联想网御强五防火墙多网口多DMZ

5.6.1 需求描述

上图所示的网络有四个网络区段。其中内部网络区段的网络地址是192.168.1.0,掩码是 255.255.255.0;DMZ1 的网络地址是172.16.1.0,掩码是255.255.255.0;DMZ2 的网络地址 是172.16.2.0,掩码是255.255.255.0;fe4 所在网段的网络地址是202.100.100.0,掩码是 255.255.255.0。

fe1 工作在路由模式,IP 地址是192.168.1.1,掩码是255.255.255.0;fe2 工作在路由模式, IP 地址是172.16.2.1,掩码是255.255.255.0;fe3 工作在路由模式,IP 地址是172.16.1.1,掩 码是255.255.255.0;fe4 工作在路由模式,IP 地址是202.100.100.3,掩码是255.255.255.0。 内部网络的网关指向192.168.1.1,DMZ1 的网关指向172.16.1.1,DMZ2 的网关指向 172.16.2.1,防火墙的缺省网关指向202.100.100.1。

防火墙的默认安全策略是禁止。区段间的安全策略是:允许内部网络区段访问DMZ1 的 http,smtp,pop3,ftp 服务,DMZ2 的所有服务,INTERNET 的http,smtp,pop3,ftp 服 务;允许DMZ1 访问DMZ2 的所有服务;允许INTERNET 访问DMZ1 的http,smtp,pop3, ftp 服务。其他的访问都禁止。

5.6.2 配置步骤

1. 设备配置请参考上面的需求描述。

注意:在配置安全策略前,请先添加如下的资源:

LOCAL_NET:192.168.1.0,掩码255.255.255.0,网络地址。

DMZ1_NET:172.16.1.0,掩码255.255.255.0,网络地址。

DMZ2_NET:172.16.2.0,掩码255.255.255.0,网络地址。

WWW_SERVER:172.16.1.2,掩码255.255.255.255,主机地址。

MAIL_SERVER:172.16.1.3,掩码255.255.255.255,主机地址。

FTP_SERVER:172.16.1.4,掩码255.255.255.255,主机地址。

SQL_SERVER:172.16.2.2,掩码255.255.255.255,主机地址。

2. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是http,动 作是允许的包过滤规则。

3. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是smtp,动 作是允许的包过滤规则。

4. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是pop3, 动作是允许的包过滤规则。

5. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是ftp,动 作是允许的包过滤规则。

6. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是DMZ2_NET,服务是 any,动作是允许的包过滤规则。

7. 策略配置>安全规则>:添加源地址是DMZ1_NET,目的地址是DMZ2_NET,服务是 any,动作是允许的包过滤规则。

8. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ1_NET,服务是http,动作 是允许的包过滤规则。

9. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ1_NET,服务是smtp,动 作是允许的包过滤规则。

10. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ1_NET,服务是pop3,动 作是允许的包过滤规则。

11. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ1_NET,服务是ftp,动作 是允许的包过滤规则。

12. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是any 的 NAT 规则。

13. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是http,内部地址是 WWW_SERVER,内部服务是http 的端口映射规则。

14. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是smtp,内部地址是 MAIL_SERVER,内部服务是smtp 的端口映射规则。

15. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是pop3,内部地址是 MAIL_SERVER,内部服务是pop3 的端口映射规则。

16. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是ftp,内部地址是 FTP_SERVER,内部服务是ftp 的端口映射规则。

5.6.1 需求描述

上图所示的网络有四个网络区段。其中内部网络区段的网络地址是192.168.1.0,掩码是 255.255.255.0;DMZ1 的网络地址是172.16.1.0,掩码是255.255.255.0;DMZ2 的网络地址 是172.16.2.0,掩码是255.255.255.0;fe4 所在网段的网络地址是202.100.100.0,掩码是 255.255.255.0。

fe1 工作在路由模式,IP 地址是192.168.1.1,掩码是255.255.255.0;fe2 工作在路由模式, IP 地址是172.16.2.1,掩码是255.255.255.0;fe3 工作在路由模式,IP 地址是172.16.1.1,掩 码是255.255.255.0;fe4 工作在路由模式,IP 地址是202.100.100.3,掩码是255.255.255.0。 内部网络的网关指向192.168.1.1,DMZ1 的网关指向172.16.1.1,DMZ2 的网关指向 172.16.2.1,防火墙的缺省网关指向202.100.100.1。

防火墙的默认安全策略是禁止。区段间的安全策略是:允许内部网络区段访问DMZ1 的 http,smtp,pop3,ftp 服务,DMZ2 的所有服务,INTERNET 的http,smtp,pop3,ftp 服 务;允许DMZ1 访问DMZ2 的所有服务;允许INTERNET 访问DMZ1 的http,smtp,pop3, ftp 服务。其他的访问都禁止。

5.6.2 配置步骤

1. 设备配置请参考上面的需求描述。

注意:在配置安全策略前,请先添加如下的资源:

LOCAL_NET:192.168.1.0,掩码255.255.255.0,网络地址。

DMZ1_NET:172.16.1.0,掩码255.255.255.0,网络地址。

DMZ2_NET:172.16.2.0,掩码255.255.255.0,网络地址。

WWW_SERVER:172.16.1.2,掩码255.255.255.255,主机地址。

MAIL_SERVER:172.16.1.3,掩码255.255.255.255,主机地址。

FTP_SERVER:172.16.1.4,掩码255.255.255.255,主机地址。

SQL_SERVER:172.16.2.2,掩码255.255.255.255,主机地址。

2. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是http,动 作是允许的包过滤规则。

3. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是smtp,动 作是允许的包过滤规则。

4. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是pop3, 动作是允许的包过滤规则。

5. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是ftp,动 作是允许的包过滤规则。

6. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是DMZ2_NET,服务是 any,动作是允许的包过滤规则。

7. 策略配置>安全规则>:添加源地址是DMZ1_NET,目的地址是DMZ2_NET,服务是 any,动作是允许的包过滤规则。

8. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ1_NET,服务是http,动作 是允许的包过滤规则。

9. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ1_NET,服务是smtp,动 作是允许的包过滤规则。

10. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ1_NET,服务是pop3,动 作是允许的包过滤规则。

11. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ1_NET,服务是ftp,动作 是允许的包过滤规则。

12. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是any 的 NAT 规则。

13. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是http,内部地址是 WWW_SERVER,内部服务是http 的端口映射规则。

14. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是smtp,内部地址是 MAIL_SERVER,内部服务是smtp 的端口映射规则。

15. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是pop3,内部地址是 MAIL_SERVER,内部服务是pop3 的端口映射规则。

16. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是ftp,内部地址是 FTP_SERVER,内部服务是ftp 的端口映射规则。


相关文章

  • 防火墙配置简要手册

    • 一.电脑侧的配置(tftp server) 二.防火墙测配置: 1.查看防火墙的配置文件 dir Directory of flash:/ 1 -rw- 5527015 Mar 15 2011 11:33:46 system 2 -rw- ...查看


  • 防火墙端口开放问题

    • 建议将内网和服务器分开,使用不同的域,使用不同的规则.可以参考以下设置: 1.使用防火墙的3个接口(Interface),一个连接内网(以下简称LAN口),一个连接外网(以下简称内WAN口),一个连接服务器(以下简称DMZ口). 其中内网使 ...查看


  • 联想网御防火墙

    • 防火墙部署逻辑拓扑 一 WEB登录配置 ⑴ 安装认证驱动程序. 插入随机附带的驱动光盘,进入光盘ikey driver目录,双击运行INSTDRV程序,选择"开始安装",随后出现安装成功的提示,选择"退出 重新 ...查看


  • 华为Eudemon防火墙-详细配置

    • 配置各接口IP地址.网络参数.缺省路由. Eudemon防火墙连接Trust.DMZ和Untrust三个安全区域,因此需要配置相关连接接口的IP地址.链路层.网络层.路由的参数,从而实现Eudemon网络层与其他设备互通. # 配置Eude ...查看


  • 中小企业如何搭建属于自己的邮件服务器

    • 中小企业如何搭建属于自己的邮件服务 器 想要搭建一台属于自己公司的邮件服务器,就要首先了解企业邮箱.所谓企业邮箱,就是一种类似于虚拟主机的服务,将一台邮件服务器划分为若干区域,分别出租给不同的企业,一个企业可以租用一定的空间作为自己的邮件服 ...查看


  • CISCO5520防火墙配置实例

    • CISCO 5520防火墙配置实例 本人在项目中已经两次接触到思科5500系列防火墙的配置应用了,根据项目的需求不同,详细的配置也不一样,因此汇总了一个通用版本的思科5500系列防火墙的配置,不详之处,请各位大虾给予指点,谢谢! CD-AS ...查看


  • 配置asa5505防火墙

    • 配置asa 5505防火墙 1.配置防火墙名 ciscoasa> enable ciscoasa# configure terminal ciscoasa(config)# hostname asa5505 2.配置Http.teln ...查看


  • 联想网御网闸配置实例

    • 联想网御网闸配置实例 背景:XX局为了组建区域XX平台内网,需要在我们内网中搭建一台服务器,用XX局直接远程到院内网服务器,分配给我们的外网IP:172.17.3.50,255.255.255.0,172.17.3.254 ,内网服务器IP ...查看


  • 校园网网络系统集成方案13

    • 摘要 本文主要论叙校园局域网的组建和配置,从网络规划的总体结构来看,总共分为五大模块:校园网络需求分.校园网络设备配置.校园网服务器配置.校园网络的管理和安全,设计心得和总结.其中需求分析又分为学校现状分析.学校信息点分布需求分析.学校子网 ...查看


热门内容