【锐捷全真实战】2008-10-29 中山坦洲 RG-WALL-60 调试项目

找出来修好

这次项目主要涉及到一台RG-wall 60防火墙的配置。

一台零配置的机子怎么让它活起来。。。接触到自己没碰到过的设备还蛮兴奋的。

第一是觉得有挑战，第二又怕配置完不行，搞不定，就惨了。呵呵。。

但是还是要去挑战它。。
。。。。
。。。。
。。。。。。

会使用web界面配置就可以了。以下大量截图配置能让你迅速掌握WALL 60。。120系列。

这里要说明一下 rg 防火墙是可以命令行形式管理，还有就是web管理。

中间学习过程就不多说了。

隔天到了客户那边，听取了客户的需求：防火墙安全配置就OK了。。让内网能够通外网。

原有网络是用一台TP-LINK路由器接光纤通外网。。。现在只需要使用RG-wall-60接光纤通外网。

PS：RG-wall-60 没有光纤模块。。所以需要光纤 协转 RJ-45即可。

下面我做了模拟实验！

防火墙管理方式

WEB方式管理-电子证书

运行随即光盘中admin cert文件夹里的admin.p12或者admin安装：（如图）




下一步，到此页面时，输入密码：123456，其他默认即可。然后继续一路下一步，直到提示完成。（如图）




打开IE浏览器，输入https://192.168.10.100:6666 ,然后回车即可，输入帐号：admin，密码：firewall （如图，这里需要注意是https，不是http。）




显示下图：

找出来修好

NAT配置 部分

只有一个或少量公网地址，内部网络全部为私网地址，要求配置NAT，使得内部pc可以上网。

模拟拓扑图：




接口IP配置：






路由配置：添加到外部网络的默认路由。

网络配置--策略路由--添加：



地址列表配置：此配置允许内网地址192.168.1.1-192.168.1.10通过NAT转换到外部网络

对象定义--地址--地址列表--添加：



最后NAT配置：

安全策略--安全规则--添加：



其中的源地址选择前面定义的地址列表nat。

通过测试，IP地址为192.168.1.10的PC可以通过NAT转换上网。



[ 本帖最后由 找出来修好 于 2008-11-1 23:51 编辑 ]

找出来修好

服务器映射配置：

内网台IP向外提供服务，但没有公网IP地址，需要映射到外网口公网地址上。下面以提供

http服务器为例

拓扑如图：



接口IP配置：（略）

路由配置：添加到外部网络的默认路由。

网络配置--策略路由--添加：



安全规则设置：类型选择端口映射。



经过测试，外网可以通过访问IP：192.168.33.12来访问http服务器。



[ 本帖最后由 找出来修好 于 2008-11-2 00:00 编辑 ]

找出来修好

防火墙安全配置：

我们想通过防火墙限制某些用户上网，达到类似与ACL的效果；或者SMTP协议病毒过滤以

防止内网或者外网pc通过发送邮件传播病毒。

拓扑：



包过滤配置：

安全策略--安全规则--添加：



通过包过滤规则，我们希望达到的效果是限制主机192.168.1.200ping192.168.33.1。测试：



注意：规则的顺序问题。

[ 本帖最后由 找出来修好 于 2008-11-2 00:07 编辑 ]

找出来修好

ADSL拨号配置：

使用防火墙进行ADSL拨号上网。

拓扑:



接口fe4配置：(略)


网络配置--ADSL拨号：



配置NAT规则：



路由配置：





ADSL包好会有一个隐藏的默认路由，如果要加只需加到内部的路由。


PS：现实环境一般都是光纤接入的。。所以不需要拨号配置。。。

[ 本帖最后由 找出来修好 于 2008-11-2 00:27 编辑 ]

找出来修好

DHCP配置：

使用防火墙建立一DHCP服务器，向用户提供IP地址，方便网络维护。

拓扑：



建立一地址范围：



配置DHCP服务器：
   
网络配置--DHCP配置--DHCP服务器--DHCP域配置--添加：



其中地址范围使用先前配置的地址列表。

测试：
得到了ip地址。



[ 本帖最后由 找出来修好 于 2008-11-2 00:21 编辑 ]

找出来修好

FAQ：

Q:防火墙的基本配置有哪些：
1、默认防火墙超级管理员名称：admin  密码：firewall
2、默认防火墙fe1口拥有IP地址：192.168.10.100 属性：可Ping 可以管理
3、默认管理主机IP地址：192.168.10.200  不允许多用户管理
4、端口默认属性是路由模式，网口速率:自动协商

Q:登录错误提示：



这是有用户在进行console登录的时候，同时在web登录。

Q:IP映射和端口映射的区别：

ip映射是对外提供服务的ip地址级别的映射，不仅可以做一对一的NAT也可以做多对一的NAT，实现服务器负载均衡。端口映射只做端口级的映射。

Q:在做DHCP服务器的时候，如何做到限制ip地址的灵活分配？

问题：
比如希望下面用户得到的ip地址的范围是192.168.1.1-192.168.1.10和192.168.1.20-
192.168.1.30？
首先在地址列表中建立合乎要求的多个地址列表，然后在地址组中选择地址列表作为地址
组成员，这样就可以实现ip地址的任意分配。其实就是要使用好地址组功能。


[ 本帖最后由 找出来修好 于 2008-11-2 00:36 编辑 ]

找出来修好

Q：安全规则的设置注意点：

在安全规则中，我们可以设置的规则类型有很多，但要注意很重要的一点：permit any any的规则必须设置


在最后（当然防火墙中不建议出现这样的规则）。如果我们设置的规则如下：





结果是NAT不生效！切记！必须如下设置：





我们可以使用规则上方的移动选项来调整规则的顺序。


[ 本帖最后由 找出来修好 于 2008-11-2 00:39 编辑 ]

找出来修好

Q：包过滤和NAT配置共存的问题:


我们先来看安全规则配置：



如果如上的配置，则第2条禁止icmp报文的安全规则将不会生效，下面PC
仍然可以ping。



如果把安全规则顺序修改为：



则不能ping了。





也就是说，在包过滤和NAT共存的时候，需要将包过滤规则配置在NAT之前。由此可推知，任何过滤规则


都需要配置在NAT等配置之前。




[ 本帖最后由 找出来修好 于 2008-11-2 00:43 编辑 ]

找出来修好

Q：为什么有些抗攻击的选项不能显示？

如下图，我们在抗攻击配置中选择了黑框中的选项：



但是在此页面下却没有显示：



而且对于这两个截图，选项都不对应，前面比后一图上选项少很多。是防火墙不支持某些选项（比如抗ip流攻击，只是可以打钩？）。
不是的。是由于防火墙界面的显示问题，没有显示完而已，不影响功能的。




[ 本帖最后由 找出来修好 于 2008-11-2 00:47 编辑 ]