題記:
大多數的防火牆或者說是utm部署的模式有路由模式,網橋模式,混雜模式,配置最核心的也就是寫規則,一個好的規則會使得内部網絡的安全性得到較大的改善,當然如果是utm可能還會附加上一些其他的安全元件,例如見的最多的就是av防病毒元件,ips元件,anti-spam反垃圾郵件元件等,有的還有一些上網行為管理(比較薄弱),×××等元件,本次主要是以啟明星辰的usg系列裝置的常見部署模式進行配置說明,其他的廠商的防火牆配置内容都是大同小異,掌握一家的其他的自然也就很容易上手,學習就要善于總結歸納,将有共同點的知識技能歸納,做到一勞多得!
本篇文章主要介紹的部署模式是網關到網關模式××× 典型配置
實驗拓撲:
環境描述:
1、防火牆a、b 工作在路由模式。
2、防火牆内部主機,外部網絡形成嚴格的2 個區域(内網,外網);
3、防火牆内網口對應防火牆eth1,外網口對應防火牆eth2;
4、在各個區域之間實施嚴格的通路控制,保障系統安全;
5、防火牆a 内網口ip 位址為192.168.0.1/24,外網口ip 位址為218.249.22.117/25,eth2 接口通過與課桌上的網口(如a1-1)連接配接到交換機與外網相連,預設網關ip 位址為
218.249.22.113/25 。防火牆b 内網口ip 位址為10.30.30.1/24 , 外網口ip 位址為172.31.22.117/25,eth2 接口通過與課桌上的網口(如a1-1)連接配接到交換機與外網相連,缺
省網關ip 位址為172.31.118.1/25。
6、防火牆a 内部劃分vlan,預設網關指向192.168.0.1。
vlan1:192.168.1.0/24,内網主機設為192.168.1.10/24,直接與防火牆a 的eth1 接口連接配接
vlan2:192.168.2.0/24
vlan3:192.168.3.0/24
7、防火牆b 的内網是10.30.30.0/24,内網主機設為10.30.30.2/24, 直接與防火牆b 的eth1接口連接配接
8、防火牆a 的vlan 和防火牆b 的内網在通過××× 進行互訪
具體配置過程:
防火牆a的配置
1.進入“網絡配置》接口”配置eth1 和eth2 的ip。打開eth1,點選“建立”,建立3個vlan 接口“vlan1,vlan2,vlan3”。送出完成後儲存配置
2.進入“網絡設定》基本配置》預設網關”點選建立,添加網關ip。送出并儲存。
3.進入“對象管理》位址對象》位址節點”點選“建立”,建立4 個子網:vlan1,vlan2,vlan3,遠端子網。送出并儲存。
4.進入“×××》ipsec》自動模式(ike)”點選“建立階段一”。在建立階段一中填入參數,網關名稱填:“防火牆b”,ip 位址填遠端網關(防火牆b)的網關位址:172.31.118.1,模
式選擇“主模式”,認證方式選擇預共享密鑰,預共享密鑰填“123456”。點選送出。
5.點選“階段二”右側第一個小圖示“建立階段二”,出現建立階段二的界面,在通道名稱中填入“隧道一”,點選送出并儲存。
6.進入“防火牆》安全政策”點選“建立”,建立安全政策。允許vlan1、vlan2、vlan3通過使用ipsec 加密的××× 隧道“隧道1”通路“遠端子網”。參數配置如下:源接口選擇eth1,源位址選擇vlan1(vlan2、vlan3),目的接口選擇eth2,目的位址選擇遠端子網,服務選擇any,時間表選擇always,動作選擇ipsec,××× 通道選擇隧道1,将“允許流入”、“允許流出”設定為可用。參數配置完畢後點選送出。啟用安全政策并儲存.
7.參考上面的步驟,在防火牆b 上進行類似的配置,確定預共享密鑰、加密算法等參數一緻。
8.在防火牆a 或b 的内網口分别嘗試通路對方的内網,若通路成功則表示××× 配置成功。