【文章內(nèi)容簡(jiǎn)介】 控制只能選擇 “允許 ”,不能選擇禁止。 8）通過(guò)包過(guò)濾策略，禁止本機(jī)訪問(wèn) INTERNET,策略服務(wù)為T(mén)CP:80(HTTP服務(wù) )，測(cè)試能否連入互聯(lián)網(wǎng)。9) PING 某一網(wǎng)站域名 (網(wǎng)址），記住其 IP地址，通過(guò)訪問(wèn)策略禁止本機(jī)PING此 IP地址。 下半部份二 、通過(guò)防火墻透明模式測(cè)試區(qū)域網(wǎng)絡(luò)的訪問(wèn)控制：說(shuō)明：防火墻 透明模式 可以讓 同一網(wǎng)段 在 不同區(qū)域 的主機(jī)進(jìn)行通信。 （相當(dāng)于 二層交換 ）而 路由模式 可以讓 不同網(wǎng)段 在 不同區(qū)域 通過(guò)防火墻端口 IP地址路由進(jìn)行通信。（ 三層交換 作用）了解防火墻的三種接入模式了解防火墻的三種接入模式 模式（網(wǎng)絡(luò)）? 路由模式路由模式透明網(wǎng)絡(luò)結(jié)構(gòu)透明網(wǎng)絡(luò)結(jié)構(gòu)　　 DMZ 區(qū)Intra 內(nèi)網(wǎng)Web FTPInter 外網(wǎng) 防火墻透明網(wǎng)絡(luò)測(cè)試結(jié)構(gòu)STEP1: 按上圖設(shè)置主機(jī) IP (注意 可不設(shè)網(wǎng)關(guān) )，用 TOPSEC集中管理器重新登陸到本區(qū)域端口地址。在高級(jí)管理 → 特殊對(duì)象 → 透明網(wǎng)絡(luò) → 增加 透明網(wǎng)絡(luò) ，選擇 “INTERNET區(qū)域 ” “INTRANET,SSN 。說(shuō)明 ：增加本區(qū)域和要進(jìn)行透明網(wǎng)絡(luò)測(cè)試的區(qū)域。STEP2: 在網(wǎng)絡(luò) → 區(qū)域 → 設(shè)置三個(gè)區(qū)域?yàn)?禁止訪問(wèn) 。在網(wǎng)絡(luò)對(duì)象中重新按以上 IP在本區(qū)域建立本機(jī)節(jié)點(diǎn)，在訪問(wèn)策略中，增加本機(jī)（策略源）可以 訪問(wèn) 其他區(qū)域內(nèi)某一主機(jī)（策略目的）的權(quán)限。STEP3:測(cè)試能否 PING通其他區(qū)域的主機(jī)。STEP4: 刪除所有建立的透明網(wǎng)絡(luò)，測(cè)試能否連通其他區(qū)域主機(jī)。 STEP5: 在網(wǎng)絡(luò) → 區(qū)域 → 設(shè)置三個(gè)區(qū)域?yàn)?允許訪問(wèn) ，建立 禁止 訪問(wèn)其他區(qū)域主機(jī)的訪問(wèn)策略，測(cè)試連通性。透明網(wǎng)絡(luò)測(cè)試透明網(wǎng)絡(luò)測(cè)試不同區(qū)域任意兩個(gè)主機(jī)之間都可配合按以下步驟操作。 三、三、 MAP映射操作步驟映射操作步驟　　 DMZ 區(qū)Intra 內(nèi)網(wǎng)Web FTPInter 外網(wǎng)網(wǎng)關(guān)： 網(wǎng)關(guān)： 網(wǎng)關(guān)： （本實(shí)驗(yàn)可選）MAP端口（地址）映射 在互聯(lián)網(wǎng)的應(yīng)用MAP也稱為反向 NATSTEP1:在網(wǎng)絡(luò) → 區(qū)域 → 本主機(jī)所在區(qū)域 → 虛口設(shè)置 → 設(shè)置虛口 IP地址 增加本區(qū)域同一網(wǎng)段的虛口 IP地址，注意不要跟其他地址沖突。說(shuō)明 ：增加一個(gè)虛口地址做映射地址。建立 MAP映射后， IP地址將會(huì)完全代替被映射的主機(jī) IP,為了使 MAP后 “TOPSEC集中管理器 ”能連到防火墻原防火墻 IP地址，所以增加一個(gè)虛口地址來(lái)做為 MAP映射的 IP地址。STEP2: 在高級(jí)管理 → 網(wǎng)絡(luò)對(duì)象 → 本區(qū)域內(nèi) → 增加 STEP1所做的虛口地址為一個(gè)節(jié)點(diǎn) A。在高級(jí)管理 → 網(wǎng)絡(luò)對(duì)象 → 對(duì)方區(qū)域內(nèi) → 增加對(duì)方主機(jī)為一個(gè)節(jié)點(diǎn) B。Ping 虛口 IP地址 , 檢查能否連接該地址。STEP3: 在高級(jí)管理 → 訪問(wèn)策略 → 對(duì)方區(qū)域內(nèi) → 增加本機(jī)訪問(wèn)對(duì)方主機(jī)的訪問(wèn)策略 , 策略服務(wù)設(shè)為任何服務(wù)。STEP4: 在高級(jí)管理 → 通信策略 → 增加 MAP映射。策略源 為本機(jī)所在區(qū)域名， 策略目的 為節(jié)點(diǎn) A(即虛口地址） ,通信方式：MAP,目標(biāo)機(jī)器 為對(duì)方主機(jī)節(jié)點(diǎn) B， 訪問(wèn)目標(biāo)的源 為節(jié)點(diǎn) A(即虛口地址）。 認(rèn) 真按以下步 驟 操作，可參照后面參考案例MAP測(cè)試過(guò)程測(cè)試過(guò)程STEP5: 進(jìn)行 MAP測(cè)試 ， 本機(jī)訪問(wèn)虛口地址?？梢酝ㄟ^(guò) ‘ PING － a 虛口 IP ’的方式查找計(jì)算機(jī)名，如能解析出對(duì)方計(jì)算機(jī)名。則可以說(shuō)虛口地址已映射為對(duì)方計(jì)算機(jī) IP.通過(guò)地址映射后，訪問(wèn)虛口地址即實(shí)際 轉(zhuǎn)向訪問(wèn) 到節(jié)點(diǎn) B. 如訪問(wèn)虛口地址上的網(wǎng)站即訪問(wèn)節(jié)點(diǎn) B的 WEB.STEP6: 高級(jí)管理 → 通信策略 把剛才做的 MAP策略，指定協(xié)議改為 TCP , 映射方式改為 端口映射 ：80 端口 → 80端口。 （如果是 WEB,為 80，如為 FTP,端口為 21) 對(duì)方的 IIS配置好，訪問(wèn)對(duì)方 WEB。原理說(shuō)明 ：只能針對(duì) 節(jié)點(diǎn) （主機(jī)）對(duì) 節(jié)點(diǎn) （主機(jī)）進(jìn)行 MAP 。通過(guò)這種方式，互聯(lián)網(wǎng)上主機(jī)可不需路由（網(wǎng)關(guān)）到企業(yè)內(nèi)網(wǎng)。當(dāng) 具體應(yīng)用 時(shí)，因外網(wǎng)不能直接訪問(wèn)到內(nèi)網(wǎng)私有地址的服務(wù)器，在外網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)服務(wù)器時(shí)就需先訪問(wèn)外網(wǎng) IP地址，再通過(guò) MAP訪問(wèn)內(nèi)網(wǎng)服務(wù)器。 MAP是目的地址轉(zhuǎn)換，經(jīng) MAP轉(zhuǎn)換后 IP轉(zhuǎn)換為防火墻另一區(qū)域的目標(biāo)主機(jī) IP . MAP映射參考案例映射參考案例從 Inter 區(qū)域向 SSN 區(qū)域做映射。 目的： ＝ MAP= 》 　 　　　　 　　 DMZ 區(qū)Intra 內(nèi)網(wǎng)Web FTP(節(jié)點(diǎn) B)虛口地址（節(jié)點(diǎn) A)：Inter 外網(wǎng)防火墻MAP映射測(cè)試結(jié)構(gòu) STEP1:按如圖所示，以 。在網(wǎng)絡(luò) → 區(qū)域 → INTERNET區(qū)域 → 虛口設(shè)置 → 設(shè)置虛口地址 .STEP2: 在高級(jí)管理 → 網(wǎng)絡(luò)對(duì)象 → INTERNET→ 增加虛口地址為一個(gè)節(jié)點(diǎn) A。在高級(jí)管理 → 網(wǎng)絡(luò)對(duì)象 → SSN→ 為一個(gè)節(jié)點(diǎn) B。STEP3: 在高級(jí)管理 → 訪問(wèn)策略 → SSN→ 增加 INTERNET訪問(wèn) 的訪問(wèn)策略。STEP4:在高級(jí)管理 → 通信策略 → 增加 MAP映射。策略源為 INTERNET區(qū)域，策略目的為節(jié)點(diǎn) A(即虛口地址） ,通信方式：MAP,目標(biāo)機(jī)器為節(jié)點(diǎn) B，訪問(wèn)目標(biāo)的源為節(jié)點(diǎn) A(即虛口地址）。說(shuō)明 ：本區(qū)域虛口地址映射到目標(biāo)區(qū)域內(nèi)主機(jī)。STEP5:Inter內(nèi)一主機(jī)訪問(wèn)虛口地址。通過(guò)地址映射后，訪問(wèn)虛口地址即實(shí)際轉(zhuǎn)向訪問(wèn)到節(jié)點(diǎn) B. 如訪問(wèn)虛口地址上的 Web即訪問(wèn)節(jié)點(diǎn) B的 Web.網(wǎng)關(guān)： Intra:Inter:報(bào)頭 數(shù)據(jù)源地址 ： 目的地址： 報(bào)頭 數(shù)據(jù)源地址 ： 目的地址 ： MAP映射MAP映射原理－目的地址轉(zhuǎn)換映射原理－目的地址轉(zhuǎn)換的數(shù)據(jù)包經(jīng)過(guò) MAP映射后，目的地址成為 案例應(yīng)用綜合測(cè)試：案例應(yīng)用綜合測(cè)試： 某公司根據(jù)網(wǎng)絡(luò)安全需要，要求做到以下幾點(diǎn)： 允許內(nèi)網(wǎng)所有主機(jī)訪問(wèn)互聯(lián)網(wǎng) ,但不能訪問(wèn) ,不能訪問(wèn)有 “游戲 ”關(guān)鍵字的網(wǎng)頁(yè)。 禁止 SSN主機(jī)訪問(wèn)互聯(lián)網(wǎng)。 禁止內(nèi)網(wǎng)訪問(wèn)除 SSN區(qū)域的主機(jī)。 外網(wǎng)建立虛