防火墙+路由模式部署

一、防火墙 

防火墙最主要功能是提供访问控制能力

• 防火墙默认管理口为ge0/0（部分型号有专门的MGT口），管理地址为https://192.168.1.250，默认管理口只开启了https和ping。
• 登录防火墙串口，波特率为9600，默认登录用户名密码为admin/fw.admin
• 系统默认的管理员用户为admin，密码为fw.admin。

---

配置安全策略

防火墙在新增或修改策略前，管理员需在明确以下信息后在做调整

• 默认策略全拒绝
• 可以根据源/目标接口、安全区域、源/目标IP、源/目标端口、用户、应用、时间等放通或者拒绝；
• 策略可以记录日志，日志过滤的级别“信息”

---

路由模式部署

 简易配置

• 登录防火墙，更改管理口地址，默认密码；
• 配置接口互联地址。
• 配置路由，使地址路由可达。
• 配置出口负载
• 配置源NAT使内网服务器可以访问公网。
• 放行对应的防火墙策略。

---

NAT

内网私有地址上公网，需要配置源NAT；

内网服务器对外发布，需要配置目标NAT；目标NAT端口优先于本地FW端口；

安全策略与NAT的关系

源NAT，数据在出接口时会将源IP地址进行转换，安全策略放通转换前的地址；

目的NAT，数据在入接口时会将目的IP地址进行转换，安全策略放通转换后的地址；

一般来说，策略放通的都是私网地址 

---

 路由

• 路由模式防火墙通信必须要有路由，目标IP匹配路由表，可以匹配数据转发，无法匹配数据丢弃
• 掩码最长匹配原则，细化路由优先匹配
• 相同掩码看距离，距离小优先
• 多条网络号/掩码/距离/度量值相等时，看权重比例轮询转发（逐流的负载方式），越大分配越多
• 默认本地接口不可用，路由失效，可以使用健康检查来检测路由是否失效

---

启明t系列防火墙可以虚拟成多台防火墙

防火墙旁路路由模式可以进行访问控制

防火墙策略匹配规则是从上而下匹配

透明模式下防火墙不用带外管理口也可以进行web管控

业务口同样也可以当做心跳口

HAL：监测设备是否故障

---

二、题目

         企业需要通过fw设备进行互联网访问，内网地址网段为192.168.1.0/24服务器网段为192.168.2.0/24；企业有两条出口链路分别属于电信、网通，电信的公网地址为13.1.1.1，网关为13.1.1.2，网通的公网地址为14.1.1.1，网关为14.1.1.2

部署路由模式

1、登录防火墙，更改管理口地址，默认密码；

2、配置接口互联地址。（配置ip）

Ge0/1:192.168.1.2/24（不能配置为192.168.1.1是因为该地址为网关，所以使用互联地址192.168.1.2）

Ge0/2:192.168.2.2/24

Ge0/3:13.1.1.1/24（出网地址为运营商提供的ip地址）

Ge0/4:14.1.1.1/24

      3、配置路由，使地址路由可达。

        0.0.0.0/0 -13.1.1.1（13.1.1.1为下一跳的ip地址）

  0.0.0.0/0 -14.1.1.1

4、配置源NAT使内网服务器可以访问公网。

源转换:源地址192.168.1.0转换成13.1.1.1（安全策略放通转换前的地址）

          192.168.2.0转换成14.1.1.1

目的转换:目的地址 13.1.1.1转换成192.168.1.0 （安全策略放通转换后的地址）

                                     14.1.1.1转换成192.168.2.0

5、放行对应的防火墙策略。

封禁445端口

封禁135-139端口

防火墙采用默认拒绝的策略，只允许经过明确授权的网络流量通过