信息安全防护4.2_网络安全设备_防火墙路由模式_试题及答案

要求实现：安装配置好防火墙，配置成路由模式。

拓扑如下：

具体要求如下：

1、防火墙工作在路由模式。

2、内部主机，内部服务器系统，外部网络形成严格的3个区域（内网，，DMZ区域）；

3、内网口对应防火墙eth1，口对应防火墙eth2，DMZ区域对应防火墙eth3； 

4、在各个区域之间实施严格的访问控制，保障系统安全；

5、防火墙内网口IP地址为192.168.0.1/24，eth1接口直接与内网主机相连；DMZ区IP地址为172.31.0.10/16，eth3接口直接与WEB服务器相连；口IP地址为210.156.169.10/25，eth2接口与桌面网口（如A1-1）连接，通过交换机与相连；缺省网关IP地址为210.156.169.1/25。

6、WEB服务器地址172.31.0.12/16，默认网关指向172.31.0.10。

7、内网主机地址192.168.0.12/24，默认网关指向192.168.0.1。

8、对外服务器系统通过DNAT对外提供服务，内网访问外部网络通过SNAT实现。

答案及评分标准

参如下：

1、配置本机IP地址为192.168.1.2/24，通过网线将本机和设备接口0连接，打开浏览器连接设备。

2、以admin帐号登录防火墙。

3．进入设备配置页面。(1分)

 4．进入“网络设置》接口”分别编辑接口eth1、eth2、eth3，为其配置IP。eth1设为内网口，IP地址为192.168.0.1/24；eth2设为口，IP地址为210.156.169.10/25；eth3设为DMZ区，IP地址为172.31.0.10/16。配置完毕后点击右上角图标保存配置。(2分)

5.进入“网络设置》NAT》NAT地址池”点击“新建”。添加用于源地址转换的IP地址，一般是口的IP地址。添加用于目的地址转换后真正提供服务的IP。如果有多个IP也可以添加。添加完毕后点击提交，并保存。(1分)

6．进入“对象管理》地址对象》地址节点”点击“新建”，建立两个子网：内网（192.168.0.0/24）和DMZ区（172.31.0.0/16），提交完成后保存配置。建立两个主机：web服务器（210.156.169.10），web_server(172.31.0.12)提交完成后保存配置。(2分)

7．进入“网络设置》NAT》NAT规则”点击“新建”，建立源地址转换和目的地址转换的规则。内网访问使用源地址转换，访问DMZ区使用目的地址转换。

源地址转换中源地址选择“内网”，目的地址、服务选择“any”，出接口选择口“eth2”，转换后的地址选择刚才配置到地址池中的NAT地址。

    目的地址转换中的源地址选择“any”，目的地址选择我们允许外界看到的服务器的地址，通常就是口的地址，这里是新建的地址对象中的“web服务器”，服务选择“http”，入接口选择口“eth2”，转换后的地址选真正的服务器地址“web－server”，若转换后端口变化可以填入转换后的端口。点击提交并保存配置。(3分)

8．进入“网络设置》基本配置缺省网关”点击“新建”添加网关。提交并保存。(1分)

9．进入“防火墙》安全策略”点击“新建”添加安全策略。允许内网访问，允许访问DMZ区的http服务。添加参数完毕后，启用策略并保存。(2分)

10．将配置有内网IP的主机连接到eth1，访问www.baidu.com，若成功登录则表示源地址转换配置成功。将配有IP的主机连接到eth2，访问210.156.169.10,如果可以打开网页则表示目的地址转换配置成功。(3分)