题记:
大多数的防火墙或者说是UTM部署的模式有路由模式,网桥模式,混杂模式,配置最核心的也就是写规则,一个好的规则会使得内部网络的安全性得到较大的改善,当然如果是UTM可能还会附加上一些其他的安全组件,例如见的最多的就是AV防病毒组件,IPS组件,anti-spam反垃圾邮件组件等,有的还有一些上网行为管理(比较薄弱),×××等组件,本次主要是以启明星辰的USG系列设备的常见部署模式进行配置说明,其他的厂商的防火墙配置内容都是大同小异,掌握一家的其他的自然也就很容易上手,学习就要善于总结归纳,将有共同点的知识技能归纳,做到一劳多得!!
实验拓扑:

p_w_picpath

实验环境描述:
1、防火墙工作在路由模式。
2、内部主机,内部服务器系统,外部网络形成严格的3 个区域(内网,外网,DMZ 区域);
3、内网口对应防火墙eth1,外网口对应防火墙eth2,DMZ 区域对应防火墙eth3;
4、在各个区域之间实施严格的访问控制,保障系统安全;
5、防火墙内网口IP 地址为192.168.0.1/24,eth1 接口直接与内网主机相连;DMZ 区IP 地址为172.31.0.10/16,eth3 接口直接与WEB 服务器相连;外网口IP 地址为210.156.169.10/25,eth2 接口与桌面网口(如A1-1)连接,通过交换机与外网相连;缺省网关IP 地址为210.156.169.1/25。
6、WEB 服务器地址172.31.0.12/16,默认网关指向172.31.0.10。
7、内网主机地址192.168.0.12/24,默认网关指向192.168.0.1。
8、对外服务器系统通过DNAT 对外提供服务,内网访问外部网络通过SNAT 实现。

 具体配置过程如下

1.进入“网络设置》接口”分别编辑接口eth1、eth2、eth3,为其配置IP。eth1 设为内网口,IP 地址为192.168.0.1/24;eth2 设为外网口,IP 地址为210.156.169.10/25; eth3 设为DMZ 区,IP 地址为172.31.0.10/16。配置完毕后点击右上角图标保存配置。

p_w_picpath

2.进入“网络设置》NAT》NAT 地址池”点击“新建”。添加用于源地址转换的IP 地址,一般是外网口的IP 地址。添加用于目的地址转换后真正提供服务的IP。如果有多个IP 也可以添加。添加完毕后点击提交,并保存。

p_w_picpath

p_w_picpath

3.进入“对象管理》地址对象》地址节点”点击“新建”,建立两个子网:内网(192.168.0.0/24)和DMZ 区(172.31.0.0/16),提交完成后保存配置。建立一个主机:web 服务器(210.156.169.10),提交完成后保存配置。

p_w_picpath

4.进入“网络设置》NAT》NAT 规则”点击“新建”,建立源地址转换和目的地址转换的规则。内网访问外网使用源地址转换,外网访问DMZ 区使用目的地址转换。源地址转换中源地址选择“内网”,目的地址、服务选择“any”,出接口选择外网口“eth2”,转换后的地址选择刚才配置到地址池中的NAT 地址。目的地址转换中的源地址选择“any”,目的地址选择我们允许外界看到的服务器的地址,通常就是外网口的地址,这里是新建的地址对象中的“web 服务器”,服务选择“http”,入接口选择外网口“eth2”,转换后的地址选真正的服务器地址“web-server”,若转换后端口变化可以填入转换后的端口。点击提交并保存配置。

p_w_picpath

5.进入“网络设置》基本配置缺省网关”点击“新建”添加网关。提交并保存。

p_w_picpath

6.进入“防火墙》安全策略”点击“新建”添加安全策略。允许内网访问外网,允许内网访问DMZ 区的http 服务,允许外网访问DMZ 区的http 服务。添加参数完毕后,启用策略并保存。

p_w_picpath

7.将配置有内网IP 的主机连接到eth1,访问www.baidu.com,若成功登录则表示源地址转换配置成功。将配有外网IP 的主机连接到eth2,访问210.156.169.10,如果可以打开网页则表示目的地址转换配置成功。