《防火墻技術(shù)》

——局域網(wǎng)、廣域網(wǎng)與服務(wù)器的訪問控制與實現(xiàn)(混合模式)配置需求案例及分析某企業(yè)內(nèi)網(wǎng)192.168.2.1/24，外網(wǎng)218.240.143.218/24，同時在防火墻上搭載一臺服務(wù)器218.240.143.217/24.要求：1、內(nèi)網(wǎng)192.168.2.1/24可以訪問外網(wǎng)218.240.143.218/24；2、內(nèi)網(wǎng)192.168.2.1/24可以訪問服務(wù)器；3、外網(wǎng)可以訪問服務(wù)器。配置步驟——配置接口1）設(shè)置內(nèi)網(wǎng)口地址，將eth1口設(shè)置成路由接口，安全域：trust，由于內(nèi)網(wǎng)網(wǎng)段明確，選擇靜態(tài)IP屬性，設(shè)置內(nèi)網(wǎng)口IP地址為IP地址設(shè)置為192.168.2.1/24，子網(wǎng)掩碼24位表示該接口接入的IP為網(wǎng)段地址。

2）設(shè)置外網(wǎng)口，ethernet0/2口連接外網(wǎng)，將ethernet0/2設(shè)置成二層安全域，l2-untrust，這里不需要給外網(wǎng)口進行IP地址配置，只需要在虛擬交換機上進行配置即可，見后續(xù)操作。配置步驟3）設(shè)置服務(wù)器接口，將ethernet0/3口設(shè)置成連接在防火墻上的服務(wù)器接口，由于該服務(wù)器連接在防火墻上，屬于安全防護區(qū)域，選擇二層安全域中的l2-dmz安全域進行配置。配置步驟由于二層安全域接口不能設(shè)置地址（相關(guān)知識和技能，請讀者查閱“防火墻透明模式的配置”任務(wù)），需要將地址設(shè)置在虛擬交換機

配置步驟——配合虛擬交換機（VSwitch）針對內(nèi)網(wǎng)所有地址都要進行外網(wǎng)的訪問，并且內(nèi)網(wǎng)IP地址與外網(wǎng)IP地址不屬于同一個網(wǎng)段，因此我們在防火墻上設(shè)置SNAT模式。

配置步驟——設(shè)置SNAT策略配置步驟——添加路由策略創(chuàng)建好后，還必須添加能夠?qū)崿F(xiàn)內(nèi)外網(wǎng)連接的路由對數(shù)據(jù)包進行路徑傳輸。要創(chuàng)建一條到外網(wǎng)的缺省目的路由允許對外網(wǎng)的任何IP進行訪問。8配置步驟——設(shè)置地址簿在制定安全策略放行時，我們需要選擇相應(yīng)的地址和服務(wù)進行放行，所以這里首先要創(chuàng)建服務(wù)器的地址簿。在創(chuàng)建地址簿時，如果是創(chuàng)建的服務(wù)器屬單個IP，使用IP成員方式的話，那掩碼一定要寫32位。9配置步驟——添加安全策略放行策略時，首先要保證內(nèi)網(wǎng)能夠訪問外網(wǎng)。應(yīng)該放行內(nèi)網(wǎng)口所屬安全域到Vswitch接口所屬安全域的安全策略，即從trust到untrust。10配置步驟——添加安全策略保證外網(wǎng)能夠訪問Web_Server，該服務(wù)器的網(wǎng)管地址設(shè)置為ISP網(wǎng)關(guān)218.240.143