【文章內(nèi)容簡介】 控制只能選擇 “允許 ”,不能選擇禁止。 8）通過包過濾策略，禁止本機訪問 INTERNET,策略服務(wù)為TCP:80(HTTP服務(wù) )，測試能否連入互聯(lián)網(wǎng)。9) PING 某一網(wǎng)站域名 (網(wǎng)址），記住其 IP地址，通過訪問策略禁止本機PING此 IP地址。 下半部份二 、通過防火墻透明模式測試區(qū)域網(wǎng)絡(luò)的訪問控制：說明：防火墻 透明模式 可以讓 同一網(wǎng)段 在 不同區(qū)域 的主機進行通信。 （相當(dāng)于 二層交換 ）而 路由模式 可以讓 不同網(wǎng)段 在 不同區(qū)域 通過防火墻端口 IP地址路由進行通信。（ 三層交換 作用）了解防火墻的三種接入模式了解防火墻的三種接入模式 模式（網(wǎng)絡(luò)）? 路由模式路由模式透明網(wǎng)絡(luò)結(jié)構(gòu)透明網(wǎng)絡(luò)結(jié)構(gòu)　　 DMZ 區(qū)Intra 內(nèi)網(wǎng)Web FTPInter 外網(wǎng) 防火墻透明網(wǎng)絡(luò)測試結(jié)構(gòu)STEP1: 按上圖設(shè)置主機 IP (注意 可不設(shè)網(wǎng)關(guān) )，用 TOPSEC集中管理器重新登陸到本區(qū)域端口地址。在高級管理 → 特殊對象 → 透明網(wǎng)絡(luò) → 增加 透明網(wǎng)絡(luò) ，選擇 “INTERNET區(qū)域 ” “INTRANET,SSN 。說明 ：增加本區(qū)域和要進行透明網(wǎng)絡(luò)測試的區(qū)域。STEP2: 在網(wǎng)絡(luò) → 區(qū)域 → 設(shè)置三個區(qū)域為 禁止訪問 。在網(wǎng)絡(luò)對象中重新按以上 IP在本區(qū)域建立本機節(jié)點，在訪問策略中，增加本機（策略源）可以 訪問 其他區(qū)域內(nèi)某一主機（策略目的）的權(quán)限。STEP3:測試能否 PING通其他區(qū)域的主機。STEP4: 刪除所有建立的透明網(wǎng)絡(luò)，測試能否連通其他區(qū)域主機。 STEP5: 在網(wǎng)絡(luò) → 區(qū)域 → 設(shè)置三個區(qū)域為 允許訪問 ，建立 禁止 訪問其他區(qū)域主機的訪問策略，測試連通性。透明網(wǎng)絡(luò)測試透明網(wǎng)絡(luò)測試不同區(qū)域任意兩個主機之間都可配合按以下步驟操作。 三、三、 MAP映射操作步驟映射操作步驟　　 DMZ 區(qū)Intra 內(nèi)網(wǎng)Web FTPInter 外網(wǎng)網(wǎng)關(guān)： 網(wǎng)關(guān)： 網(wǎng)關(guān)： （本實驗可選）MAP端口（地址）映射 在互聯(lián)網(wǎng)的應(yīng)用MAP也稱為反向 NATSTEP1:在網(wǎng)絡(luò) → 區(qū)域 → 本主機所在區(qū)域 → 虛口設(shè)置 → 設(shè)置虛口 IP地址 增加本區(qū)域同一網(wǎng)段的虛口 IP地址，注意不要跟其他地址沖突。說明 ：增加一個虛口地址做映射地址。建立 MAP映射后， IP地址將會完全代替被映射的主機 IP,為了使 MAP后 “TOPSEC集中管理器 ”能連到防火墻原防火墻 IP地址，所以增加一個虛口地址來做為 MAP映射的 IP地址。STEP2: 在高級管理 → 網(wǎng)絡(luò)對象 → 本區(qū)域內(nèi) → 增加 STEP1所做的虛口地址為一個節(jié)點 A。在高級管理 → 網(wǎng)絡(luò)對象 → 對方區(qū)域內(nèi) → 增加對方主機為一個節(jié)點 B。Ping 虛口 IP地址 , 檢查能否連接該地址。STEP3: 在高級管理 → 訪問策略 → 對方區(qū)域內(nèi) → 增加本機訪問對方主機的訪問策略 , 策略服務(wù)設(shè)為任何服務(wù)。STEP4: 在高級管理 → 通信策略 → 增加 MAP映射。策略源 為本機所在區(qū)域名， 策略目的 為節(jié)點 A(即虛口地址） ,通信方式：MAP,目標(biāo)機器 為對方主機節(jié)點 B， 訪問目標(biāo)的源 為節(jié)點 A(即虛口地址）。 認(rèn) 真按以下步 驟 操作，可參照后面參考案例MAP測試過程測試過程STEP5: 進行 MAP測試 ， 本機訪問虛口地址。可以通過 ‘ PING － a 虛口 IP ’的方式查找計算機名，如能解析出對方計算機名。則可以說虛口地址已映射為對方計算機 IP.通過地址映射后，訪問虛口地址即實際 轉(zhuǎn)向訪問 到節(jié)點 B. 如訪問虛口地址上的網(wǎng)站即訪問節(jié)點 B的 WEB.STEP6: 高級管理 → 通信策略 把剛才做的 MAP策略，指定協(xié)議改為 TCP , 映射方式改為 端口映射 ：80 端口 → 80端口。 （如果是 WEB,為 80，如為 FTP,端口為 21) 對方的 IIS配置好，訪問對方 WEB。原理說明 ：只能針對 節(jié)點 （主機）對 節(jié)點 （主機）進行 MAP 。通過這種方式，互聯(lián)網(wǎng)上主機可不需路由（網(wǎng)關(guān)）到企業(yè)內(nèi)網(wǎng)。當(dāng) 具體應(yīng)用 時，因外網(wǎng)不能直接訪問到內(nèi)網(wǎng)私有地址的服務(wù)器，在外網(wǎng)主機訪問內(nèi)網(wǎng)服務(wù)器時就需先訪問外網(wǎng) IP地址，再通過 MAP訪問內(nèi)網(wǎng)服務(wù)器。 MAP是目的地址轉(zhuǎn)換，經(jīng) MAP轉(zhuǎn)換后 IP轉(zhuǎn)換為防火墻另一區(qū)域的目標(biāo)主機 IP . MAP映射參考案例映射參考案例從 Inter 區(qū)域向 SSN 區(qū)域做映射。 目的： ＝ MAP= 》 　 　　　　 　　 DMZ 區(qū)Intra 內(nèi)網(wǎng)Web FTP(節(jié)點 B)虛口地址（節(jié)點 A)：Inter 外網(wǎng)防火墻MAP映射測試結(jié)構(gòu) STEP1:按如圖所示，以 。在網(wǎng)絡(luò) → 區(qū)域 → INTERNET區(qū)域 → 虛口設(shè)置 → 設(shè)置虛口地址 .STEP2: 在高級管理 → 網(wǎng)絡(luò)對象 → INTERNET→ 增加虛口地址為一個節(jié)點 A。在高級管理 → 網(wǎng)絡(luò)對象 → SSN→ 為一個節(jié)點 B。STEP3: 在高級管理 → 訪問策略 → SSN→ 增加 INTERNET訪問 的訪問策略。STEP4:在高級管理 → 通信策略 → 增加 MAP映射。策略源為 INTERNET區(qū)域，策略目的為節(jié)點 A(即虛口地址） ,通信方式：MAP,目標(biāo)機器為節(jié)點 B，訪問目標(biāo)的源為節(jié)點 A(即虛口地址）。說明 ：本區(qū)域虛口地址映射到目標(biāo)區(qū)域內(nèi)主機。STEP5:Inter內(nèi)一主機訪問虛口地址。通過地址映射后，訪問虛口地址即實際轉(zhuǎn)向訪問到節(jié)點 B. 如訪問虛口地址上的 Web即訪問節(jié)點 B的 Web.網(wǎng)關(guān)： Intra:Inter:報頭 數(shù)據(jù)源地址 ： 目的地址： 報頭 數(shù)據(jù)源地址 ： 目的地址 ： MAP映射MAP映射原理－目的地址轉(zhuǎn)換映射原理－目的地址轉(zhuǎn)換的數(shù)據(jù)包經(jīng)過 MAP映射后，目的地址成為 案例應(yīng)用綜合測試：案例應(yīng)用綜合測試： 某公司根據(jù)網(wǎng)絡(luò)安全需要，要求做到以下幾點： 允許內(nèi)網(wǎng)所有主機訪問互聯(lián)網(wǎng) ,但不能訪問 ,不能訪問有 “游戲 ”關(guān)鍵字的網(wǎng)頁。 禁止 SSN主機訪問互聯(lián)網(wǎng)。 禁止內(nèi)網(wǎng)訪問除 SSN區(qū)域的主機。 外網(wǎng)建立虛