清华同方紫荆顿防火墙桥模式的配置

           如果有一个已经建成的网络系统,我们不希望对系统和网络结构进行任何修改,而又需要防火墙对内部服务器进行保护,可以将NETST防火墙配置为桥模式,可以不改变原来的网络架构,完全透明地实现防火墙功能。

    连接及登录

             箱内提供一条DB9DB9连接线与防火墙console口相连并开启防火墙,使用Windows2000自带的仿真终端连接NetST®防火墙(其他Windows平台操作类似)

1.         从菜单中依次选择:开始-程序-附件-通讯-超级终端,打开超级终端,如下图所示(或选择“文件/新建连接”);

 

2.         在“名称”输入栏中输入本次连接的名称,可为任意字符串,如“tty001”,点击确定,将出现如下图所示的对话框; 
                         

                    设置连接串口

在“连接时使用”下拉列表中选择“COM1”(根据具体连接情况选择连接的串口,在此设为COM1),点击确定,将出现如下图所示的对话框;
                       

     
                      设置串口属性
 
3.         在每秒位数的下拉列表中选择“38400”, 在“数据流控制”下拉列表中选择“Xon/Xoff”, 点击确定,然后可能需要敲一下回车键,此时在终端窗口中即可出现登录提示符,如下图所示,即可进行登录操作。
                                            

                      终端控制台登录界面 

     在出现上图 所示的登录界面后,在“ login: ”后输入用户名,根据不同的权限要求, 可以输入如下几个管理帐号中的一个,“ admin ”,“ sysadm ”,“ cfgadm ”,或“ user ”,回车后输入各帐号缺省的口令(首次登录时 admin upgrade shutdown 三个帐户缺省口令为与用户名相同,其他帐户的缺省口令都是随机值,登录后请立即修改相应口令)。以 admin 管理帐号登录 NetST® 防火墙,此时将出现  admin@NetST# 提示符, 此时即可进行 NetST ® 防火墙的配置操作。

桥模式配置

            将防火墙的外网口接到外部交换机,内网口接到内部交换机或服务器上,

 配置桥模式命令如下:admin@Netst>modify if internal e0     命名网口属性E0口为内网口

  admin@Netst>modify if external e1    命名网口属性E1口为外网口

 admin@Netst>modify if dmz e2     命名网口属性E2口为DMZ网口

 admin@Netst>modify if admin e3     命名网口属性E2口为Admin管理网口

 admin@Netst>stop  fw  停止防火墙运行

admin@Netst>set  mode  bridge   设置为桥模式

admin@Netst>add  bridge  brif0  E0  E1   把E0  E1 口进行桥接并创建brif0 接口

admin@Netst>set  bridge   brif0  192.168.0.11/24   设置桥接的管理IP地址,到这里设置桥接就算完成了。

我们可以通过admin@Netst>show  bridge 命令查看到桥接口的状态如下:

admin@FW# show br
Bridge  Status    STP     IP_addr             Comp_if_name_list
BRIF0   ENABLE    ON      192.168.0.11/24     E0-E1
BRIF1   DISABLE   ON      0.0.0.0/0           NONE
BRIF2   DISABLE   ON      0.0.0.0/0           NONE
BRIF3   DISABLE   ON      0.0.0.0/0           NONE
BRIF4   DISABLE   ON      0.0.0.0/0           NONE
BRIF5   DISABLE   ON      0.0.0.0/0           NONE
BRIF6   DISABLE   ON      0.0.0.0/0           NONE
BRIF7   DISABLE   ON      0.0.0.0/0           NONE
BRIF8   DISABLE   ON      0.0.0.0/0           NONE
BRIF9   DISABLE   ON      0.0.0.0/0           NONE
BRIF10  DISABLE   ON      0.0.0.0/0           NONE
BRIF11  DISABLE   ON      0.0.0.0/0           NONE
BRIF12  DISABLE   ON      0.0.0.0/0           NONE
BRIF13  DISABLE   ON      0.0.0.0/0           NONE
BRIF14  DISABLE   ON      0.0.0.0/0           NONE
BRIF15  DISABLE   ON      0.0.0.0/0           NONE

配置防火墙规则

   配置防火墙规则我们也可以使用自带的NetST管理控制台软件来实现,在连接控制台之前要在命令终端对防火墙进行配置一下具体如下:

admin@FW# set nms  设置管理控制台
Enter Local IP address(xxx.xxx.xxx.xxx): 192.168.0.25  设置本地网络管理工作站的IP地址,
Enter alert Port: 9999  设置报警端口号
Enter Java login fail number(1-255): 3 设置Java管理控制台最大失败登录次数
Enter Remote 1 IP address(xxx.xxx.xxx.xxx):设置第一远程管理电脑的IP地址
Enter Remote 2 IP address(xxx.xxx.xxx.xxx):设置第二远程管理电脑的IP地址
Enter Remote 3 IP address(xxx.xxx.xxx.xxx):设置第三远程管理电脑的IP地址
Use default SSL cert(yes-y,no-n): n  设置SSL连接是否使用缺省证书
Enter GUI_auth_type(text,otp,cr): text   设置Java认证类型
Set NMS success!

使用show nms 命令查看此命令用于显示网络管理工作站参数,显示本地网络管理工作站的IP地址(数字点分格式)、本地报警端口号、Java管理控制台登录的失败次数限制值、3台远程工作站的IP地址、是否在建立SSL连接时使用缺省的防火墙自带证书和JAVA管理控制台登录防火墙时的认证方式。
  admin@FW# show nms
Local NMS IP          : 192.168.0.25
Local alert Port      : 9999
Java login fail number: 3
Remote 1 NMS IP       : 0.0.0.0
Remote 2 NMS IP       : 0.0.0.0
Remote 3 NMS IP       : 0.0.0.0
Use default SSL Cert  : NO
Authentication type   : TEXT
admin@FW#

 然后在管理工作站上安装管理控制台软件,完成以上配置我们就可以使用管理控制台连接防火墙了。

首次使用需添加防火墙并配置选项如图:右键设备列表选着“添加防火墙”选项,并填写IP地址及相关安全认证设置如图:

 完成上述设置后点击新建的防火墙后会弹出登录框,输入用户名和密码后就可进入防火墙进行配置了。

用户可根据自身网络环境的特点及需求来 定义网络访问规则及其它安全选项,这里就不在阐述了。

所有配置完成后启动防火墙引擎就可接入到网络中使用了,启动防火墙操作建议在命令终端下执行,命令为:“start  firewall”我们可以使用“show  status” 命令对启动状态进行查看。

admin@FW# show status
防火墙引擎    = ON
日志服务器    = OFF
UFP服务器     = OFF
Java代理服务器= ON
内容过滤服务器= ON
用户登录服务器= ON
日志文件大小  = 6608 字节
CPU使用率     = 0.9%
内存使用率    = 32.5%
串口速率      = 38400 bps
远程JAVA管理  = 0
本地JAVA管理  = 1

注:如不想定义详细安全访问规则,可将安全选项清空,就可实现互相通信了,前提在防火墙停止运行状态下执行,先用命令stop   firewall  停止,然后再执行delall  toggle  命令删除所有安全选项。为此本人也走了不少弯路,这里提出来望对需要的人有所帮助。首次开博有不足之处还望大家多多包涵  !