设备调试思路
1、了解网络状况
2、确定防火墙的部署位置
3、选择防火墙的部署模式,规划网络路由信息
4、确定策略方向,地址,服务信息
5、合理设定访问策略
防火墙的设置步骤
1、确定设置防火墙的布置模式
2、设置防火墙设备的IP地址信息
3、设置防火墙的路由信息
4、确定经过防火墙设备的IP地址信息
5、确定网络应用
6、配置访问控制策略
防火墙的默认状态
1、防火墙的默认IP地址为:192.168.1.1/24,该地址在这防火墙的
Ethernet1或MGT上
2、防火墙的三个接口的安全区域是
ethernet1:trust
ethernet1:dmz
ethernet1:untrust
ethernet1:null
3、登录web方式
透明模式下,默认ip 192.168.1.1
NAT模式下,登录trunk接口
防火墙三种应用模式
1、透明模式
防火墙端口上没有IP地址,只有一个用于管理的全局IP
使用环境:
一般用于处理相同网段的不同网络之间的安全隔离
优点:
不需要重新配置路由器或者受保护服务器的IP设置
不需要为受保护服务器的创建地址映射或端口映射
命令行实现:
unset interface ethernet1 ip //取消低级防火墙默认IP
set interface ethernet1 zone v1-trust
set interface ethernet2 zone v1-dmz
set interface ethernet2 zone v1-untrust
set interface vlan1 ip 192.168.1.1/24
save
2、NAT模式
适用的网络环境:
客户拥有的公网地址数量,不能满足网络中的每个设备都拥有一个公网IP地址的情况
优点:
针对内网对互联网的访问,可以大量节省公共IP地址,路由结构清晰
命令行实现:
set interface ethernet1 zone trust
set interface ethernet2 zone dmz
set interface ethernet2 zone untrust
set interface ethernet1 ip 192.168.1.1/24
set interface ethernet2 ip 172.16.1.1/24
set interface ethernet3 ip 10.10.1.1/24
set interface ethernet3 gateway 10.10.0.251
set interface ethernet1 nat
save
3、路由模式
特殊模式:二层与三层混合部署
适用网络环境:
拥有足够多的公网IP地址,可以满足网络中所有设备需要
set interface ethernet1 zone trust
set interface ethernet2 zone dmz
set interface ethernet2 zone untrust
set interface ethernet1 ip 192.168.1.1/24
set interface ethernet2 ip 172.16.1.1/24
set interface ethernet3 ip 10.10.1.1/24
set interface ethernet3 gateway 10.10.0.251
set interface ethernet1 route
save
本文出自 “小小geek一枚” 博客,转载请与作者联系!
原文地址:http://howardhuang.blog.51cto.com/9812975/1941695