杭州继保南瑞电子科技有限公司防火墙配置与管理

摘要：防火墙是指一种将内部网络和外部网络分开的方法，实际上是一种隔离控制技术。在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问，也可以阻止保密信息从受保护网络上被非法输出。通过限制与网络或某一特定区域的通信，以达到防止非法用户侵犯受保护网络的目的。防火墙是在两个网络通讯时执行的一种访问控制尺度，它对两个网络之问传输的数据包和连接方式按照一定的安全策略对其进行检查，来决定网络之问的通信是否被允许：其中被保护的网络称为内部网络，未保护的网络称为外部网络或公用网络。应用防火墙时，首先要明确防火墙的缺省策略，是接受还是拒绝。

关键词：防火墙；NAT；VPN；ACL；DMZ

目录

杭州继保南瑞电子科技有限公司 4

防火墙配置与管理 4

摘要：防火墙是指一种将内部网络和外部网络分开的方法，实际上是一种隔离 4

关键词：防火墙；NAT；VPN；ACL；DMZ 4

一、引言 4

二、公司简介 6

三、 需求分析 6

五、IP 地址规划 8

H3C S5130HI 系列交换机是 H3C 公司自主开发的三层千兆以太网交换机产品， 9

H3C S5130-HI 系列交换机支持 EAD（终端准入控制）功能，配合后台系统可 9

H3C SecPath M9000 系列全面支持攻击防范、抗 DDoS、访问控制、安全域划 10

七、 技术介绍 10

（一）DMZ 10

（二）VPN 10

（三）NAT 10

（四）ACL 11

八、 项目实施 11

（一）DMZ 区域配置及结果测试 11

一、防火墙基本配置 12

二、内网和外网之间的配置 13

四、外网和 DMZ 之间的配置 18

（二）VPN 配置 20

二、分公司防火墙配置 23

三、总公司访问分公司的测试结果 24

一、内网通过 NAT 转化访问外网 26

二、内外网通过 NAT 访问 DMZ 区 28

（1）在接口 Ethernet 0/3 进行 DMZ 外网地址的 NAT 转换，如图八-55 所示 28

（2）内网用服务器外网地址访问测试结果，如图八-56 所示 29

（3）在接口 Ethernet 0/1 进行 DMZ 外网地址的 NAT 转换，如图八-57 所示 29

（4）外网用服务器外网地址访问测试结果，如图八-58 所示 29

（5）查看 NAT 会话表，如图八-59 所示 30

（四）ACL 配置与结果测试 30

一、防火墙和交换机基本配置 31

（1）定义基本 ACL 2000，允许所有内网用户通过，如图八-61 所示 31

（2）交换机配置默认路由，如图八-62 所示 31

（3）交换机配置指向外网的静态路由，如图八-63 所示 31

（4）查看交换机的路由表，如图八-64 所示 31

（5）防火墙配置默认路由，如图八-65 所示 32

（6）防火墙配置静态路由，如图八-66 所示 32

（7）查看防火墙的路由表，如图八-67 所示 32

二、研发中心 ACL 访问策略配置 32

（1）配置 ASPF 策略 1，如图八-68 所示 32

三、生产中心、行政中心 ACL 访问策略配置 34

四、禁止所有部门访问淘宝网、天猫网等购物网站 36

五、禁止所有部门上网搜索电影、小说等关键字 38

源。所示 39

九、结束语 40

十、参考文献 41