【信息网络学习9.11 天融信防火墙混合部署模式】

发表于 更新于

实验拓扑

实验要求

  1. 防火墙混合模式部署

  2. 192.168.2.2可以访问外网地址222.74.14.13(通过地址转换实现)

  3. 192.168.2.2可以访问192.168.3.2的FTP和HTTP服务

  4. 通过地址转换可以实现222.74.14.13访问192.168.3.2的80和21端口

  5. 只允许192.168.2.2来远程webui管理防火墙

  6. 只允许192.168.3.2来远程ssh管理防火墙

  7. 策略精细化保证通讯安全并开启日志记录

  8. 将防火墙的所有日志外发到192.168.2.2

实验步骤

路由器配置

1
2
3
4
interface GigabitEthernet2/0/0
 port link-mode route
 combo enable copper
 ip address 222.74.14.13 255.255.255.0

防火墙配置

配置接口

配置防火墙为混合模式,接口分别有路由和交换口:

配置vlan地址:

配置资源

配置对应的主机、范围、子网、地址组等IP资源,方便后续再访问控制中使用,如有自定义服务,这里也一并定义:

  • 地址

  • 区域

配置地址转换

配置访问控制

针对业务需求来做访问控制,(这里由于访问控制是按顺序进行匹配,所以明细策略需要放到最上边,大段的策略应该在明细策略下,最后加一条any—>any的全禁止策略):

配置远程管理

最后根据我们远程管理防火墙的方式来开启对应的服务。(开放服务是根据区域来开放的,后边的控制地址这里不建议配置为any,考虑到安全,专人专管或者部门专管,这里的控制地址建议配置成一个主机IP或者一段IP,指的就是哪些IP可以进行管理防火墙):

配置日志

然后我们配置日志外发功能: