12、外網pc1ip為:10.0.0.100
13、區域網路pc1ip為:192.168.1.2
14、區域網路pc2ip為:192.168.1.6
15、區域網路pc3ip為:192.168.1.163
3.2 防火牆的構架與實現
3.2.1 連線與登錄配置
一、設備的選型
針對有限公司的網路分析,經過研究實驗,決定採用藍盾公司型號為bdfw-m3000的防火牆。
二、利用瀏覽器登入防火牆管理界面
1、根據拓撲圖將pc機與防火牆的admin網口連線起來,當需要連線內部子網或外線連線時也只需要將線路連線在對應網口上
2、客戶端設定,設定本地連線ip地址為:192.168.0.1 3、使用ping命令測試防火牆和管理pc間的連線情況。
打開ie瀏覽器,輸入管理地址http://192.168.0.1:81,進入歡迎界面,在防火牆的歡迎界面輸入用戶名和密碼,點擊“登錄”進入防火牆管理系統。
三、配置基本內容
1、網段、ip地址、連線埠配置
2、創建、編輯規則防火牆中需要對規則進行操作,以對 snat 策略進行了編輯:添加策略:在“增加設定”中,設定相應參數,單擊保存則在“設定列表”添加一個規則,保存之後的界面如圖所示:
然後點擊“編輯”對snat 策略進行編輯,編輯完之後保存。
3.2.2 透明模式(網橋模式)的安裝與部署
在透明模式(橋接模式)下,防火牆相當於一個網橋,通過將兩個網口橋接起來,也即將交換機和路由器直接連線起來,從而無需改動原有網路結構,將防火牆透明的加入網路。對於連線區域網路的lan2口,其ip地址要設成和區域網路在同一個網段。
一、將防火牆接入當前網路
1、將防火牆按照拓撲所示接入當前網路,由路由器引入的外線接wan口,由交換機引出的內部網線接lan口
2、檢驗加入後網路狀況
二、配置橋接
1、進入橋接設定界面,“網路設定”“網口配置”“網口”,由於橋接要求網口不能是區域網路口,並且在該網口上沒有配置外線連線,將lan3口(lan)、lan4口(wan)上的ip全部去掉
2、啟用橋接進入橋接設定界面,“網路設定”“網口配置”“橋接設定”,下面左邊的框中就出現了可供選擇的接口
定義一條橋接規則:選擇lan、wan,雙擊“>>>”移到右邊的框中,然後添加,添加成功,在“現有規則”中會出現一條定義好的規則,然後重啟。
3.2.3 內外網互訪策略編輯與管理
默認情況下,連線在防火牆不同網口的網路是不能互相訪問的,為了是各個網路間實現互通,需要建立各個網路間的通信通道:
1、外網訪問區域網路是通過連線埠映射機制實現。
2、區域網路訪問外網是通過設定訪問規則控制。
3、它們都是通過建立通信規則,並將規則套用到不同網口、網段或ip上實現。
一、檢查各點網路狀況
1、外部主機pc1(10.0.0.100/24),可以ping通防火牆的wan口地址,但是沒有辦法到達dmz區的web伺服器,因為對於10.0.0.100來說,web伺服器的地址是一個其他網路的區域網路地址:
外部主機與web伺服器連通性測試
由於當前網路被防火牆隔離了,使得內外網無法互訪,這時,我們可以通過連線埠映射的方式,使得外網可以訪問內部網路,同時通過策略設定使區域網路可以訪問外網。
二、實現區域網路訪問外網(snat)——為區域網路pc提供對外網的訪問策略
1、配置snat映射可以讓所有內部ip做地址轉換訪問外部
2、配置區域網路lan口下的pc1(192.168.1.2/24)可以訪問外網pc1 10.0.0.100) 3、進入“防火牆”“nat策略”“snat策略”界面,點擊“添加”,做訪問規則,然後設定規則參數,填寫目標ip、目標連線埠,選擇“啟用”,單擊“保存”。
4、“防火牆”“lan->wan策略”“訪問策略”,填寫訪問策略的實施對象區域網路pc1“192.168.1.2”,選擇規則“全部允許”,點擊“添加”。
三、實現外網訪問區域網路(dnat)——為外網pc提供對區域網路的訪問策略
1、進入“防火牆”“nat策略”“dnat策略”界面,點擊“添加”,做訪問規則,然後設定規則參數,填寫目標ip、目標連線埠,選擇“啟用”,單擊“保存”。
把外網地址10.0.0.1的1080連線埠映射到172.16.0.2的80連線埠,當訪問10.0.0.1的1080連線埠時,防火牆就會把這個地址自動映射為172.16.0.2的80連線埠,外網訪問區域網路的通道被打開。
3.2.4 l2tp配置
總公司出差的員工需要訪問公司區域網路檔案伺服器上的資料夾,檔案伺服器的ip地址為172.16.0.3,出差的員工使用l2tp vpn連線到公司內部檔案伺服器。