一、防火墙
防火墙最主要功能是提供访问控制能力
- 防火墙默认管理口为ge0/0(部分型号有专门的MGT口),管理地址为https://192.168.1.250,默认管理口只开启了https和ping。
- 登录防火墙串口,波特率为9600,默认登录用户名密码为admin/fw.admin
- 系统默认的管理员用户为admin,密码为fw.admin。
配置安全策略
防火墙在新增或修改策略前,管理员需在明确以下信息后在做调整
- 默认策略全拒绝
- 可以根据源/目标接口、安全区域、源/目标IP、源/目标端口、用户、应用、时间等放通或者拒绝;
- 策略可以记录日志,日志过滤的级别“信息”
路由模式部署
简易配置
- 登录防火墙,更改管理口地址,默认密码;
- 配置接口互联地址。
- 配置路由,使地址路由可达。
- 配置出口负载
- 配置源NAT使内网服务器可以访问公网。
- 放行对应的防火墙策略。
NAT
内网私有地址上公网,需要配置源NAT;
内网服务器对外发布,需要配置目标NAT;目标NAT端口优先于本地FW端口;
安全策略与NAT的关系
源NAT,数据在出接口时会将源IP地址进行转换,安全策略放通转换前的地址;
目的NAT,数据在入接口时会将目的IP地址进行转换,安全策略放通转换后的地址;
一般来说,策略放通的都是私网地址
路由
- 路由模式防火墙通信必须要有路由,目标IP匹配路由表,可以匹配数据转发,无法匹配数据丢弃
- 掩码最长匹配原则,细化路由优先匹配
- 相同掩码看距离,距离小优先
- 多条网络号/掩码/距离/度量值相等时,看权重比例轮询转发(逐流的负载方式),越大分配越多
- 默认本地接口不可用,路由失效,可以使用健康检查来检测路由是否失效
启明t系列防火墙可以虚拟成多台防火墙
防火墙旁路路由模式可以进行访问控制
防火墙策略匹配规则是从上而下匹配
透明模式下防火墙不用带外管理口也可以进行web管控
业务口同样也可以当做心跳口
HAL:监测设备是否故障
二、题目
企业需要通过fw设备进行互联网访问,内网地址网段为192.168.1.0/24服务器网段为192.168.2.0/24;企业有两条出口链路分别属于电信、网通,电信的公网地址为13.1.1.1,网关为13.1.1.2,网通的公网地址为14.1.1.1,网关为14.1.1.2
部署路由模式
1、登录防火墙,更改管理口地址,默认密码;
2、配置接口互联地址。(配置ip)
Ge0/1:192.168.1.2/24(不能配置为192.168.1.1是因为该地址为网关,所以使用互联地址192.168.1.2)
Ge0/2:192.168.2.2/24
Ge0/3:13.1.1.1/24(出网地址为运营商提供的ip地址)
Ge0/4:14.1.1.1/24
3、配置路由,使地址路由可达。
0.0.0.0/0 -13.1.1.1(13.1.1.1为下一跳的ip地址)
0.0.0.0/0 -14.1.1.1
4、配置源NAT使内网服务器可以访问公网。
源转换:源地址192.168.1.0转换成13.1.1.1(安全策略放通转换前的地址)
192.168.2.0转换成14.1.1.1
目的转换:目的地址 13.1.1.1转换成192.168.1.0 (安全策略放通转换后的地址)
14.1.1.1转换成192.168.2.0
5、放行对应的防火墙策略。
封禁445端口
封禁135-139端口
防火墙采用默认拒绝的策略,只允许经过明确授权的网络流量通过
