防火墙配置

图 12-1三网口纯路由模式
注意：网御安全网关Power V的基本配置是有四个物理设备，其中fe1是默认的可管理设备（默认启用），地址是10.1.5.254。

12.1.1 需求描述
上图是一个具有三个区段的小型网络。Internet区段的网络地址是202.100.100.0，掩码是255.255.255.0；DMZ区段的网络地址是172.16.1.0，掩码是255.255.255.0；内部网络区段的网络地址是192.168.1.0，掩码是255.255.255.0。
fe1的IP地址是192.168.1.1，掩码是255.255.255.0；fe3的IP地址是172.16.1.1，掩码是255.255.255.0；fe4的IP地址是202.100.100.3，掩码是255.255.255.0。内部网络区段主机的缺省网关指向fe1的IP地址192.168.1.1；DMZ网络区段的主机的缺省网关指向fe3的IP地址172.16.1.1；安全网关的缺省网关指向路由器的地址202.100.100.1。
WWW服务器的地址是172.16.1.10，端口是80；MAIL服务器的地址是172.16.1.11，端口是25和110；FTP服务器的地址是172.16.1.12，端口是21。

安全策略的缺省策略是禁止。允许内部网络区段访问DMZ网络区段和Internet区段的http,smtp，pop3，ftp服务；允许Internet区段访问DMZ网络区段的服务器。其他的访问都是禁止的。

12.1.2 配置步骤
1. 网络管理>网络设备>：编辑物理设备fe1，将它的IP地址配置为192.168.1.1，掩码是255.255.255.0。
注意：fe1默认是用于管理的设备，如果改变了它的地址，就不能用原来的地址管理了。而且默认的管理主机地址是10.1.5.200，如果没有事先添加其它的管理主机地址，将会导致安全网关再也不能被管理了（除非用串口登录上去添加新的管理主机地址）。其它设备默认是不启用的，所以配地址时要同时选择启用设备。
2. 网络管理>网络设备>：编辑物理设备fe3，将IP地址配置为172.16.1.1，掩码是255.255.255.0。
3. 网络管理>网络设备>：编辑物理设备fe4，将IP地址配置为202.100.100.3，掩码是255.255.255.0。
4. 网络管理>静态路由>：添加下一跳地址是202.100.100.1的默认路由。目的地址，掩码都是0.0.0.0，接口选择fe4。注意：防火墙是基于资源的，所以在配置下面的策略时，请先定义如下的资源：
LOCAL_NET：网络地址192.168.1.0，掩码255.255.255.0
DMZ_NET：网络地址172.16.1.0，掩码255.255.255.0
WWW_SERVER：主机地址172.16.1.10，掩码是255.255.255.255
MAIL_SERVER ：主机地址172.16.1.11，掩码是255.255.255.255
FTP_SERVER ：主机地址172.16.1.12，掩码是255.255.255.255
5. 防火墙>安全规则>：添加源地址是LOCAL_NET，目的地址是any，服务是http，动作是允许的包过滤规则。
6. 防火墙>安全规则>：添加源地址是LOCAL_NET，目的地址是any，服务是smtp，动作是允许的包过滤规则。
7. 防火墙>安全规则>：添加源地址是LOCAL_NET，目的地址是any，服务是pop3，动作是允许的包过滤规则。

8. 防火墙>安全规则>：添加源地址是LOCAL_NET，目的地址是any，服务是ftp，动作是允许的包过滤规则。
9. 防火墙>安全规则>：添加源地址是LOCAL_NET，目的地址是any，服务是any的NAT规则。
10. 防火墙>安全规则>：添加源地址是any，目的地址172.16.1.10，服务是http，动作是允许的包过滤规则。
11. 防火墙>安全规则>：添加源地址是any，目的地址172.16.1.11，服务是smtp，动作是允许的包过滤规则。
12. 防火墙>安全规则>：添加源地址是any，目的地址172.16.1.11，服务是pop3，动作是允许的包过滤规则。
13. 防火墙>安全策略>：添加源地址是any，目的地址172.16.1.12，服务是ftp，动作是允许的包过滤规则。
14. 防火墙>安全策略>：添加公开地址是202.100.100.3，对外服务是http，内部地址是WWW_SERVER，内部服务是http的端口映射规则。
15. 防火墙>安全策略>：添加公开地址是202.100.100.3，对外服务是smtp，内部地址是MAIL_SERVER，内部服务是smtp的端口映射规则。
16. 防火墙>安全策略>：添加公开地址是202.100.100.3，对外服务是pop3，内部地址是MAIL_SERVER，

内部服务是pop3的端口映射规则。
17. 防火墙>安全策略>：添加公开地址是202.100.100.3，对外服务是ftp，内部地址是FTP_SERVER，内部服务是ftp的端口映射规则。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

配置服务端口映射：

1. 网络管理>网络设备>：编辑物理设备fe4，将IP地址配置为202.100.100.3，掩码是255.255.255.0。

2. 网络管理>静态路由>：添加下一跳地址是202.100.100.1的默认路由。目的地址，掩码都是0.0.0.0，接口选择fe4。

3.注意：防火墙是基于资源的，所以在配置下面的策略时，请先定义如下的资源：
WWW_SERVER：主机地址172.16.1.10，掩码是255.255.255.255

4. 防火墙>安全规则>：添加源地址是any，目的地址172.16.1.10，服务是http，动作是允许的包过滤规则。

5. 防火墙>安全策略>：添加公开地址是202.100.100.3，对外服务是http，内部地址是WWW_SERVER，内部服务是http的端口映射规则。