练习配置培训手册.pptx

WatchGuardLab WatchGuard Technologies, Inc Update Memo Date Author Remark 2007-02-25 James Added version control page Create some exercise cases, P4 to P21 2007-02-28 James Added MSN and QQ application at ”NAT-2” Added NAT – 6 (DMZ) at P9 Added special URL filter at “Proxy-HTTP” Modified “VPN-HubSpoke”, add notes Modified “Management” Lab 实验题目 基础 高级 使用QuickSetup 配置Multi-WAN NAT在实际环境中的应用 配置VLAN 配置HTTP Proxy 配置Site to Site VPN 配置SMTP Proxy 配置Hub Spoke VPN 配置FTP Proxy 配置HA 配置IPS防止IM/P2P的应用 配置SNMP协议 配置时间管理 如何使用集中化WMS管理 配置带宽管理 配置使用用户认证 配置MUVPN NAT – 1 要求： 内部PC可以访问Internet 由FBX作NAT FBX外口可根据情况使用静态、动态获得IP的方法 /24 NAT – 2 要求： 内部PC可以访问Internet 设置安全策略，仅允许如下协议通过FBX DNS FTP HTTP HTTPS SMTP POP3 ICMP MSN (TCP 1863/80/443) QQ (UDP 8000/TCP 80) 由FBX作NAT FBX外口可根据情况使用静态、动态获得IP的方法 DNS, FTP HTTP, HTTPS SMTP, POP3 ICMP, MSN, QQ /24 NAT – 3 要求： 内部PC可以访问Internet 由FBX作NAT FBX外口使用静态获得IP的方法 内部PC按需要分3个地址组，每个组包含10个IP地址，这3个组分别使用3个IP地址作为NAT的源地址 其余IP地址使用FBX外口IP地址上网 /24 Exp:/24 NAT1:1/24 NAT2:2/24 NAT3:3/24 NAT – 4 (Static NAT) 要求： 内部PC可以访问Internet 由FBX作NAT FBX外口使用静态获得IP的方法 对内部主机作端口映射策略，允许外部用户访问指定的主机 主机IP：/24 映射IP：/24 映射端口：80 /24 Exp:/24 PAT :80 to :80 NAT – 5 (1-to-1 NAT) 要求： 内部PC可以访问Internet 由FBX作NAT FBX外口使用静态获得IP的方法 对内部主机作1-to-1的NAT，允许外部用户访问指定的主机的可用服务 主机IP：/24 映射IP：/24 服务：HTTP、SMTP /24 Exp:/24 1-to-1 NAT to NAT – 6 (DMZ) 要求： 内部PC可以访问Internet 由FBX作NAT FBX外口使用静态获得IP的方法 配置Optional接口，连接服务器 对DMZ服务器作端口映射 主机IP：/24 映射IP：/24 服务：HTTP、SMTP 内网访问DMZ服务器 可以访问：HTTP、SMTP、POP3、DNS、RMD 结果 从外网可以访问服务器； 从内网可以访问服务器； /24 Exp:/24 PAT to Proxy – HTTP 要求： 内部PC可以访问Internet 由FBX作NAT FBX外口可根据情况使用静态、动态获得IP的方法 允许PDF、office系列文件、RAR、Zip文件传输 禁止为exe、com、dll、pif、sav扩展名的文件传输 访问URL控制 禁止任何含“sex”的URL 指定某URL地址不可访问 AV Scan /24 Proxy – SMTP 要求： 内部PC可以访问Internet 由FBX作NAT FBX外口可根据情况使用静态、动态获得IP的方法 允许PDF、office系列文件、RAR、Zip文件传输 禁止为exe、com、dll、pif、sav扩展名的文件传输 禁止邮件收件人大于20人 AV Scan /24 SMTP Server Proxy – FTP 要求： 内部PC可以访问Internet 由FBX作NAT FBX外口可根据情况使用静态、动态获得IP的方法 允许PDF、office系列文件、RAR、Zip文件传输 禁止为exe、com、dll、pif、sav扩展名的文件传输 /24 FTP Serv