2024年4月7日发(作者:尚成业)
案例 1:路由模式下通过专线访问外网
用户需求:
1、 内网的机器可以任意访问外网,也可访问 SSN 中的邮件服务器和FTP 服务器;
2、 外网和 SSN 的机器不能访问内网;
3、 允许外网主机访问 SSN 的HTTP 服务器。
网络状况:
网络划分为三个区域:外网、内网和 SSN。
总公司的网络卫士防火墙工作在路由模式。
1
Eth0 属于内网区域,IP 为192.168.1.20。
Eth1 属于外网区域,IP 为202.69.38.8;
Eth2 属于SSN 区域,IP 为172.16.1.1;
内网中存在3个子网,分别为192.168.1.0/24,192.168.2.0/24,192.168.3.0/24。管理员位于内
网中
在 SSN 中有三台服务器,一台是HTTP 服务器(IP 地址:172.16.1.2),一台是FTP 服务器
(IP 地址:172.16.1.3),一台是邮件服务器(IP 地址:172.16.1.4)。
配置步骤:
1)
为网络卫士防火墙的物理接口配置IP 地址
进入 NETWORK 组件:topsec# network
配置 Eth0 接口IP:k# interface
eth0
ip add
192.168.1.20
mask
255.255.255.0
配置 Eth1 接口IP:k# interface
eth1
ip add
202.69.38.8
mask
255.255.255.0
配置 Eth2 接口IP:k# interface
eth2
ip add
172.16.1.1
mask
255.255.255.0
2)内网中管理员通过浏览器登录网络卫士防火墙,为区域资源绑定属性,设置权限
设置内网:绑定属性为“Eth0”,权限选择为禁止。
2
设置外网:绑定属性为“Eth1”, 权限选择为允许。
设置 SSN:绑定属性为“Eth2”,权限选择为禁止。
3) 定义地址资源
定义 HTTP 服务器: 主机名称设为HTTP_SERVER, IP 为172.16.1.2。
定义 FTP 服务器: 主机名称设为FTP_SERVER, IP 为172.16.1.3。
定义邮件服务器: 主机名称设为MAIL_SERVER, IP 为172.16.1.4。
定义虚拟HTTP 服务器: 主机名称设为V_SERVER,IP 为202.69.38.10。
4)定义访问规则
a.允许内网用户访问HTTP服务器:
源区域选择“内网”;
目的区域选择“SSN”,目的地址选择“HTTP_SERVER”;
服务选择“HTTP”;
访问权限选择“允许”,并启用该规则。
b.允许内网用户访问邮件服务器
源区域选择“内网”;
3
目的区域选择“SSN”,目的地址选择“MAIL_SERVER”;
服务选择“POP3”,“SMTP”;
访问权限选择“允许”,并启用该规则。
c.允许内网用户访问FTP 服务器
源区域选择“内网”;
目的区域选择“SSN”,目的地址选择“FTP_SERVER”;
服务选择“FTP”;
访问权限选择“允许”,并启用该规则。
d.允许外网用户访问HTTP服务器
源区域选择“外网”;
目的区域选择“SSN”,目的地址选择“HTTP_SERVER”;
服务选择“HTTP”;
访问权限选择“允许”,并启用该规则。
5)定义地址转换规则
a.内网用户通过源地址转换访问外网:
4
转换控制选择“源转换”;
源区域选择“内网”;
目的区域选择“外网”;
服务不选,表示全部服务;
源地址转换为“eth1”。
b.外网用户通过目的地址转换访问HTTP 服务器
转换控制选择“目的转换”;
源区域选择“外网”;
目的区域选择“SSN”,目的地址选择“V_SERVER”;
服务选择“HTTP”;
目的地址转换为“HTTP_SERVER”。
6)定义路由
a.为内网用户访问Internet 添加缺省路由:
目的地址设为“0.0.0.0”;
网关地址设为“202.69.38.9”。
5
b.添加回指路由,为发往内网的数据包指定路由
目的地址设为“192.168.0.0”;
网关地址设为“192.168.1.10”
案例 2:混合模式下通过ADSL 拨号访问外网
用户需求:
1、防火墙通过 ADSL 拨号获取eth1 的公网IP 地址。
2、外网的机器不能访问 VLAN-1 与VLAN-2;外网的机器可以访问VLAN-3
3、VLAN-1 内的机器可以任意访问外网(NAT 方式)
4、VLAN-2 和VLAN-3 内的机器禁止访问外网,允许VLAN-2 访问VLAN-3。
6
网络状况:
分公司的网络卫士防火墙工作在混合模式。
Eth1 为路由接口,属于外网区域,通过路由器与外部网络及ISP 相连(该接口由ADSL
拨号获取公网IP);
Eth0 和Eth2 均为交换接口,Eth0 工作在Trunk 方式下,Eth2 工作在Access 方式下;
Eth0 下连接着2 个VLAN,VLAN-1 和VLAN-2;
Eth2 下连接着1 个VLAN,VLAN-3。
VLAN-1 的IP 为192.168.10.1/24;
VLAN-2 的IP 为192.168.25.1/24;
VLAN-3 的IP 为192.168.95.1/24。
管理主机位于 VLAN-1 内。
配置步骤:
1
)
通过CONSOLE 口登录网络卫士防火墙,配置基本信息
a.进入 network 组件: topsec # network
添加 VLAN-1: k# vlan add id
1
7
b.配置 VLAN-1 的管理IP
k# interface
vlan.0001
ip add
192.168.10.1
mask
255.255.255.0
c.配置 eth0 接口为交换接口
k# interface
eth0
switchport mode trunk
d.设置eth0 接口属于VLAN-1
k# interface
eth0
switchport trunk allowed-vlan
0001
2)管理员通过VLAN-1 的管理IP 登录网络卫士防火墙,并绑定eth1 口和ADSL 的
拨号属性、设置区域资源及VLAN
a.设置区域(外网):
绑定属性为“adsl”;权限设为允许访问。
b.添加 VLAN-2:
管理IP 设为“192.168.25.1”,MASK 设为“255.255.255.0”
c.添加 VLAN-3:
管理IP 设为“192.168.95.1”,MASK 设为“255.255.255.0
d.设置 eth0 接口属于VLAN-2:
8
VLAN 范围设为“1-2”
3)
设置接口(eth2)
设置为“交换接口”; 接口类型为“access”; VLAN 范围为“3”
4)设置ADSL 拨号参数
接口设置为“eth1”;用户名和密码根据ISP 服务商提供的参数值进行设置;绑定属性为“adsl”
5)
定义访问规则
a.禁止 VLAN-2 用户访问外网:
源 VLAN 选择“VLAN.0002”;目的区域选择“外网”;服务不选,表示全部服务;
访问权限选择“拒绝”,并启用该规则。
b.禁止 VLAN-3 用户访问外网:
源VLAN 选择“VLAN.0003”; 目的区域选择“外网”;服务不选,表示全部服务;
访问权限选择“拒绝”,并启用该规则。
c.允许 VLAN-2 用户访问VLAN-3:
源VLAN 选择“VLAN.0002”;
目的 VLAN 选择“VLAN.0003”;服务不选,表示全部服务;
9
访问权限选择“允许”,并启用该规则。
d.禁 止 外 网 用户访问VLAN-1:
源区域选择“外网”;
目的 VLAN 选择“VLAN.0001”;服务不选,表示全部服务;
访问权限选择“拒绝”,并启用该规则
e.禁 止 外 网 用户访问VLAN-2:
源区域选择“外网”;
目的 VLAN 选择“VLAN.0002”;服务不选,表示全部服务;
访问权限选择“拒绝”,并启用该规则
6)
定义地址转换规则
VLAN-1 用户通过源地址转换访问外网:
转换控制选择“源转换”;
源 VLAN 选择“VLAN.0001”;目的区域选择“外网”;
服务不选,表示全部服务;
源地址转换为“adsl”
10
7)
拨号
在防火墙上通过选择 网络管理 > ADSL 菜单,并点击“开始拨号”按钮进行ADSL拨号。
建立ADSL 连接成功后,在防火墙的
路由表
中会增加一条内网用户访问Internet 的路由信息:
源为“0.0.0.0/0”;
目的为“0.0.0.0/0”;
网关地址为 ISP 分配的公网IP 地址(如:169.254.125.124);
接口为与 Eth1 口绑定的ppp0 口(拨号成功后,系统自动创建了一个ppp0 口)
案例 3:建立VPN 隧道
用户需求:
11
分公司的 VLAN-1 所在子网192.168.10.0/24 与总公司子网192.168.2.0/24 之间建
立基于预共享密钥认证的VPN 通信。
网络状况:
总公司防火墙工作在路由模式下,接口 Eth1(IP:202.69.38.8)通过路由器与
Internet 相连;分公司防火墙工作在混合模式下,接口Eth1 通过路由器与Internet
相连,且Eth1 口通过ADSL 拨号获取公网IP。
总公司防火墙的 Eth0 口与Eth2 口分别连接公司内网区和SSN 区域,内网区有
三个子网:192.168.2.0/24、192.168.3.0/24、192.168.1.0/24。
分公司防火墙的 Eth0 口与Eth2 口分别连接内网的三个Vlan:VLAN-1、VLAN-2
和VLAN-3,其中VLAN-1 的IP 为192.168.10.1/24。
配置步骤:
1)配置总公司防火墙,具体的配置步骤请参见(案例1)。
2)配置分公司防火墙,具体的配置步骤请参见(案例2)。
====下面只描述与建立 VPN 隧道有关的操作====
3)在总公司防火墙上开放“IPSecVPN”服务
12
开放IPSecVPN 服务:
服务名称为“IPSecVPN”;控制区域为“area_eth1”;控制地址为“any”
4)在分公司防火墙上开放服务
开放 IPSecVPN 服务:
服务名称为“IPSecVPN”;控制区域为“area_eth1”;控制地址为“any”
5)在总公司防火墙上绑定虚接口
绑定虚接口:
虚接口名为“ipsec0”;绑定接口名为“eth1”;接口地址为“202.69.38.8”
6)在分公司防火墙上绑定虚接口
绑定虚接口:
虚接口名为“ipsec0”;绑定接口名为“eth1”;接口地址为“0.0.0.0”。
7)在总公司防火墙上添加静态隧道,隧道参数采用默认设置。
添加静态隧道:
隧道名:zong-fen
IKE 协商模式:主模式
13
认证方式 = 预共享密钥,密钥 = as34Kui()
本地标识:@202_8
对方标识:@0_0
对方地址:0.0.0.0
本地子网:192.168.2.0
本地掩码:255.255.255.0
对方子网:192.168.10.0
对方掩码:255.255.255.0
主动发起协商:是
8) 在分公司防火墙上添加静态隧道,隧道参数采用默认设置
添加静态隧道:
隧道名:fen-zong
IKE 协商模式:主模式
认证方式 = 预共享密钥,密钥 = as34Kui()
本地标识:@0_0
14
对方标识:@202_8
对方地址:202.69.38.8
本地子网:192.168.10.0
本地掩码:255.255.255.0
对方子网:192.168.2.0
对方掩码:255.255.255.0
主动发起协商:是
提示:
* 案例配置中未涉及的参数均采用系统缺省设置。在实际应用中请根据具体网络情况和需求进行修
改。
* 本案例中分公司防火墙采用的是 ADSL 拨号的方式,故其IP 设置为0.0.0.0。如果建立隧道的两
台
防火墙均为ADSL 环境,则可以通过DDNS 方式,利用域名来建立隧道。
15
2024年4月7日发(作者:尚成业)
案例 1:路由模式下通过专线访问外网
用户需求:
1、 内网的机器可以任意访问外网,也可访问 SSN 中的邮件服务器和FTP 服务器;
2、 外网和 SSN 的机器不能访问内网;
3、 允许外网主机访问 SSN 的HTTP 服务器。
网络状况:
网络划分为三个区域:外网、内网和 SSN。
总公司的网络卫士防火墙工作在路由模式。
1
Eth0 属于内网区域,IP 为192.168.1.20。
Eth1 属于外网区域,IP 为202.69.38.8;
Eth2 属于SSN 区域,IP 为172.16.1.1;
内网中存在3个子网,分别为192.168.1.0/24,192.168.2.0/24,192.168.3.0/24。管理员位于内
网中
在 SSN 中有三台服务器,一台是HTTP 服务器(IP 地址:172.16.1.2),一台是FTP 服务器
(IP 地址:172.16.1.3),一台是邮件服务器(IP 地址:172.16.1.4)。
配置步骤:
1)
为网络卫士防火墙的物理接口配置IP 地址
进入 NETWORK 组件:topsec# network
配置 Eth0 接口IP:k# interface
eth0
ip add
192.168.1.20
mask
255.255.255.0
配置 Eth1 接口IP:k# interface
eth1
ip add
202.69.38.8
mask
255.255.255.0
配置 Eth2 接口IP:k# interface
eth2
ip add
172.16.1.1
mask
255.255.255.0
2)内网中管理员通过浏览器登录网络卫士防火墙,为区域资源绑定属性,设置权限
设置内网:绑定属性为“Eth0”,权限选择为禁止。
2
设置外网:绑定属性为“Eth1”, 权限选择为允许。
设置 SSN:绑定属性为“Eth2”,权限选择为禁止。
3) 定义地址资源
定义 HTTP 服务器: 主机名称设为HTTP_SERVER, IP 为172.16.1.2。
定义 FTP 服务器: 主机名称设为FTP_SERVER, IP 为172.16.1.3。
定义邮件服务器: 主机名称设为MAIL_SERVER, IP 为172.16.1.4。
定义虚拟HTTP 服务器: 主机名称设为V_SERVER,IP 为202.69.38.10。
4)定义访问规则
a.允许内网用户访问HTTP服务器:
源区域选择“内网”;
目的区域选择“SSN”,目的地址选择“HTTP_SERVER”;
服务选择“HTTP”;
访问权限选择“允许”,并启用该规则。
b.允许内网用户访问邮件服务器
源区域选择“内网”;
3
目的区域选择“SSN”,目的地址选择“MAIL_SERVER”;
服务选择“POP3”,“SMTP”;
访问权限选择“允许”,并启用该规则。
c.允许内网用户访问FTP 服务器
源区域选择“内网”;
目的区域选择“SSN”,目的地址选择“FTP_SERVER”;
服务选择“FTP”;
访问权限选择“允许”,并启用该规则。
d.允许外网用户访问HTTP服务器
源区域选择“外网”;
目的区域选择“SSN”,目的地址选择“HTTP_SERVER”;
服务选择“HTTP”;
访问权限选择“允许”,并启用该规则。
5)定义地址转换规则
a.内网用户通过源地址转换访问外网:
4
转换控制选择“源转换”;
源区域选择“内网”;
目的区域选择“外网”;
服务不选,表示全部服务;
源地址转换为“eth1”。
b.外网用户通过目的地址转换访问HTTP 服务器
转换控制选择“目的转换”;
源区域选择“外网”;
目的区域选择“SSN”,目的地址选择“V_SERVER”;
服务选择“HTTP”;
目的地址转换为“HTTP_SERVER”。
6)定义路由
a.为内网用户访问Internet 添加缺省路由:
目的地址设为“0.0.0.0”;
网关地址设为“202.69.38.9”。
5
b.添加回指路由,为发往内网的数据包指定路由
目的地址设为“192.168.0.0”;
网关地址设为“192.168.1.10”
案例 2:混合模式下通过ADSL 拨号访问外网
用户需求:
1、防火墙通过 ADSL 拨号获取eth1 的公网IP 地址。
2、外网的机器不能访问 VLAN-1 与VLAN-2;外网的机器可以访问VLAN-3
3、VLAN-1 内的机器可以任意访问外网(NAT 方式)
4、VLAN-2 和VLAN-3 内的机器禁止访问外网,允许VLAN-2 访问VLAN-3。
6
网络状况:
分公司的网络卫士防火墙工作在混合模式。
Eth1 为路由接口,属于外网区域,通过路由器与外部网络及ISP 相连(该接口由ADSL
拨号获取公网IP);
Eth0 和Eth2 均为交换接口,Eth0 工作在Trunk 方式下,Eth2 工作在Access 方式下;
Eth0 下连接着2 个VLAN,VLAN-1 和VLAN-2;
Eth2 下连接着1 个VLAN,VLAN-3。
VLAN-1 的IP 为192.168.10.1/24;
VLAN-2 的IP 为192.168.25.1/24;
VLAN-3 的IP 为192.168.95.1/24。
管理主机位于 VLAN-1 内。
配置步骤:
1
)
通过CONSOLE 口登录网络卫士防火墙,配置基本信息
a.进入 network 组件: topsec # network
添加 VLAN-1: k# vlan add id
1
7
b.配置 VLAN-1 的管理IP
k# interface
vlan.0001
ip add
192.168.10.1
mask
255.255.255.0
c.配置 eth0 接口为交换接口
k# interface
eth0
switchport mode trunk
d.设置eth0 接口属于VLAN-1
k# interface
eth0
switchport trunk allowed-vlan
0001
2)管理员通过VLAN-1 的管理IP 登录网络卫士防火墙,并绑定eth1 口和ADSL 的
拨号属性、设置区域资源及VLAN
a.设置区域(外网):
绑定属性为“adsl”;权限设为允许访问。
b.添加 VLAN-2:
管理IP 设为“192.168.25.1”,MASK 设为“255.255.255.0”
c.添加 VLAN-3:
管理IP 设为“192.168.95.1”,MASK 设为“255.255.255.0
d.设置 eth0 接口属于VLAN-2:
8
VLAN 范围设为“1-2”
3)
设置接口(eth2)
设置为“交换接口”; 接口类型为“access”; VLAN 范围为“3”
4)设置ADSL 拨号参数
接口设置为“eth1”;用户名和密码根据ISP 服务商提供的参数值进行设置;绑定属性为“adsl”
5)
定义访问规则
a.禁止 VLAN-2 用户访问外网:
源 VLAN 选择“VLAN.0002”;目的区域选择“外网”;服务不选,表示全部服务;
访问权限选择“拒绝”,并启用该规则。
b.禁止 VLAN-3 用户访问外网:
源VLAN 选择“VLAN.0003”; 目的区域选择“外网”;服务不选,表示全部服务;
访问权限选择“拒绝”,并启用该规则。
c.允许 VLAN-2 用户访问VLAN-3:
源VLAN 选择“VLAN.0002”;
目的 VLAN 选择“VLAN.0003”;服务不选,表示全部服务;
9
访问权限选择“允许”,并启用该规则。
d.禁 止 外 网 用户访问VLAN-1:
源区域选择“外网”;
目的 VLAN 选择“VLAN.0001”;服务不选,表示全部服务;
访问权限选择“拒绝”,并启用该规则
e.禁 止 外 网 用户访问VLAN-2:
源区域选择“外网”;
目的 VLAN 选择“VLAN.0002”;服务不选,表示全部服务;
访问权限选择“拒绝”,并启用该规则
6)
定义地址转换规则
VLAN-1 用户通过源地址转换访问外网:
转换控制选择“源转换”;
源 VLAN 选择“VLAN.0001”;目的区域选择“外网”;
服务不选,表示全部服务;
源地址转换为“adsl”
10
7)
拨号
在防火墙上通过选择 网络管理 > ADSL 菜单,并点击“开始拨号”按钮进行ADSL拨号。
建立ADSL 连接成功后,在防火墙的
路由表
中会增加一条内网用户访问Internet 的路由信息:
源为“0.0.0.0/0”;
目的为“0.0.0.0/0”;
网关地址为 ISP 分配的公网IP 地址(如:169.254.125.124);
接口为与 Eth1 口绑定的ppp0 口(拨号成功后,系统自动创建了一个ppp0 口)
案例 3:建立VPN 隧道
用户需求:
11
分公司的 VLAN-1 所在子网192.168.10.0/24 与总公司子网192.168.2.0/24 之间建
立基于预共享密钥认证的VPN 通信。
网络状况:
总公司防火墙工作在路由模式下,接口 Eth1(IP:202.69.38.8)通过路由器与
Internet 相连;分公司防火墙工作在混合模式下,接口Eth1 通过路由器与Internet
相连,且Eth1 口通过ADSL 拨号获取公网IP。
总公司防火墙的 Eth0 口与Eth2 口分别连接公司内网区和SSN 区域,内网区有
三个子网:192.168.2.0/24、192.168.3.0/24、192.168.1.0/24。
分公司防火墙的 Eth0 口与Eth2 口分别连接内网的三个Vlan:VLAN-1、VLAN-2
和VLAN-3,其中VLAN-1 的IP 为192.168.10.1/24。
配置步骤:
1)配置总公司防火墙,具体的配置步骤请参见(案例1)。
2)配置分公司防火墙,具体的配置步骤请参见(案例2)。
====下面只描述与建立 VPN 隧道有关的操作====
3)在总公司防火墙上开放“IPSecVPN”服务
12
开放IPSecVPN 服务:
服务名称为“IPSecVPN”;控制区域为“area_eth1”;控制地址为“any”
4)在分公司防火墙上开放服务
开放 IPSecVPN 服务:
服务名称为“IPSecVPN”;控制区域为“area_eth1”;控制地址为“any”
5)在总公司防火墙上绑定虚接口
绑定虚接口:
虚接口名为“ipsec0”;绑定接口名为“eth1”;接口地址为“202.69.38.8”
6)在分公司防火墙上绑定虚接口
绑定虚接口:
虚接口名为“ipsec0”;绑定接口名为“eth1”;接口地址为“0.0.0.0”。
7)在总公司防火墙上添加静态隧道,隧道参数采用默认设置。
添加静态隧道:
隧道名:zong-fen
IKE 协商模式:主模式
13
认证方式 = 预共享密钥,密钥 = as34Kui()
本地标识:@202_8
对方标识:@0_0
对方地址:0.0.0.0
本地子网:192.168.2.0
本地掩码:255.255.255.0
对方子网:192.168.10.0
对方掩码:255.255.255.0
主动发起协商:是
8) 在分公司防火墙上添加静态隧道,隧道参数采用默认设置
添加静态隧道:
隧道名:fen-zong
IKE 协商模式:主模式
认证方式 = 预共享密钥,密钥 = as34Kui()
本地标识:@0_0
14
对方标识:@202_8
对方地址:202.69.38.8
本地子网:192.168.10.0
本地掩码:255.255.255.0
对方子网:192.168.2.0
对方掩码:255.255.255.0
主动发起协商:是
提示:
* 案例配置中未涉及的参数均采用系统缺省设置。在实际应用中请根据具体网络情况和需求进行修
改。
* 本案例中分公司防火墙采用的是 ADSL 拨号的方式,故其IP 设置为0.0.0.0。如果建立隧道的两
台
防火墙均为ADSL 环境,则可以通过DDNS 方式,利用域名来建立隧道。
15