• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙基础组网配置典型配置案例

  • 0关注
  • 0收藏 1351浏览
粉丝:1人 关注:0人

组网及说明

防火墙当前是我们经常使用到的网络安全设备,通常我们会将防火墙部署在网络的出口处作为内网与外网的隔离设备。

部署模式

1、路由部署

路由部署的模式中,防火墙墙通常需要配置出口IP地址、内网接口IP地址、安全策略、出口NATNAT端口映射、NAT回流、IP路由表等配置;

2、透明部署

透明部署向较于路由部署,就相对简单,通常只需要配置接口模式和配置安全策略即可;

路由模式举例

1、拓扑

 

配置步骤

3、配置步骤

拓扑展示了当前小型局域网的典型拓扑结构,通常比较复杂的配置都在出口防火墙上,对于核心交换机和接入交换而言通常的配置一般也只有创建vlanvlan虚拟IP的配置通常相对简单,案例中不做解释;

1、防火墙配置IP地址

小型组网中出口上网通常只有三种模式

1.1固定IP上网如拓扑所示,运营商会提供上网的固定IP地址、掩码、网关等信息,我们需要做的就是将网线或光纤插入防火墙上对应的端口就行;

注意:防火墙一般会有一个默认管理接口和默认管理地址,将调试电脑用网线插入默认管理口电脑配置和默认管理地址同网端的地址即可通过网页登录防火墙

 

 

1.2DHCP上网通常指的的是在防火墙外网口处还有网关设备。可能是其他的网关设备或者是已经拨了号的光猫设备,

1.3PPPOE通常是我们说的拨号上网,我们只需要填入拨号的账号密码即可

1.4内网通常都是固定IP配置和出口地址配置方法相同

2、配置出口NAT和路由表

2.1NAT又叫地址转换是目前上网的强制配置华三的防火墙有两种配置方式 策略NAT 和接口NAT但是两者不能公用,一般建议用接口NAT方式

2.2.1接口NAT方式

 

2.2.2策略NAT方式

 

 

2.2网络通信处理需要IP地址以外还需要路由表信息来指导数据转发,根据拓扑所示我们需要添加两条静态路由(实际情况根据规划地址写路由)

 

 

3、配置安全策略

安全策略是防火墙的核心功能,防火墙的的数据转发除了需要IP路由来指导转发以外还需要安全策略来指导数据的流向,并对不通的流量进行访问控制等精细化操作流程

3.1安全策略

安全策略的匹配规则是从上到下匹配,第一条匹配不通过时匹配下一条,如果数据所有策略都没有匹配上的话那就不放行这这个流向的数据;

3.2允许电脑上网

根据流量的分析,内部电脑上网的流量方向时trustUntrust 的流量方向,所以我根据这个方向来编写策略;

 

 

 

3.3通过对象设置,允许指定地址上网不在指定地址的地址则不能上网

根据拓扑分析我们只需要允许源地址 192.168.10.0/24 网段目的网段为any 服务也any ,因为上互联网的所有不能指定目的地址和目的服务器类型;

 

 

 

 

 

3.4封堵高危端口

实际使用过程中通常会要求封堵一些服务和端口,但是我们要灵活分析编写规则。此处做几个举例配置

1.封堵内网到外网任意地址的445 端口

 

 

 

 

 

 

2、封堵外网-到内网的高危端口

通常来说没得端口映射需求,不需要编写外网到内网的策略,再次注意对于防火墙来说只要没有没有匹配的策略就是拒绝,所以当需要封堵端口时要确定号流量的方向,然后根据方向通过区域来实现端口封堵。

 

 

4、配置端口映射

端口映射通常指的的内部办公网络有对外提供的某种服务,需要从互联网网访问

举例:映射192.168.10.2服务器的tcp 8443 端口

1、互访网发起的访问请求会先到防火墙本地,所以需要一条Untruslocal的安全策略

 

 

 

 

2、流量到了防火墙时还需要有一条防火墙到内网的策略,所以要添加local-trust的策略

 

 

 

3.策略都添加完成后,开始配置端口映射策略,端口映射也有两种映射方式,一种只策略NAT的目的映射,另一种是接口NAT的内部服务器映射推荐应接口NAT方式

 

配置关键点

2、需求分析

1、配置接口IP

2、配置出口NAT和路由表

3、配置安全策略

4、配置端口映射

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作