1 实验拓扑图及实验要求

1.1 网络拓扑图

  1. 真实机:为了远程陪住防火墙。
  2. winxp:作为公司内网主机,可以访问隔离区和外网区服务器。
  3. win2003:部署网页服务器,分别分布于外网区与隔离区。
  4. 防火墙:以路由模式工作。

1.2 实验一:网络搭建及防火墙策略验证

  1. 目的:验证区域隔离及策略编写。
  2. 是否需要配置PAT?不需要,防火墙承担着路由器的功能,三个网段均存在防火墙路由表上,可以直接路由。
  3. 真实机是否需要配置网关?不需要,本次实验中真实机的功能是用来配置防火墙,只要保证真实机与防火墙之间能够通信即可,需要满足将真实机数据帧路由到其他网段的情况。

1.3 实验二:源转换SNAT

  1. 在实验一基础上,将win2003-outside网关去掉。
  2. 此时,win2003-outside仅能进行同网段通信,以此来模拟私有地址无法在互联网传播的情形,因此需要在防火墙接口处进行PAT地址转换。

1.4 实验三:目标转换DNAT

  1. 在实验一和二的前提下,将隔离区的服务器端口映射到公有IP上(100.1.1.2)。
  2. 实现从外网区访问隔离区服务器。

1.5 实验四:应用层过滤

  1. 将外网的2003部署为公网的WEB服务器和DNS服务器。
  2. 验证测试内网和隔离区的主机均可以通过域名访问外网网站。

1.6 实验五:搭配高可用性HA防火墙

  1. 按以下拓补图配置构建网络。
  2. 两个防火墙的接口配置除了心跳线的IP地址不一致外,其余均一致。
  3. 心跳线:完成两个防火墙之间的沟通:判断是否死机、同步数据、完成热备份VRRP。一般采用光纤。
  4. VRRP:一个活跃/一个备份模式、两个均活跃模式。

2 实验过程

2.1 构建网络拓扑结构

  1. 在虚拟机中构建多个VMnet网络,关闭DHCP,修改各子网网段地址。
  2. 在虚拟机开启一台winxp,两台win2003,分别按拓扑图命名以方便实验时区分。
  3. 按网络拓扑图将上述设备桥接至各自网络中,并配置IP及网关。
  4. 防火墙设备上有5块网卡,分别对应接口eth1~5,本次实验需要用到前三块,分别桥接到VMnet1至VMnet3上。暂时无需配置接口IP。
  5. 用真实机ping防火墙IP,能ping通。
  6. 用真实机浏览器输入https://192.168.1.254:8080/,通过8080端口打开防火墙配置页面,登录。

2.2 配置防火墙区域和IP

  1. 隔离区域。在资源管理→区域中,修改原有的区域信息为容易识别的名称,将权限修改为禁止,设置接口。
  2. 同理添加outside和DMN区域。
  3. 配置接口IP地址。对每个接口逐个进行配置,包括修改描述和设置IP地址。
  4. 查看路由表。
  5. 至此网络拓扑及路由均搭配完毕,尝试利用winXP ping 2台win2003,均不通,因为策略全部禁止。

2.3 配置防火墙策略

  1. 在防火墙→访问控制→添加策略→按下图填写一条策略→完成。其中内容安全策略是表示对5层数据进行内容分析。
  2. 同理添加从DMZ区域到outside区域的策略,至此,完成了所有从高到低的策略。
  3. 尝试三台虚拟主机相互ping。实验一验证完成。
  1. winXP 能ping通 win2003-DMZ,反则不通。
  2. winXP 能ping通 win2003-outside,反则不通。
  3. win2003-DMZ 能ping通 win2003-outside,反则不通。

2.4 源转换SNAT

  1. 将win2003-outside的IP配置中的网关删去。
  2. 在防火墙→地址转换→添加→按下图设置转换规则。这一步就是路由器上的NAT、PAT等完成公私有IP地址转换的过程。
  3. 尝试三台虚拟主机相互ping。实验二验证完成。
  1. winXP 能ping通 win2003-DMZ,反则不通。
  2. winXP 能ping通 win2003-outside,反则不通。
  3. win2003-DMZ 能ping通 win2003-outside,反则不通。

2.5 目标地址转换DNAT

  1. 在win2003-DMZ上部署网页服务器,并发布静态网页,将默认站点下的默认首页标题栏原内容“建设中”修改为“欢迎来到隔离区”。
  2. 本机访问http://172.16.1.1,查看网页是否修改成功。
  3. 测试内网区访问该网站,访问成功。
  4. 防火墙→资源管理→地址→添加→如下添加。
  5. 同理,添加一个地址,表示网页服务器的私有IP地址。
  6. 目标地址转换。防火墙→地址转换→添加→模式改为目的转换,进行如下设置。
  7. 以上步骤能为外网访问内网提供目标地址转换,但是还需要开通外网区到隔离区的通行策略。天融信防火墙接收到数据帧后,先匹配状态,其次匹配NAT转换,最后匹配策略(与思科不一样),这导致后续策略配置时需要理解好数据帧的目标地址变化情况。
  8. 添加策略。重点注意目标地址是静态PAT转换后的私有IP。
  9. 用win2003-outside的浏览器访问http:\100.1.1.2,访问成功。
  10. 思考:从win2003-outside发出的数据帧,在网段100.1.1.0内广播目标,是如何捕捉到100.1.1.2是在防火墙内呢?连接在该接口的网卡IP地址是100.1.1.254呀?

2.6 应用层过滤功能

  1. 在win2003-outside上部署网页服务器和DNS服务器,将网页标题栏改为“外网服务器”,设置主机名为www.baidu.com,部署DNS服务器,添加主记录绑定www.baidu.com和IP100.1.1.1。
  2. 将winXP和win2003-inside的DNS服务器指向公网100.1.1.1。可以正常通过域名www.baidu.com访问外网服务器网页。
  3. 添加限制内网到外网的安全策略。添加一个内容策略标题,内容后续再完善。
  4. 内容策略不能单独运行,需要依附于区域之间的策略。在防火墙→访问控制中,对内网访问外网和隔离区访问外网的策略进行编辑,在内容安全策略一栏选中上一步添加的策略名。以后要对该方向的内容做修改,只需要在对in2out这个策略进行修改即可。
  5. 本实验禁止内网员工访问www.baidu.com,在内容过滤→http过滤→新建一个url黑名单→将禁止范围的域名添加→确定。
  6. 在防火墙→内容安全策略中,对刚刚的in2out策略进行编辑,在url栏添加黑名单→应用。
  7. 测试使用winxp浏览器域名方式www.baidu.com访问win2003-outside的网页,失败。使用IP地址方式http:\100.1.1.1访问成功,同时也可以ping通该主机,说明该内容策略仅限制了url中的域名字段。
  8. 同理可以采用其他内容过滤的条目对策略进行完善。例如采用内容过滤的方式,是在数据包回包的过程中,对网站内容进行过滤。

2.7 构建高可用性HA

  2. 按实验五拓扑图完善网络结构,由于两个防火墙除了心跳线IP不一致外,其余均一致,先为第一台防火墙设置心跳线IP地址。心跳线需要勾选非同步地址,而其他接口均不勾选。

    3. 防火墙防护实验划分VLAN 防火墙的实验_服务器

  4. 高可用性→设置本机及对端IP、设置跟踪接口→启用。

    5. 防火墙防护实验划分VLAN 防火墙的实验_tcp/ip_02

  5. 关闭防火墙配置网页。
  7. 将第一台防火墙与真实机所在网关断开连接,同理设置心跳线IP地址,设置高可用性如下并启用,可以看到该防火墙为活跃防火墙(因为第一台防火墙现在有端口断开中)。

    8. 防火墙防护实验划分VLAN 防火墙的实验_tcp/ip_03

  8. 关闭防火墙配置网页。
  10. 将第一台防火墙刚刚断开的接口再次接上,再次登录,登录后是活跃防火墙对应网页,可以从心跳线IP地址判断是哪一台。

    11. 防火墙防护实验划分VLAN 防火墙的实验_tcp/ip_04

  11. 创建区域时,可以考虑将心跳线接口划分为独立于内外区、外网区、隔离区之外的心跳区,不为该区域配置策略。
  13. 按之前实验一至四进行防火墙配置后,可以将活跃防火墙的配置同步到备份防火墙。

    14. 防火墙防护实验划分VLAN 防火墙的实验_tcp/ip_05

  15. 同步成功会有提示。

    16. 防火墙防护实验划分VLAN 防火墙的实验_服务器_06

  17. 让winXP一直ping外网区的主机,ping -t 100.1.1.1,断开任一一个防火墙的接口,看能否一直ping通。在断开一帧后及时切换至备份防火墙开始工作。

    18. 防火墙防护实验划分VLAN 防火墙的实验_tcp/ip_07

3 总结

  1. 加深理解防火墙的工作原理和过程。
  2. 理解HA的工作原理。
  3. 掌握防火墙的配置顺序及方法。