【正文】 高級(jí)管理 → 通信策略 → 增加 MAP映射。在高級(jí)管理 → 網(wǎng)絡(luò)對(duì)象 → SSN→ 為一個(gè)節(jié)點(diǎn) B。 目的： ＝ MAP= 》 　 　　　　 　　 DMZ 區(qū)Intra 內(nèi)網(wǎng)Web FTP(節(jié)點(diǎn) B)虛口地址（節(jié)點(diǎn) A)：Inter 外網(wǎng)防火墻MAP映射測(cè)試結(jié)構(gòu) STEP1:按如圖所示，以 。當(dāng) 具體應(yīng)用 時(shí)，因外網(wǎng)不能直接訪問到內(nèi)網(wǎng)私有地址的服務(wù)器，在外網(wǎng)主機(jī)訪問內(nèi)網(wǎng)服務(wù)器時(shí)就需先訪問外網(wǎng) IP地址，再通過 MAP訪問內(nèi)網(wǎng)服務(wù)器。原理說明 ：只能針對(duì) 節(jié)點(diǎn) （主機(jī)）對(duì) 節(jié)點(diǎn) （主機(jī)）進(jìn)行 MAP 。則可以說虛口地址已映射為對(duì)方計(jì)算機(jī) IP.通過地址映射后，訪問虛口地址即實(shí)際 轉(zhuǎn)向訪問 到節(jié)點(diǎn) B. 如訪問虛口地址上的網(wǎng)站即訪問節(jié)點(diǎn) B的 WEB.STEP6: 高級(jí)管理 → 通信策略 把剛才做的 MAP策略，指定協(xié)議改為 TCP , 映射方式改為 端口映射 ：80 端口 → 80端口。 認(rèn) 真按以下步 驟 操作，可參照后面參考案例MAP測(cè)試過程測(cè)試過程STEP5: 進(jìn)行 MAP測(cè)試 ， 本機(jī)訪問虛口地址。STEP4: 在高級(jí)管理 → 通信策略 → 增加 MAP映射。Ping 虛口 IP地址 , 檢查能否連接該地址。STEP2: 在高級(jí)管理 → 網(wǎng)絡(luò)對(duì)象 → 本區(qū)域內(nèi) → 增加 STEP1所做的虛口地址為一個(gè)節(jié)點(diǎn) A。說明 ：增加一個(gè)虛口地址做映射地址。透明網(wǎng)絡(luò)測(cè)試透明網(wǎng)絡(luò)測(cè)試不同區(qū)域任意兩個(gè)主機(jī)之間都可配合按以下步驟操作。STEP4: 刪除所有建立的透明網(wǎng)絡(luò)，測(cè)試能否連通其他區(qū)域主機(jī)。在網(wǎng)絡(luò)對(duì)象中重新按以上 IP在本區(qū)域建立本機(jī)節(jié)點(diǎn)，在訪問策略中，增加本機(jī)（策略源）可以 訪問 其他區(qū)域內(nèi)某一主機(jī)（策略目的）的權(quán)限。說明 ：增加本區(qū)域和要進(jìn)行透明網(wǎng)絡(luò)測(cè)試的區(qū)域。（ 三層交換 作用）了解防火墻的三種接入模式了解防火墻的三種接入模式 模式（網(wǎng)絡(luò)）? 路由模式路由模式透明網(wǎng)絡(luò)結(jié)構(gòu)透明網(wǎng)絡(luò)結(jié)構(gòu)　　 DMZ 區(qū)Intra 內(nèi)網(wǎng)Web FTPInter 外網(wǎng) 防火墻透明網(wǎng)絡(luò)測(cè)試結(jié)構(gòu)STEP1: 按上圖設(shè)置主機(jī) IP (注意 可不設(shè)網(wǎng)關(guān) )，用 TOPSEC集中管理器重新登陸到本區(qū)域端口地址。 下半部份二 、通過防火墻透明模式測(cè)試區(qū)域網(wǎng)絡(luò)的訪問控制：說明：防火墻 透明模式 可以讓 同一網(wǎng)段 在 不同區(qū)域 的主機(jī)進(jìn)行通信。 8）通過包過濾策略，禁止本機(jī)訪問 INTERNET,策略服務(wù)為TCP:80(HTTP服務(wù) )，測(cè)試能否連入互聯(lián)網(wǎng)。注意： 定義關(guān)鍵字不需要加 * ，過濾關(guān)鍵字即 過濾含有關(guān)鍵字的網(wǎng)頁 。（不需選擇關(guān)鍵字） 6）在高級(jí)管理 → 特殊對(duì)象 → 關(guān)鍵字 → 定義關(guān)鍵字 7）訪問策略 → INTERNET區(qū)域 → 增加 HTTP策略， 允許 某一網(wǎng)站訪問，但禁止關(guān)鍵字訪問。 5）訪問策略 → INTERNET區(qū)域 → 增加 HTTP策略 ，禁止某一網(wǎng)站 。 DNS服務(wù)器 IP： STEP8: 通過 HTTP過濾策略 , 過濾網(wǎng)站和過濾網(wǎng)頁 .4) 在高級(jí)管理 → 特殊對(duì)象 → URL→ 定義新對(duì)象 ，輸入任一網(wǎng)址，注意格式要求。 3）再建立一個(gè)通信策略（ NAT方式 ），本機(jī)做為策略源， INTERNET區(qū)域作為策略目的。思考 : NAT是作為 源 IP地址轉(zhuǎn)換 ， NAT在整個(gè)轉(zhuǎn)換過程中所起到的作用 ?通信策略通信策略STEP7: 設(shè)置 NAT（ 網(wǎng)絡(luò)地址轉(zhuǎn)換 ）方式NAT 在互聯(lián)網(wǎng)的應(yīng)用? 隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)? 內(nèi)部網(wǎng)絡(luò)可以使用私有 IP地址NAT原理－源地址轉(zhuǎn)換原理－源地址轉(zhuǎn)換網(wǎng)關(guān)： Intra:Inter:報(bào)頭 數(shù)據(jù)源地址： 目的地址： 報(bào)頭 數(shù)據(jù)源地址： 目的地址： NAT轉(zhuǎn)換的數(shù)據(jù)包經(jīng)過 NAT轉(zhuǎn)換后，源地址成為 　　 DMZ 區(qū)Intra 內(nèi)網(wǎng)Web FTPInter 互聯(lián)網(wǎng)網(wǎng)關(guān)： 網(wǎng)關(guān)： 互聯(lián)網(wǎng)過濾互聯(lián)網(wǎng)過濾1）首先把防火墻 INTERNET區(qū)域端口接入到華迪實(shí)訓(xùn)公司 INTERNET網(wǎng)絡(luò)線路。NAT都是 單向訪問 ，內(nèi)網(wǎng)需要網(wǎng)關(guān)路由到外網(wǎng)，而外網(wǎng)不需路由到內(nèi)網(wǎng)。 5） 本機(jī)刪除網(wǎng)關(guān)后，讓對(duì)方主機(jī)增加網(wǎng)關(guān)，反過來再增加訪問策略和NAT進(jìn)行測(cè)試。 3) 進(jìn)入 ‘高級(jí)管理 ’→‘ 通信策略 ’→ 增加本機(jī)（策略源）到該目標(biāo)主機(jī)（策略目的）的通訊策略，通信方式選擇 NAT方式。 1）把需要測(cè)試的目標(biāo)主機(jī)操作系統(tǒng)中 網(wǎng)關(guān)地址 (在網(wǎng)絡(luò)屬性中設(shè)置 ) 刪除。在目標(biāo)主機(jī)無網(wǎng)關(guān)（路由）的情況下，通過 NAT方式進(jìn)行訪問。? 防止反向連接 ,對(duì)由內(nèi)到外的連接也要注意端口防護(hù)。? 策略規(guī)則應(yīng)盡量 簡(jiǎn)化 ，策略太多容易雜亂，不便管理，影響防火墻效率。? 為了安全需要，防火墻最好只能一個(gè)管理員進(jìn)行配置，有其他人設(shè)置時(shí)要有日志記錄便于管理審計(jì)。 訪問控制測(cè)試訪問控制測(cè)試企業(yè)防火墻設(shè)置注意要點(diǎn)：企業(yè)防火墻設(shè)置注意要點(diǎn)：? 防火墻是企業(yè)安全的關(guān)鍵中樞，企業(yè)安全管理實(shí)施需要通過運(yùn)用防火墻 訪問策略 來實(shí)現(xiàn)。 可以通過策略的優(yōu)先級(jí)，把范圍小的策略優(yōu)先級(jí)設(shè)置為高于范圍大的策略，能夠有效控制不同區(qū)域之間的訪問對(duì)象和策略服務(wù)。 7）根據(jù)需要， 自行定義 策略，設(shè)置權(quán)限。 (6) 在 ‘網(wǎng)絡(luò) ’→‘ 區(qū)域 ’，設(shè)置所有區(qū)域缺省權(quán)限為允許，再建立一個(gè)訪問策略，禁止 PING對(duì)方某一主機(jī)的訪問策略。更改兩個(gè)策略的優(yōu)先級(jí)，通過 PING 對(duì)方主機(jī)測(cè)試連通性，訪問對(duì)方主機(jī)其他端口（如共享方式）進(jìn)行測(cè)試。更改兩個(gè)策略的優(yōu)先級(jí)，通過 PING 對(duì)方主機(jī)測(cè)試連通性。 (2) 設(shè)置兩個(gè)策略，一個(gè)策略為本機(jī)訪問其他 整個(gè)區(qū)域 的策略，另一個(gè)策略為本機(jī)禁止訪問 其他區(qū)域內(nèi)某一個(gè)主機(jī) 的策略，更改兩個(gè)策略的優(yōu)先級(jí)，通過 PING 對(duì)方區(qū)域內(nèi)主機(jī)測(cè)試連通性。訪問控制測(cè)試訪問控制測(cè)試STEP6: 通過 策略范圍 來控制主機(jī)訪問權(quán)限(1)設(shè)置兩個(gè)策略，一個(gè)策略為設(shè)置本機(jī)訪問其他區(qū)域某一主機(jī)