2016计算机网络技术实验实训教程：实验八防火墙对象定义配置01.docVIP

计算机网络技术实验实训教程 实验八 防火墙对象定义配置 实验名称：防火墙对象定义配置。 实验目的：介绍RG-WALL 60 防火墙对象定义的配置。 技术原理：为简化防火墙安全规则的维护工作，引入了对象定义，可以定义以下对象： （1）地址：地址列表、地址组、服务器地址、NAT 地址池 （2）服务：服务列表、服务组 （3）时间：时间列表、时间组 （4）连接限制：保护主机、保护服务、限制主机、限制服务 （5）带宽：带宽列表 （6）URL 列表：黑名单、白名单 实现功能：熟悉防火墙对象定义的操作，简化防火墙安全规则的维护工作。 实验设备：RG-WALL60一台，PC一台，控制线或交叉线一根。 实验拓朴： 实验步骤： 1. 对象定义通用功能介绍 对于各项对象，操作基本相同，通常提供如下操作： （1） 分页显示 各列表界面均有“分页功能”，其工具条通常位于表格的下方，如下图所示： （2） 查找 为便于查找已经定义过的对象，各列表界面均提供了查找功能，通常位于标题和列表之间，靠右排 列。如下图所示： （3） 排序 在列表的标题部分， 有两种不同格式的字体， 如图所示，加下划线的（如），表示可以进行排序，没有加下划线的（如）则不能进行排序。用鼠标点击（如）则进行排序，升序降序交替进行，如前一次为升序排序，则下一次为降序排序。通常按照字符串顺序进行排序（如、），如果为数字项，则按数字大小进行排序。 （4） 添加对象 （5） 编辑对象（修改） （6） 删除对象 还有一些需要注意的地方，适用于所有的规则，比如：名称的限制、备注 2. 地址 在定义安全规则之前，最好按照一定的原则（比如：按部门、按人员等）定义一些地址，这样，当部门或者人员的IP 地址发生变化时，只需在本列表中更新即可，无需再修改安全规则了。 在“对象定义地址”中，定义了三种不同用途的地址： （1）地址列表、地址组：用于“安全策略安全规则”中的源地址和目的地址，“用户认证用户列表”和“用户认证用户组”中的安全策略。 （2）服务器地址：用于“安全策略安全规则”中的内部地址。 （3）NAT 地址池：用于“安全策略安全规则”中的源地址转换。 2.1. 地址地址列表 地址用于“安全策略安全规则”、“用户认证用户列表”和“用户认证用户组”。 单击添加 可以按两种方式来定义地址：（1）IP 地址/掩码；（2）地址范围IP1－IP2 2.2. 地址地址组 地址组用于“安全策略安全规则”、“用户认证用户列表”和“用户认证用户组”。地址组的成员只能为“对象定义地址地址列表”中已经定义过的地址。 单击添加 2.3. 地址服务器地址 在“ 安全策略 安全规则” 中的中， 使用的将用到这里定义的“服务器地址”。主要用于反向NAT（端口映射、IP 映射）中对受保护的服务器的负载均衡。 单击添加 多台服务器对外提供同一服务时，根据这里设置的权重实现访问流量的负载均衡。权重必须和IP 地址一一对应。数字越大，则权重越高。例：服务器A（IP 地址：3）权重为60，服务器B（IP 地址：4）权重为20，则服务器A 接受到的流量为服务器B 接受流量的3 倍。 2.4. 地址NAT 地址池 在“安全策略安全规则”的中，使用的将用到这里定义的“NAT 地址池”。 单击添加 3. 服务 服务用于： （1）“安全策略”下的：包过滤规则、NAT 规则、端口映射规则 （2）“用户认证”下的：用户、用户组在“对象定义服务”中，定义了三种服务： （a）基本服务：可以“协议 + 源端口 + 目的端口”； （b）ICMP 服务：可指定type 和code； （c）动态服务：目前支持H323、FTP、SQLNET 三种动态协议。 （3）服务组：上述三种服务的任意组合。 3.1. 服务服务列表 在标题和列表之间，最左侧有一个下拉框（如图所示： ）点击以后，列表中将只显示出属于该类的所有服务。在此下拉框中，选中不同类型的服务，点击，弹出的界面略有不同。 3.2. 服务服务组 服务组用于“安全策略安全规则”和“用户认证用户组”。服务组的成员可以是“对象定义服务服务列表”中已经定义过的基本服务、动态服务和ICMP服务。 单击添加 2 Console com1 网口 NIC