H3C防火墙的配置实例,配置内容包括:配置接口IP地址、配置区域、配置NAT地址转换、配置访问策略等,组网拓扑及需求如下。 1、网络拓扑图 2、配置要求 3、防火墙的配置脚本如下
descriptionout-inside rule1000denyip aclnumber3002 descriptioninside-to-outside rule1000denyip # interfaceAux0 asyncmodeflow # interfaceEthernet0/0 shutdown # interfaceEthernet0/1 shutdown # interfaceEthernet0/2 speed100 duplexfull descriptiontoserver firewallpacket-filter3002inbound firewallaspf1outbound # interfaceEthernet0/3 shutdown # interfaceEthernet1/0 shutdown # interfaceEthernet1/1 shutdown # interfaceEthernet1/2 speed100 duplexfull descriptiontointernet firewallpacket-filter3001inbound firewallaspf1outbound natoutboundstatic # interfaceNULL0 # firewallzonelocal setpriority100 # firewallzonetrust
思科PIX防火墙简单配置实例
思科PIX防火墙简单配置实例 在本期应用指南中,管理员可以学到如何设置一个新的PIX防火墙。你将设置口令、IP地址、网络地址解析和基本的防火墙规则。 假如你的老板交给你一个新的PIX防火墙。这个防火墙是从来没有设置过的。他说,这个防火墙需要设置一些基本的IP地址、安全和一些基本的防火墙规则。你以前从来没有使用过PIX防火墙。你如何进行这种设置?在阅读完这篇文章之后,这个设置就很容易了。下面,让我们看看如何进行设置。 基础 思科PIX防火墙可以保护各种网络。有用于小型家庭网络的PIX防火墙,也有用于大型园区或者企业网络的PIX防火墙。在本文的例子中,我们将设置一种PIX 501型防火墙。PIX 501是用于小型家庭网络或者小企业的防火墙。 PIX防火墙有内部和外部接口的概念。内部接口是内部的,通常是专用的网络。外部接口是外部的,通常是公共的网络。你要设法保护内部网络不受外部网络的影响。 PIX防火墙还使用自适应性安全算法(ASA)。这种算法为接口分配安全等级,并且声称如果没有规则许可,任何通信都不得从低等级接口(如外部接口)流向高等级接口(如内部接口)。这个外部接口的安全等级是“0”,这个内部接口的安全等级是“100”。 下面是显示“nameif”命令的输出情况: pixfirewall# show nameif nameif ethernet0 outside security0 nameif ethernet1 inside security100 pixfirewall# 请注意,ethernet0(以太网0)接口是外部接口(它的默认名字),安全等级是0。另一方面,ethernet1(以太网1)接口是内部接口的名字(默认的),安全等级是100。 指南 在开始设置之前,你的老板已经给了你一些需要遵守的指南。这些指南是: ·所有的口令应该设置为“思科”(实际上,除了思科之外,你可设置为任意的口令)。 ·内部网络是10.0.0.0,拥有一个255.0.0.0的子网掩码。这个PIX防火墙的内部IP地址应该是10.1.1.1。
防火墙配置实例
C I S C O5520防火墙配置实例 本人在项目中已经两次接触到思科5500系列防火墙的配置应用了,根据项目的需求不同,详细的配置也不一样,因此汇总了一个通用版本的思科5500系列防火墙的配置,不详之处,请各位大虾给予指点,谢谢! CD-ASA5520# show run : Saved : ASA Version (2) ! hostname CD-ASA5520&nb sp; //给防火墙命名 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口: duplex full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名:外部接口outside
security-level 0 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address ! passwd encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS
学习防火墙的配置方法..
在前几篇对防火墙的有关知识和技术作了一个较全面的介绍,本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。 一. 防火墙的基本配置原则 默认情况下,所有的防火墙都是按以下两种情况配置的: ●拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ●允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。 在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则: (1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。 (2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以
H3C防火墙配置实例
本文为大家介绍一个H3C防火墙的配置实例,配置内容包括:配置接口IP地址、配置区域、配置NAT地址转换、配置访问策略等,组网拓扑及需求如下。 1、网络拓扑图 2、配置要求 1)防火墙的E0/2接口为TRUST区域,ip地址是:192.168.254.1/29; 2)防火墙的E1/2接口为UNTRUST区域,ip地址是:202.111.0.1/27; 3)内网服务器对外网做一对一的地址映射,192.168.254.2、192.168.254.3分别映射为202.111.0.2、202.111.0.3; 4)内网服务器访问外网不做限制,外网访问内网只放通公网地址211.101.5.49访问192.168.254.2的1433端口和192.168.254.3的80端口。 3、防火墙的配置脚本如下
firewall statistic system enable # radius scheme system server-type extended # domain system # local-user net1980 password cipher ###### service-type telnet level 2 # aspf-policy 1 detect h323 detect sqlnet detect rtsp detect http detect smtp detect ftp detect tcp detect udp # object address 192.168.254.2/32 192.168.254.2 255.255.255.255 object address 192.168.254.3/32 192.168.254.3 255.255.255.255 # acl number 3001 description out-inside rule 1 permit tcp source 211.101.5.49 0 destination 192.168.254.2 0 destination-port eq 1433 rule 2 permit tcp source 211.101.5.49 0 destination 192.168.254.3 0 destination-port eq www rule 1000 deny ip acl number 3002 description inside-to-outside rule 1 permit ip source 192.168.254.2 0 rule 2 permit ip source 192.168.254.3 0 rule 1000 deny ip # interface Aux0 async mode flow # interface Ethernet0/0 shutdown # interface Ethernet0/1 shutdown