一、参考背景描述
假设有如下一个网络,内网通过防火墙和外网隔离,要求通过配置防火墙,实现内网和外网的互连。
网络拓扑如图9-12所示。
图9-12 防火墙配置网络拓扑图
二、实验步骤
1.(1)锐捷RG-WALL 1600-SC防火墙管理接口的默认配置
锐捷RG-WALL 1600-SC防火墙默认管理接口为GE0端口,其IP地址为192.168.1.200/24。系统默认的管理员用户为admin,密码为firewall。
(2)锐捷RG-WALL 1600-SC防火墙Web界面配置方法简介
<1> 防火墙登录。配置本机IP地址为192.168.1.2/24, 通过网线将本机和防火墙GE0接口连接。打开本机浏览器,在地址栏输入:https://192.168.1.200,忽略浏览器的证书安全提示,则出现如图9-13所示登录界面,输入管理员用户名和密码,则进入防火墙主界面,如图9-14所示。
图9-13 RG-WALL1600防火墙登录界面
图9-14 RG-WALL1600防火墙配置主界面
<2> 防火墙接口配置。选择网络管理>接口>接口,点击要配置的接口下的编辑按钮,则出现接口配置界面,如图9-15所示。
图9-15 RG-WALL1600防火墙接口配置
① 接口名称:物理接口名称,可通过重命名修改。 描述:接口描述。
② 地址模式:IP 地址获取模式:静态配置、DHCP、PPPoE 三种模式。
- 静态配置:配置静态IP 地址和掩码,对于连接局域网的接口,或已申请到固定IP地址、与外网互连的接口,一般采用此方式。
- DHCP:通过 DHCP服务器 获取IP地址和网络参数,对于上连局域网(如校园网),或无固定IP地址、与外网互连的接口,一般采用此方式。
- PPPoE:通过PPPoE 拨号方式获取IP地址和网络参数,对于采用拨号方式与外网互连的接口,采用此方式。
<3> 配置防火墙的默认网关。选择网络管理>基本配置>缺省网关>新建,如图9-16所示。
图9-16 RG-WALL1600防火墙默认网关配置
① 网关地址:输入默认网关的 IP,格式为 A.B.C.D。
② 权重:路由权重,范围 1-100。
③ 管理距离:路由优先级,范围1-255。
<4> 配置防火墙的DNS。选择网络管理>基本配置>DNS配置,如图9-17所示
图9-17 RG-WALL1600防火墙DNS配置
<5> 配置防火墙的静态路由。选择路由>静态路由>新建,则弹出如图9-18所示配置界面。
图9-18 防火墙的静态路由配置
① IP地址/掩码:目的IP地址及掩码,例如:设计GE0为外网接口,则输入0.0.0.0/0。
② 下一跳:路由网关地址,例如:211.69.232.254。
③ 出接口:数据转发的出接口,例如:GE0。
④ 权重:路由权重,范围1-100。
⑤ 距离:路由优先级,范围1-255。
⑥ 监控地址:被监控的在“资源管理>地址节点”建立的地址节点。
配置防火墙外网默认路由后,再配置内网接口(如GE1)路由,输入目的IP地址用掩码为172.16.11.0/24和网关为172.16.100.254,使得防火墙可以连通内网。
<5> 配置防火墙的动态路由。以配置RIP路由为例,需要配置RIP的版本、高级选项、直连网络地址、以及接口等配置信息,例如:配置直连的网络,选择路由>动态态路由> >RIP>RIP配置>各个网络,点击新增,分别输入211.69.232.0/24、172.16.100.0/24,如图9-19所示。
图9-19 防火墙的RIP路由直连网络配置
<6> 配置防火墙的NAT转换。系统中把NAT的配置分为:源地址转换(Source)、目的地址转换(Destination)及静态地址转换(Static)三种类型。
① 源地址转换:是在离开接口时进行转换的,是一种单向的针对源地址的映射,主要用于内网访问外网,减少公有地址的数目,隐藏内部地址。
② 目的地址转换:是在进入接口时进行转换的,主要用于外网访问内网服务器。
③ 静态地址转换:是一对一的双向地址映射,在这种情况下,被映射的内部主机可以主动访问外部,外部也可以主动访问这台内部主机,相当于在内、外网之间建立了一条双向通道。
例如:配置静态地址转换,选择网络管理>NAT>NAT规则>静态地址转换,点击新建,输入外网地址:211.69.232.1,内网地址:172.16.11.2,如图9-20所示。
图9-20 防火墙静态NAT转换配置
三、实验思考题
1. 软防火墙与硬件防火墙各有何优点与缺点?
2. 如何应用防火墙来抵御外来攻击?