清華同方紫荊頓防火牆橋模式的配置
如果有一個已經建成的網絡系統,我們不希望對系統和網絡結構進行任何修改,而又需要防火牆對內部服務器進行保護,可以將NETST防火牆配置爲橋模式,可以不改變原來的網絡架構,完全透明地實現防火牆功能。
連接及登錄
箱內提供一條DB9到DB9連接線與防火牆console口相連並開啓防火牆,使用Windows2000自帶的仿真終端連接NetST®防火牆(其他Windows平臺操作類似)。
設置連接串口
終端控制檯登錄界面
橋模式配置
將防火牆的外網口接到外部交換機,內網口接到內部交換機或服務器上,
配置橋模式命令如下:admin@Netst>modify if internal e0 命名網口屬性E0口爲內網口
admin@Netst>modify if external e1 命名網口屬性E1口爲外網口
admin@Netst>modify if dmz e2 命名網口屬性E2口爲DMZ網口
admin@Netst>modify if admin e3 命名網口屬性E2口爲Admin管理網口
admin@Netst>stop fw 停止防火牆運行
admin@Netst>set mode bridge 設置爲橋模式
admin@Netst>add bridge brif0 E0 E1 把E0 E1 口進行橋接並創建brif0 接口
admin@Netst>set bridge brif0 192.168.0.11/24 設置橋接的管理IP地址,到這裏設置橋接就算完成了。
我們可以通過admin@Netst>show bridge 命令查看到橋接口的狀態如下:
admin@FW# show br
Bridge Status STP IP_addr Comp_if_name_list
BRIF0 ENABLE ON 192.168.0.11/24 E0-E1
BRIF1 DISABLE ON 0.0.0.0/0 NONE
BRIF2 DISABLE ON 0.0.0.0/0 NONE
BRIF3 DISABLE ON 0.0.0.0/0 NONE
BRIF4 DISABLE ON 0.0.0.0/0 NONE
BRIF5 DISABLE ON 0.0.0.0/0 NONE
BRIF6 DISABLE ON 0.0.0.0/0 NONE
BRIF7 DISABLE ON 0.0.0.0/0 NONE
BRIF8 DISABLE ON 0.0.0.0/0 NONE
BRIF9 DISABLE ON 0.0.0.0/0 NONE
BRIF10 DISABLE ON 0.0.0.0/0 NONE
BRIF11 DISABLE ON 0.0.0.0/0 NONE
BRIF12 DISABLE ON 0.0.0.0/0 NONE
BRIF13 DISABLE ON 0.0.0.0/0 NONE
BRIF14 DISABLE ON 0.0.0.0/0 NONE
BRIF15 DISABLE ON 0.0.0.0/0 NONE
配置防火牆規則
配置防火牆規則我們也可以使用自帶的NetST管理控制檯軟件來實現,在連接控制檯之前要在命令終端對防火牆進行配置一下具體如下:
admin@FW# set nms 設置管理控制檯
Enter Local IP address(xxx.xxx.xxx.xxx): 192.168.0.25 設置本地網絡管理工作站的IP地址,
Enter alert Port: 9999 設置報警端口號
Enter Java login fail number(1-255): 3 設置Java管理控制檯最大失敗登錄次數
Enter Remote 1 IP address(xxx.xxx.xxx.xxx):設置第一遠程管理電腦的IP地址
Enter Remote 2 IP address(xxx.xxx.xxx.xxx):設置第二遠程管理電腦的IP地址
Enter Remote 3 IP address(xxx.xxx.xxx.xxx):設置第三遠程管理電腦的IP地址
Use default SSL cert(yes-y,no-n): n 設置SSL連接是否使用缺省證書
Enter GUI_auth_type(text,otp,cr): text 設置Java認證類型
Set NMS success!
使用show nms 命令查看此命令用於顯示網絡管理工作站參數,顯示本地網絡管理工作站的IP地址(數字點分格式)、本地報警端口號、Java管理控制檯登錄的失敗次數限制值、3臺遠程工作站的IP地址、是否在建立SSL連接時使用缺省的防火牆自帶證書和JAVA管理控制檯登錄防火牆時的認證方式。
admin@FW# show nms
Local NMS IP : 192.168.0.25
Local alert Port : 9999
Java login fail number: 3
Remote 1 NMS IP : 0.0.0.0
Remote 2 NMS IP : 0.0.0.0
Remote 3 NMS IP : 0.0.0.0
Use default SSL Cert : NO
Authentication type : TEXT
admin@FW#
然後在管理工作站上安裝管理控制檯軟件,完成以上配置我們就可以使用管理控制檯連接防火牆了。
首次使用需添加防火牆並配置選項如圖:右鍵設備列表選着“添加防火牆”選項,並填寫IP地址及相關安全認證設置如圖:
完成上述設置後點擊新建的防火牆後會彈出登錄框,輸入用戶名和密碼後就可進入防火牆進行配置了。
用戶可根據自身網絡環境的特點及需求來 定義網絡訪問規則及其它安全選項,這裏就不在闡述了。
所有配置完成後啓動防火牆引擎就可接入到網絡中使用了,啓動防火牆操作建議在命令終端下執行,命令爲:“start firewall”我們可以使用“show status” 命令對啓動狀態進行查看。
admin@FW# show status
防火牆引擎 = ON
日誌服務器 = OFF
UFP服務器 = OFF
Java代理服務器= ON
內容過濾服務器= ON
用戶登錄服務器= ON
日誌文件大小 = 6608 字節
CPU使用率 = 0.9%
內存使用率 = 32.5%
串口速率 = 38400 bps
遠程JAVA管理 = 0
本地JAVA管理 = 1
注:如不想定義詳細安全訪問規則,可將安全選項清空,就可實現互相通信了,前提在防火牆停止運行狀態下執行,先用命令stop firewall 停止,然後再執行delall toggle 命令刪除所有安全選項。爲此本人也走了不少彎路,這裏提出來望對需要的人有所幫助。首次開博有不足之處還望大家多多包涵 !