清华同方紫荆顿防火墙桥模式的配置
清华同方紫荆顿防火墙桥模式的配置
如果有一个已经建成的网络系统,我们不希望对系统和网络结构进行任何修改,而又需要防火墙对内部服务器进行保护,可以将NETST防火墙配置为桥模式,可以不改变原来的网络架构,完全透明地实现防火墙功能。
连接及登录
箱内提供一条DB9到DB9连接线与防火墙console口相连并开启防火墙,使用Windows2000自带的仿真终端连接NetST®防火墙(其他Windows平台操作类似)。
设置连接串口
终端控制台登录界面
桥模式配置
将防火墙的外网口接到外部交换机,内网口接到内部交换机或服务器上,
配置桥模式命令如下:admin@Netst>modify if internal e0 命名网口属性E0口为内网口
admin@Netst>modify if external e1 命名网口属性E1口为外网口
admin@Netst>modify if dmz e2 命名网口属性E2口为DMZ网口
admin@Netst>modify if admin e3 命名网口属性E2口为Admin管理网口
admin@Netst>stop fw 停止防火墙运行
admin@Netst>set mode bridge 设置为桥模式
admin@Netst>add bridge brif0 E0 E1 把E0 E1 口进行桥接并创建brif0 接口
admin@Netst>set bridge brif0 192.168.0.11/24 设置桥接的管理IP地址,到这里设置桥接就算完成了。
我们可以通过admin@Netst>show bridge 命令查看到桥接口的状态如下:
admin@FW# show br
Bridge Status STP IP_addr Comp_if_name_list
BRIF0 ENABLE ON 192.168.0.11/24 E0-E1
BRIF1 DISABLE ON 0.0.0.0/0 NONE
BRIF2 DISABLE ON 0.0.0.0/0 NONE
BRIF3 DISABLE ON 0.0.0.0/0 NONE
BRIF4 DISABLE ON 0.0.0.0/0 NONE
BRIF5 DISABLE ON 0.0.0.0/0 NONE
BRIF6 DISABLE ON 0.0.0.0/0 NONE
BRIF7 DISABLE ON 0.0.0.0/0 NONE
BRIF8 DISABLE ON 0.0.0.0/0 NONE
BRIF9 DISABLE ON 0.0.0.0/0 NONE
BRIF10 DISABLE ON 0.0.0.0/0 NONE
BRIF11 DISABLE ON 0.0.0.0/0 NONE
BRIF12 DISABLE ON 0.0.0.0/0 NONE
BRIF13 DISABLE ON 0.0.0.0/0 NONE
BRIF14 DISABLE ON 0.0.0.0/0 NONE
BRIF15 DISABLE ON 0.0.0.0/0 NONE
配置防火墙规则
配置防火墙规则我们也可以使用自带的NetST管理控制台软件来实现,在连接控制台之前要在命令终端对防火墙进行配置一下具体如下:
admin@FW# set nms 设置管理控制台
Enter Local IP address(xxx.xxx.xxx.xxx): 192.168.0.25 设置本地网络管理工作站的IP地址,
Enter alert Port: 9999 设置报警端口号
Enter Java login fail number(1-255): 3 设置Java管理控制台最大失败登录次数
Enter Remote 1 IP address(xxx.xxx.xxx.xxx):设置第一远程管理电脑的IP地址
Enter Remote 2 IP address(xxx.xxx.xxx.xxx):设置第二远程管理电脑的IP地址
Enter Remote 3 IP address(xxx.xxx.xxx.xxx):设置第三远程管理电脑的IP地址
Use default SSL cert(yes-y,no-n): n 设置SSL连接是否使用缺省证书
Enter GUI_auth_type(text,otp,cr): text 设置Java认证类型
Set NMS success!
使用show nms 命令查看此命令用于显示网络管理工作站参数,显示本地网络管理工作站的IP地址(数字点分格式)、本地报警端口号、Java管理控制台登录的失败次数限制值、3台远程工作站的IP地址、是否在建立SSL连接时使用缺省的防火墙自带证书和JAVA管理控制台登录防火墙时的认证方式。
admin@FW# show nms
Local NMS IP : 192.168.0.25
Local alert Port : 9999
Java login fail number: 3
Remote 1 NMS IP : 0.0.0.0
Remote 2 NMS IP : 0.0.0.0
Remote 3 NMS IP : 0.0.0.0
Use default SSL Cert : NO
Authentication type : TEXT
admin@FW#
然后在管理工作站上安装管理控制台软件,完成以上配置我们就可以使用管理控制台连接防火墙了。
首次使用需添加防火墙并配置选项如图:右键设备列表选着“添加防火墙”选项,并填写IP地址及相关安全认证设置如图:
完成上述设置后点击新建的防火墙后会弹出登录框,输入用户名和密码后就可进入防火墙进行配置了。
用户可根据自身网络环境的特点及需求来 定义网络访问规则及其它安全选项,这里就不在阐述了。
所有配置完成后启动防火墙引擎就可接入到网络中使用了,启动防火墙操作建议在命令终端下执行,命令为:“start firewall”我们可以使用“show status” 命令对启动状态进行查看。
admin@FW# show status
防火墙引擎 = ON
日志服务器 = OFF
UFP服务器 = OFF
Java代理服务器= ON
内容过滤服务器= ON
用户登录服务器= ON
日志文件大小 = 6608 字节
CPU使用率 = 0.9%
内存使用率 = 32.5%
串口速率 = 38400 bps
远程JAVA管理 = 0
本地JAVA管理 = 1
注:如不想定义详细安全访问规则,可将安全选项清空,就可实现互相通信了,前提在防火墙停止运行状态下执行,先用命令stop firewall 停止,然后再执行delall toggle 命令删除所有安全选项。为此本人也走了不少弯路,这里提出来望对需要的人有所帮助。首次开博有不足之处还望大家多多包涵 !