任务4部署硬件防火墙概要.ppt

学习目标 实践操作 1. 硬件防火墙的安装 考虑到现有校园网的特点，防火墙接入采用“纯透明”的拓扑结构，如图所示。这样的拓扑结构有如下特点： 接入防火墙后无需改变原来拓扑结构； 防火墙无需启用NAT功能； 可以禁止外网到内网的连接，限制内网到外网的连接，即只开放有限的服务，比如浏览网页、收发邮件、下载文件等； 使用DMZ 区对内外网提供服务，比如WWW 服务、邮件服务等； 1. 硬件防火墙的安装 接入防火墙后，在防火墙的管理界面中只需要将防火墙接口LAN、WAN、DMZ 启用混合模式；通过安全策略禁止外网到内网的连接；通过安全策略限制内网到外网的连接；通过安全策略限制外网到DMZ 区的连接； 2．连接管理主机与防火墙 利用随机附带的网线直接连接管理主机网口和防火墙WAN 网口（初始配置，只能将管理主机连接在防火墙的WAN 网口上），把管理主机IP 设置为00，掩码为。连接好后，可以在管理主机运行ping 00 命令，以便验证是否真正连通，如不能连通，请检查管理主机的IP（00）是否设置在与防火墙相连的网络接口上。 3. 在管理机中导入数字证书 在管理主机中，要想对RG-WALL60实施配置，需要数字证书或者客户端软件+USB Key进行身份认证。在此，我们使用数字证书来认证身份。数字证书必须导入才能使用，在RG-WALL60随机附带的光盘上，我们可以找到数字证书文件admin.p12，如图所示。 3. 在管理机中导入数字证书 首先，双击数字证书，即可证书导入向导。证书的导入，必须为私钥输入密码，RG-WALL60证书的初始密码是123456，如图所示。 3. 在管理机中导入数字证书 其次，根据证书导入向导提示，一步一步操作，直到出现如图所示的导入成功。 4．登录防火墙WEB 界面 要想实施对防火墙的管理，必须登录到防火墙。登录防火墙有2种方式，一种是WEB界面，另一种是超级终端。在此，我们使用WEB界面方式来登录并管理防火墙。 运行IE 浏览器，在地址栏输入00:6666 （其它型号防火墙的登录方式参考配套资料），等待约20 秒钟会弹出一个对话框提示接受证书，选择确认即可。系统提示输入管理员帐号和口令，如图3.20所示。初始情况下，管理员帐号是admin，密码是：firewall。 4．登录防火墙WEB 界面 4．登录防火墙WEB 界面 登录成功后，进入防火墙配置管理界面，如图所示 4．登录防火墙WEB 界面 　　在成功登陆防火墙管理界面后，为了将防火墙成功应用于校园网，解决校园网的安全问题，我们需要为防火墙： 设置管理员帐号； 定义内网、WWW服务器、邮件服务器、数据库服务器等地址资源； 定义WWW服务、邮件服务、文件服务等服务资源； 设置防火墙接口为混合模式； 添加包过滤规则：允许任意地址访问WWW服务器的WWW服务、邮件服务器的邮件服务； 添加包过滤规则：允许内网访问任意地址的WWW服务、邮件服务、文件服务 5．管理系统账号 通常，在第一次登录成功后，管理员需要修改初始管理员帐号、管理主机、防火墙可管理IP、管理方式或导入管理员证书。还可以新建其它管理员账号和管理主机。 首先，我们修改Admin账号的账户名和密码。在如图所示的管理员账号界面中，单击admin账号的编辑按钮，对admin账号的信息进行修改 5．管理系统账号 其次，我们添加新的管理员账号。在上页图的界面中，单击　　　按钮，可以添加防火墙管理账号，如图所示，添加一个LiLiGong账号，权限为配置管理员+策略管理员+日志审核员。 6．防火墙接口LAN、WAN、DMZ 启用混合模式 在“网络配置”|“网络接口”中，配置防火墙接口。对应dmz、wan、lan，分别点击　　编辑按钮，设置工作模式为“混合模式”。 7．定义地址资源 在“对象定义”|“地址”|“地址列表”中，单击　　　按钮来定义内网、服务地址资源。定义内网interIP为/，如图所示。 8．定义服务资源 在“对象定义”|“服务”中，可以对当前“服务”对象进行管理，RG-WALL60在出厂时已经建立好了常用的“服务”对象，比如我们要用到的“http”、“ftp”、“pop3”等。在此也可以对现有的对象进行编辑　　或者使用按钮　　　来定义新的“服务”对象。 我们要用到的www、ftp、邮件服务对象在如图3.27所示的列表中都能够找到，通过　　编辑功能，我们查看这些对象的属性，已有配置完全能够满足我们的需要，不需要再添加新的“服务”对象。 8．定义服务资源 9．添加包过滤规则 策略管理是防火墙管理的核心，只有根据实际需要配置合理的防火墙策略，防火墙才能发挥真正的作用。 防火墙按顺序匹配规则列表：按顺序进行规则匹配，按第一条匹配的规则执行，不再匹配该条规则以下的规则。 校园网的防火墙