<dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><small id="yhprb"></small><dfn id="yhprb"></dfn><small id="yhprb"><delect id="yhprb"></delect></small><small id="yhprb"></small><small id="yhprb"></small> <delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"></dfn><dfn id="yhprb"></dfn><s id="yhprb"><noframes id="yhprb"><small id="yhprb"><dfn id="yhprb"></dfn></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><small id="yhprb"></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn> <small id="yhprb"></small><delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn>

新聞中心

EEPW首頁(yè) > 手機與無(wú)線(xiàn)通信 > 設計應用 > 全方位講解硬件防火墻的選擇

全方位講解硬件防火墻的選擇

作者: 時(shí)間:2011-11-17 來(lái)源:網(wǎng)絡(luò ) 收藏

  NGFW4000有3個(gè)標準端口,其中一個(gè)接外網(wǎng)(Internet網(wǎng)),一個(gè)接內網(wǎng),一個(gè)接DMZ區,在DMZ區中有網(wǎng)絡(luò )服務(wù)器。安裝所要達到的效果是:內網(wǎng)區的電腦可以任意訪(fǎng)問(wèn)外網(wǎng),可以訪(fǎng)問(wèn)DMZ中指定的網(wǎng)絡(luò )服務(wù)器,Internet網(wǎng)和DMZ的電腦不能訪(fǎng)問(wèn)內網(wǎng);Internet網(wǎng)可以訪(fǎng)問(wèn)DMZ中的服務(wù)器。

  1、配置管理端口

  天融信網(wǎng)絡(luò )衛士NGFW4000是由和管理器組成的,管理防火墻都是通過(guò)網(wǎng)絡(luò )中的一臺電腦來(lái)實(shí)現的。防火墻默認情況下,3個(gè)口都不是管理端口,所以我們先要通過(guò)串口把天融信網(wǎng)絡(luò )衛士NGFW4000防火墻與我們的電腦連接起來(lái),給防火墻指定一個(gè)管理端口,以后對防火墻的設置就可以通過(guò)遠程來(lái)實(shí)現了。

  使用一條串口線(xiàn)把電腦的串口(COM1)與NGFW4000防火墻的console口連接起來(lái),啟動(dòng)電腦的超級終端,端口COM1,通信參數設置為每秒位數9600,數據位8,奇偶校驗無(wú),停止位1,數據流控制無(wú)。進(jìn)入超級終端的界面,輸入防火墻的密碼進(jìn)入命令行格式。

  定義管理口:if eth1 XXX.XXX.XXX.XXX 255.255.255.0

  修改管理口的GUI登錄權限: fire client add topsec -t gui -a 外網(wǎng) -i 0.0.0.0-255.255.255.255

 2、使用GUI管理軟件配置防火墻

  安裝天融信防火墻GUI管理軟件TOPSEC集中管理器,并建立NGFW4000管理項目,輸入防火墻管理端口的IP地址與說(shuō)明。然后登錄進(jìn)入管理界面。

 ?。?)定義網(wǎng)絡(luò )區域

  Internet(外網(wǎng)):接在eth0上,缺省訪(fǎng)問(wèn)策略為any(即缺省可讀、可寫(xiě)),日志選項為空,禁止ping、GUI、telnet。

  Intranet(內網(wǎng)):接在eth1上,缺省訪(fǎng)問(wèn)策略為none(不可讀、不可寫(xiě)),日志選項為記錄用戶(hù)命令,允許ping、GUI、telnet。

  DMZ區:接在eth2上, 缺省訪(fǎng)問(wèn)策略為none(不可讀、不可寫(xiě)),日志選項為記錄用戶(hù)命令,禁止ping、GUI、telnet。

 ?。?)定義網(wǎng)絡(luò )對象

  一個(gè)網(wǎng)絡(luò )節點(diǎn)表示某個(gè)區域中的一臺物理機器。它可以作為訪(fǎng)問(wèn)策略中的源和目的,也可以作為通信策略中的源和目的。網(wǎng)絡(luò )節點(diǎn)同時(shí)可以作為地址映射的地址池使用,表示地址映射的實(shí)際機器,詳細描述見(jiàn)通信策略。

全方位講解硬件防火墻的選擇(多圖)(4)
圖6

  子網(wǎng)表示一段連續的IP地址??梢宰鳛椴呗缘脑椿蚰康?,還可以作為NAT的地址池使用。如果子網(wǎng)段中有已經(jīng)被其他部門(mén)使用的IP,為了避免使用三個(gè)子網(wǎng)來(lái)描述技術(shù)部使用的IP地址,可以將這兩個(gè)被其他部門(mén)占用的地址在例外地址中說(shuō)明。

全方位講解硬件防火墻的選擇(多圖)(4)
圖7

  為了配置訪(fǎng)問(wèn)策略,先定義特殊的節點(diǎn)與子網(wǎng):

  FTP_SERVER:代表FTP服務(wù)器,區域=DMZ,IP地址= XXX.XXX.XXX.XXX。

  HTTP_SERVER:代表HTTP服務(wù)器,區域=DMZ,IP地址= XXX.XXX.XXX.XXX。

  MAIL_SERVER:代表郵件服務(wù)器,區域=DMZ,IP地址= XXX.XXX.XXX.XXX。

  V_SERVER:代表外網(wǎng)訪(fǎng)問(wèn)的虛擬服務(wù)器,區域=Internet,IP=防火墻IP地址。

  inside:表示內網(wǎng)上的所有機器,區域=Intranet,起始地址=0.0.0.0,結束地址=255.255.255.255。

  outside:表示外網(wǎng)上的所有機器,區域=Internet,起始地址=0.0.0.0,結束地址=255.255.255.255。

(3)配置訪(fǎng)問(wèn)策略

  在DMZ區域中增加三條訪(fǎng)問(wèn)策略:

  A、訪(fǎng)問(wèn)目的=FTP_SERVER,目的端口=TCP 21。源=inside,訪(fǎng)問(wèn)權限=讀、寫(xiě)。源=outside,訪(fǎng)問(wèn)權限=讀。這條配置表示內網(wǎng)的用戶(hù)可以讀、寫(xiě)FTP服務(wù)器上的文件,而外網(wǎng)的用戶(hù)只能讀文件,不能寫(xiě)文件。

  B、訪(fǎng)問(wèn)目的=HTTP_SERVER,目的端口=TCP 80。源=inside+outside,訪(fǎng)問(wèn)權限=讀、寫(xiě)。這條配置表示內網(wǎng)、外網(wǎng)的用戶(hù)都可以訪(fǎng)問(wèn)HTTP服務(wù)器。

  C、訪(fǎng)問(wèn)目的=MAIL_SERVER,目的端口=TCP 25,TCP 110。源=inside+outside,訪(fǎng)問(wèn)權限=讀、寫(xiě)。這條配置表示內網(wǎng)、外網(wǎng)的用戶(hù)都可以訪(fǎng)問(wèn)MAIL服務(wù)器。

 ?。?)通信策略

  由于內網(wǎng)的機器沒(méi)有合法的IP地址,它們訪(fǎng)問(wèn)外網(wǎng)需要進(jìn)行地址轉換。當內部機器訪(fǎng)問(wèn)外部機器時(shí),可以將其地址轉換為防火墻的地址,也可以轉換成某個(gè)地址池中的地址。增加一條通信策略,目的=outside,源=inside,方式=NAT,目的端口=所有端口。如果需要轉換成某個(gè)地址池中的地址,則必須先在Internet中定義一個(gè)子網(wǎng),地址范圍就是地址池的范圍,然后在通信策略中NAT方式,在地址池類(lèi)型中剛才定義的地址池。

  服務(wù)器也沒(méi)有合法的IP地址,必須依靠防火墻做地址映射來(lái)提供對外服務(wù)。增加通信策略。

  A、目的=V_SERVER,源=outside,通信方式=MAP,指定協(xié)議=TCP,端口映射21->21,目標機器=FTP_SERVER。

  B、目的=V_SERVER,源=outside,通信方式=MAP,指定協(xié)議=TCP,端口映射80->80,目標機器=HTTP_SERVER。

  C、目的=V_SERVER,源=outside,通信方式=MAP,指定協(xié)議=TCP,端口映射25->25,目標機器=MAIL_SERVER。

  D、目的=V_SERVER,源=outside,通信方式=MAP,指定協(xié)議=TCP,端口映射110->110,目標機器=MAIL_SERVER。

 ?。?)特殊端口

  在防火墻默認的端口定義中沒(méi)有我們所要用到的特殊端口,就需要我們手工的添加這些特殊端口了。在防火墻集中管理器中選擇高級管理>特殊對象>特殊端口,將彈出特殊端口的定義界面,點(diǎn)定義新對象,輸入特殊端口號與定義區域即可。

 ?。?)其他配置

  最后進(jìn)入工具選項,定義防火墻的管理員、權限以及與IDS的聯(lián)動(dòng)等。(圖8)

全方位講解硬件防火墻的選擇(多圖)(5)
圖8

  四、防火墻對比

  在了解了防火墻的工作原理及基本配置之后,下面給大家介紹一下NetScreen 208、Cisco PIX 515E、NGFW 4000-S、NetEye 4032這四款市場(chǎng)上最常見(jiàn)的防火墻在基本性能、操作管理與市場(chǎng)價(jià)格上的比較。

防火墻

NetScreen208

CiscoPIX515E

NGFW4000-S

NetEye4032

核心技術(shù)

狀態(tài)檢測

狀態(tài)檢測

核檢測

狀態(tài)檢測

產(chǎn)品類(lèi)型

ASIC

設備

硬件設備

硬件設備

工作模式(路由模式、橋模式、混合模式)

路由模式、橋模式

路由模式、橋模式

路由模式、橋模式、

混合模式

路由模式、橋模式

并發(fā)連接數

130000

130000

600000

300000

網(wǎng)絡(luò )吞吐量

550M

170M

100M

200M

最大支持網(wǎng)絡(luò )接口

8個(gè)

6個(gè)

12個(gè)

8個(gè)

操作系統

ScreenOS

專(zhuān)用操作系統

專(zhuān)用操作系統

專(zhuān)用操作系統

管理方式

串口、CLI、Telnet、Web、GUI

串口、Telnet、Web、GUI

串口、Telnet、Web、GUI

串口、Telnet、GUI

市場(chǎng)報價(jià)

142,000RMB

80,000RMB

138,000RMB

148,000RMB

tcp/ip相關(guān)文章:tcp/ip是什么



上一頁(yè) 1 2 下一頁(yè)

關(guān)鍵詞: 選擇 防火墻 硬件 講解 全方位

評論


相關(guān)推薦

技術(shù)專(zhuān)區

關(guān)閉
国产精品自在自线亚洲|国产精品无圣光一区二区|国产日产欧洲无码视频|久久久一本精品99久久K精品66|欧美人与动牲交片免费播放
<dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><small id="yhprb"></small><dfn id="yhprb"></dfn><small id="yhprb"><delect id="yhprb"></delect></small><small id="yhprb"></small><small id="yhprb"></small> <delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"></dfn><dfn id="yhprb"></dfn><s id="yhprb"><noframes id="yhprb"><small id="yhprb"><dfn id="yhprb"></dfn></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><small id="yhprb"></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn> <small id="yhprb"></small><delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn>