信息安全产品配置与应用第二章09防火墙实训-策略设计.pptx

信息安全产品配置与应用第二章09防火墙实训-策略设计.pptx

《信息安全产品配置与应用第二章09防火墙实训-策略设计.pptx》由会员分享，可在线阅读，更多相关《信息安全产品配置与应用第二章09防火墙实训-策略设计.pptx（11页珍藏版）》请在冰豆网上搜索。

信息安全产品配置与应用ConfigurationandApplicationofInformationSecurityProducts|信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇1.6项目2：

防火墙设备配置任务2：

防火墙的配置策略设计本次课主要内容：

一、网络拓扑分析二、区域划分和IP设置三、网络地址转换（NAT）设置四、防火墙规则设置信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇一、网络拓扑图信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇二、区域划分和IP设置服务器区域IP段：

192.168.2.0/24，网关指向192.168.2.1内网区域IP段：

192.168.100.0/24，网关指向192.168.100.1运营商分配的互联网地址：

202.202.67.23/27，网关指向202.202.67.30信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇接口名称接口IP地址区域名称对端设备备注Eth0192.168.1.254无默认管理地址Eth1202.202.67.23互联网区域光纤收发器运营商线路Eth2192.168.2.1服务器区域服务器交换机Eth3192.168.100.1内网区域内网核心交换机信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇三、网络地址转换（NAT）设置因为服务器交换机及内网交换机的默认网关均已经指向防火墙了，并防火墙的接口地址与他们均在一个地址段内，所以路由方面仅需要增加指向互联网运营商提供的网关地址即可，即防火墙的默认网关需要指向202.202.67.30。

源地址转换因为用户内网使用的是私有地址，所以当访问互联网时，防火墙需要为其进行地址转换，即内网访问互联网时源地址转换为202.202.67.23，同时互联网用户通过访问该地址，可以访问到部署在服务器区域的网站192.168.2.119，这样就需要一个目的地址转换规则。

目标地址转换信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇序号源目的转换的服务地址转换为备注1内网区域互联网ALL源地址转换为：

202.202.67.23实现互联网访问2服务器区域互联网ALL源地址转换为：

202.202.67.23实现互联网访问3互联网区域202.202.67.23Http目的地址转换为：

192.168.2.199对互联网开放网站信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇四、防火墙规则设置对于服务器区域与内网区域间的互访，通过路由实现，不需要做地址转换。

另外，根据访问需求，用户需要内部网络包括服务器区域均可以访问互联网，同时互联网用户（不确定）可以访问服务器器区域内部署的公司网站，地址是192.168.2.119，互联网用户直接访问202.202.67.23地址来访问这个网站，该网站对互联网开放http服务，内网用户可以对该服务器的TCP3389端口进行访问，以便远程维护管理该服务器信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇规则列表需要注意的问题：

规则列表需要注意的问题：

1、规则作用有顺序2、访问控制列表遵循第一匹配规则3、规则的一致性和逻辑性信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇序号源目的开放的端口安全策略备注1内网区域互联网ALL允许2服务器区域互联网ALL允许3内网区域服务器区域的192.168.2.119TCP3389，Http允许4互联网192.168.2.119Http允许5ANYANYANY禁止默认禁止所有信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇