某科技公司防火墙配置与管理设计

杭州继保南瑞电子科技有限公司防火墙配置与管理

摘要：防火墙是指一种将内部网络和外部网络分开的方法，实际上是一种隔离控制技术。在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问，也可以阻止保密信息从受保护网络上被非法输出。通过限制与网络或某一特定区域的通信，以达到防止非法用户侵犯受保护网络的目的。防火墙是在两个网络通讯时执行的一种访问控制尺度，它对两个网络之问传输的数据包和连接方式按照一定的安全策略对其进行检查，来决定网络之问的通信是否被允许：其中被保护的网络称为内部网络，未保护的网络称为外部网络或公用网络。应用防火墙时，首先要明确防火墙的缺省策略，是接受还是拒绝。

关键词：防火墙；NAT；VPN；ACL；DMZ

目录

杭州继保南瑞电子科技有限公司4

防火墙配置与管理4

摘要：防火墙是指一种将内部网络和外部网络分开的方法，实际上是一种隔离4

关键词：防火墙；NAT；VPN；ACL；DMZ4

一、引言4

二、公司简介6

三、 需求分析6

五、IP 地址规划8

H3C S5130HI 系列交换机是 H3C 公司自主开发的三层千兆以太网交换机产品，9

H3C S5130-HI 系列交换机支持 EAD（终端准入控制）功能，配合后台系统可9

H3C SecPath M9000 系列全面支持攻击防范、抗 DDoS、访问控制、安全域划10

七、 技术介绍10

（一）DMZ10

（二）VPN10

（三）NAT10

（四）ACL11

八、 项目实施11

（一）DMZ 区域配置及结果测试11

一、防火墙基本配置12

二、内网和外网之间的配置13

四、外网和 DMZ 之间的配置18

（二）VPN 配置20

二、分公司防火墙配置23

三、总公司访问分公司的测试结果24

一、内网通过 NAT 转化访问外网26

二、内外网通过 NAT 访问 DMZ 区28

（1）在接口 Ethernet 0/3 进行 DMZ 外网地址的 NAT 转换，如图八-55 所示28

（2）内网用服务器外网地址访问测试结果，如图八-56 所示29

（3）在接口 Ethernet 0/1 进行 DMZ 外网地址的 NAT 转换，如图八-57 所示29

（4）外网用服务器外网地址访问测试结果，如图八-58 所示29

（5）查看 NAT 会话表，如图八-59 所示30

（四）ACL 配置与结果测试30

一、防火墙和交换机基本配置31

（1）定义基本 ACL 2000，允许所有内网用户通过，如图八-61 所示31

（2）交换机配置默认路由，如图八-62 所示31

（3）交换机配置指向外网的静态路由，如图八-63 所示31

（4）查看交换机的路由表，如图八-64 所示31

（5）防火墙配置默认路由，如图八-65 所示32

（6）防火墙配置静态路由，如图八-66 所示32

（7）查看防火墙的路由表，如图八-67 所示32

二、研发中心 ACL 访问策略配置32

（1）配置 ASPF 策略 1，如图八-68 所示32

三、生产中心、行政中心 ACL 访问策略配置34

四、禁止所有部门访问淘宝网、天猫网等购物网站36

五、禁止所有部门上网搜索电影、小说等关键字38

源。所示39

九、结束语40

十、参考文献41