题记:
大多数的防火墙或者说是utm部署的模式有路由模式,网桥模式,混杂模式,配置最核心的也就是写规则,一个好的规则会使得内部网络的安全性得到较大的改善,当然如果是utm可能还会附加上一些其他的安全组件,例如见的最多的就是av防病毒组件,ips组件,anti-spam反垃圾邮件组件等,有的还有一些上网行为管理(比较薄弱),×××等组件,本次主要是以启明星辰的usg系列设备的常见部署模式进行配置说明,其他的厂商的防火墙配置内容都是大同小异,掌握一家的其他的自然也就很容易上手,学习就要善于总结归纳,将有共同点的知识技能归纳,做到一劳多得!
本篇文章主要介绍的部署模式是网关到网关模式××× 典型配置
实验拓扑:
环境描述:
1、防火墙a、b 工作在路由模式。
2、防火墙内部主机,外部网络形成严格的2 个区域(内网,外网);
3、防火墙内网口对应防火墙eth1,外网口对应防火墙eth2;
4、在各个区域之间实施严格的访问控制,保障系统安全;
5、防火墙a 内网口ip 地址为192.168.0.1/24,外网口ip 地址为218.249.22.117/25,eth2 接口通过与课桌上的网口(如a1-1)连接到交换机与外网相连,缺省网关ip 地址为
218.249.22.113/25 。防火墙b 内网口ip 地址为10.30.30.1/24 , 外网口ip 地址为172.31.22.117/25,eth2 接口通过与课桌上的网口(如a1-1)连接到交换机与外网相连,缺
省网关ip 地址为172.31.118.1/25。
6、防火墙a 内部划分vlan,默认网关指向192.168.0.1。
vlan1:192.168.1.0/24,内网主机设为192.168.1.10/24,直接与防火墙a 的eth1 接口连接
vlan2:192.168.2.0/24
vlan3:192.168.3.0/24
7、防火墙b 的内网是10.30.30.0/24,内网主机设为10.30.30.2/24, 直接与防火墙b 的eth1接口连接
8、防火墙a 的vlan 和防火墙b 的内网在通过××× 进行互访
具体配置过程:
防火墙a的配置
1.进入“网络配置》接口”配置eth1 和eth2 的ip。打开eth1,点击“新建”,新建3个vlan 接口“vlan1,vlan2,vlan3”。提交完成后保存配置
2.进入“网络设置》基本配置》缺省网关”点击新建,添加网关ip。提交并保存。
3.进入“对象管理》地址对象》地址节点”点击“新建”,新建4 个子网:vlan1,vlan2,vlan3,远程子网。提交并保存。
4.进入“×××》ipsec》自动模式(ike)”点击“新建阶段一”。在新建阶段一中填入参数,网关名称填:“防火墙b”,ip 地址填远程网关(防火墙b)的网关地址:172.31.118.1,模
式选择“主模式”,认证方式选择预共享密钥,预共享密钥填“123456”。点击提交。
5.点击“阶段二”右侧第一个小图标“新建阶段二”,出现新建阶段二的界面,在通道名称中填入“隧道一”,点击提交并保存。
6.进入“防火墙》安全策略”点击“新建”,新建安全策略。允许vlan1、vlan2、vlan3通过使用ipsec 加密的××× 隧道“隧道1”访问“远程子网”。参数配置如下:源接口选择eth1,源地址选择vlan1(vlan2、vlan3),目的接口选择eth2,目的地址选择远程子网,服务选择any,时间表选择always,动作选择ipsec,××× 通道选择隧道1,将“允许流入”、“允许流出”设置为可用。参数配置完毕后点击提交。启用安全策略并保存.
7.参考上面的步骤,在防火墙b 上进行类似的配置,确保预共享密钥、加密算法等参数一致。
8.在防火墙a 或b 的内网口分别尝试访问对方的内网,若访问成功则表示××× 配置成功。