防火墙三种模式(路由模式、混合模式、VPN模式)配置实例VIP免费

案例1：路由模式下通过专线访问外网用户需求：1、内网的机器可以任意访问外网，也可访问SSN中的邮件服务器和FTP服务器；2、外网和SSN的机器不能访问内网；3、允许外网主机访问SSN的HTTP服务器。网络状况：网络划分为三个区域：外网、内网和SSN。总公司的网络卫士防火墙工作在路由模式。Eth0属于内网区域，IP为192.168.1.20。Eth1属于外网区域，IP为202.69.38.8；Eth2属于SSN区域，IP为172.16.1.1；内网中存在3个子网，分别为192.168.1.0/24，192.168.2.0/24，192.168.3.0/24。管理员位于内网中在SSN中有三台服务器，一台是HTTP服务器（IP地址：172.16.1.2），一台是FTP服务器（IP地址：172.16.1.3），一台是邮件服务器（IP地址：172.16.1.4）。配置步骤：1)为网络卫士防火墙的物理接口配置IP地址进入NETWORK组件：topsec#network配置Eth0接口IP：topsec.network#interfaceeth0ipadd192.168.1.20mask255.255.255.0配置Eth1接口IP：topsec.network#interfaceeth1ipadd202.69.38.8mask255.255.255.0配置Eth2接口IP：topsec.network#interfaceeth2ipadd172.16.1.1mask255.255.255.02）内网中管理员通过浏览器登录网络卫士防火墙，为区域资源绑定属性，设置权限设置内网：绑定属性为“Eth0”，权限选择为禁止。设置外网：绑定属性为“Eth1”，权限选择为允许。1设置SSN：绑定属性为“Eth2”，权限选择为禁止。3)定义地址资源定义HTTP服务器：主机名称设为HTTP_SERVER，IP为172.16.1.2。定义FTP服务器：主机名称设为FTP_SERVER，IP为172.16.1.3。定义邮件服务器：主机名称设为MAIL_SERVER，IP为172.16.1.4。定义虚拟HTTP服务器：主机名称设为V_SERVER，IP为202.69.38.10。4)定义访问规则a.允许内网用户访问HTTP服务器：源区域选择“内网”；目的区域选择“SSN”，目的地址选择“HTTP_SERVER”；服务选择“HTTP”；访问权限选择“允许”，并启用该规则。b.允许内网用户访问邮件服务器源区域选择“内网”；目的区域选择“SSN”，目的地址选择“MAIL_SERVER”；服务选择“POP3”，“SMTP”；访问权限选择“允许”，并启用该规则。c.允许内网用户访问FTP服务器源区域选择“内网”；目的区域选择“SSN”，目的地址选择“FTP_SERVER”；服务选择“FTP”；访问权限选择“允许”，并启用该规则。d.允许外网用户访问HTTP服务器源区域选择“外网”；目的区域选择“SSN”，目的地址选择“HTTP_SERVER”；服务选择“HTTP”；访问权限选择“允许”，并启用该规则。5）定义地址转换规则a.内网用户通过源地址转换访问外网：转换控制选择“源转换”；源区域选择“内网”；目的区域选择“外网”；服务不选，表示全部服务；源地址转换为“eth1”。b.外网用户通过目的地址转换访问HTTP服务器转换控制选择“目的转换”；源区域选择“外网”；目的区域选择“SSN”，目的地址选择“V_SERVER”；服务选择“HTTP”；目的地址转换为“HTTP_SERVER”。6）定义路由a.为内网用户访问Internet添加缺省路由:目的地址设为“0.0.0.0”；网关地址设为“202.69.38.9”。b.添加回指路由，为发往内网的数据包指定路由目的地址设为“192.168.0.0”；网关地址设为“192.168.1.10”2案例2：混合模式下通过ADSL拨号访问外网用户需求：1、防火墙通过ADSL拨号获取eth1的公网IP地址。2、外网的机器不能访问VLAN-1与VLAN-2；外网的机器可以访问VLAN-33、VLAN-1内的机器可以任意访问外网（NAT方式）4、VLAN-2和VLAN-3内的机器禁止访问外网，允许VLAN-2访问VLAN-3。网络状况：分公司的网络卫士防火墙工作在混合模式。Eth1为路由接口，属于外网区域，通过路由器与外部网络及ISP相连（该接口由ADSL拨号获取公网IP）；Eth0和Eth2均为交换接口，Eth0工作在Trunk方式下，Eth2工作在Access方式下；Eth0下连接着2个VLAN，VLAN-1和VLAN-2；Eth2下连接着1个VLAN，VLAN-3。VLAN-1的IP为192.168.10.1/24；VLAN-2的IP为192.168.25.1/24；VLAN-3的IP为192.168.95.1/24。管理主机位于VLAN-1内。配置步骤：1）通过CONSOLE口登录网络卫士防火墙，配置基本信息a.进入network组件:topsec#network添加VLAN-1:topsec.network#vlanaddid1b.配置VLAN-1的管理IPt...