--- # System prepended metadata title: '防火牆 10天 01/30-31 2/1-2,10,14,15' tags: [防火牆] --- {%hackmd @themes/dracula %} ###### tags: `防火牆` # 防火牆 10天 01/30-31 2/1-2,10,14,15 Alpha 星狀架構,Bravo邊際架構 站台 業界定要求30公里的距離,做備援,自然災害的距離 Secutity 一定要有時間地理的區隔 分散式安裝 > 好集中管控 Console 網路連 -> configuration 配置 Smart console -> Policy 政策 原則 soft blade 軟體功能 A-SMS-17 & A-GW-17 & B-GW-17,在BIOS裡面的時間都會晚8小時是正常的,用console ping 連IP會是標準時間。 ==組態控制 比如 硬體 設定主機== ==規則控制(防火牆 路由) 比如 設定軟體== ![](https://i.imgur.com/hZJiUkL.png) ![](https://i.imgur.com/oXQzgRD.jpg) ![](https://i.imgur.com/fnyD5gb.jpg) 分散式安裝 > 好集中管控 Console 網路連 -> configuration 配置 Smart console -> Policy 政策 原則 soft blade 軟刀片 ? :::info 使用VMware workstation 15版本以上 , 下載 防火牆 和 設定客體與主機作業系統之間的時間同步化(免費使用有期限)![](https://i.imgur.com/kwzMZ7j.png) ::: # Alpha site # 新增A-SMS-17 規則服務器 check point軟體![](https://i.imgur.com/SeLvRFB.png) ==A-SMS-17 在這主要任務 Security Managment 安全管理== ``` 用VMware workstation 新開虛擬機 iso Check_Point_R81.10_T335 命名A-SMS-17 4core 8GB 80GB ``` :::spoiler ![](https://i.imgur.com/xeM6YKa.png) ![](https://i.imgur.com/gkEXr0k.png) ![](https://i.imgur.com/YxQl4qQ.png) ![](https://i.imgur.com/v6y213H.png) ::: . ``` 下載Gaia 帳密admin 1qaz@wsx 網路IP10.1.1.101 255.255.255.0 10.1.1.1 ``` :::spoiler ![](https://i.imgur.com/p5GStWw.png) ![](https://i.imgur.com/Hat2puZ.png) ![](https://i.imgur.com/oPj0LOn.png) ::: . 打帳密 成功登入 ![](https://i.imgur.com/DN700mg.png) 把它強制關機,time sync off要關閉 ![](https://i.imgur.com/HvhLQrn.png) 設定客體與主機作業系統之間的時間同步化 開啟A-SMS-17這位置檔案 更改裡面檔案文字![](https://i.imgur.com/2YEBZYt.png) 新增文字 time.synchronize.continue = "FALSE" time.synchronize.restore = "FALSE" time.synchronize.resume.disk = "FALSE" time.synchronize.shrink = "FALSE" time.synchronize.tools.startup = "FALSE" 移除wm上面的A-GW-17,在加進去A-GW-17 登入 show date show time ==開啟韌體中心看時間 更改標準時間== ![](https://i.imgur.com/0YXrzxl.png) ![](https://i.imgur.com/GiQvXxd.png) ==更改順位== ![](https://i.imgur.com/dR4Qmtt.png) ==加入LAN2== ![](https://i.imgur.com/rV9XxKE.png) # 新增 A-GUI-17 W2016 (GUI:圖形使用者介面) ==防火牆設定要經過console== ``` 用VMware workstation 新開虛擬機 關防火牆 掛載iso Windows Server 2016_EN-US.ISO 命名A-GUI-17 4core 8GB 60GB administrator 1qaz@wsx 設定IP 10.1.1.201 255.255.255.0 10.1.1.1 DNS server 指向自己10.1.1.201 安裝VMware tool 改電腦名稱 A-GUI-17 ``` :::spoiler ![](https://i.imgur.com/7YzLSEE.png) ![](https://i.imgur.com/vdXyK3p.png) ![](https://i.imgur.com/pITdcN5.png) ![](https://i.imgur.com/w7NTUhA.png) ![](https://i.imgur.com/xaE6UIs.png) ![](https://i.imgur.com/0GVysZS.png) 先關機,開網路 拿到授權後,關掉網路 ![](https://i.imgur.com/JOipikk.png) ![](https://i.imgur.com/LJRxBvN.png) ::: . ``` 設定客體與主機作業系統之間的時間同步化 開啟A-GUI-17這位置檔案 A-GUI-17.vmx 新增裡面檔案文字 time.synchronize.continue = "FALSE" time.synchronize.restore = "FALSE" time.synchronize.resume.disk = "FALSE" time.synchronize.shrink = "FALSE" time.synchronize.tools.startup = "FALSE" ``` ![](https://i.imgur.com/cTRLfq7.png) ==調整時區 BIOS 和 Hard Drive順序 & W2016 調整時區== :::spoiler ![](https://i.imgur.com/GY9lfDh.png) ![](https://i.imgur.com/6JYSr5A.png) ==W2016 調整時區== ![](https://i.imgur.com/8g7YmsR.png) ::: . ==關機 新增LAN 1-4 ,加入LAN2== ![](https://i.imgur.com/DDsyGyQ.png) ==關掉off ( IE增強安全配置,不關掉會一直跟你確認安全)== ![](https://i.imgur.com/Leee7yZ.png) ![](https://i.imgur.com/KKkyNWr.png) ![](https://i.imgur.com/bf0DiIT.png) ==A-GUI-17 網頁連 https://10.1.1.101 帳密admin 1qaz@wsx 類似console的概念== ![](https://i.imgur.com/WLSWDqp.png) ![](https://i.imgur.com/DR8PAqh.png) ![](https://i.imgur.com/ySm6P0L.png) ![](https://i.imgur.com/TSW2fru.png) ==DNS 指向自己(要看自己的流量)== ![](https://i.imgur.com/Hy8WywE.png) ![](https://i.imgur.com/obe70Ji.png) ==分散式 集中管理 分別安裝Security Managment (安全管理)== ![](https://i.imgur.com/IOmVY6X.png) ==用在smartconsole設定規則 的帳密== ![](https://i.imgur.com/snRQGTR.png) ==設定只能這個IP能登入 10.1.1.201(A-GUI)== ![](https://i.imgur.com/DU0TKJY.png) ==管理規則的伺服器== ==記得誰先登入,後登入者會被鎖起來不能使用,如果後登入其他帳號,會踢掉前一個登入者== ![](https://i.imgur.com/9jDoF6z.png) ![](https://i.imgur.com/JgMouQ9.png) ==訊息設定== ![](https://i.imgur.com/10l0Z2M.png) ![](https://i.imgur.com/OTw0JtT.png) ==新增使用者 admin2== ![](https://i.imgur.com/r9lT14k.png) ## A-GUI-17 打halt關機 和 A-SMS-17關機 做建立snapshot2023/01/30(VM>Snapshot>Take Snapshot) ==新增角色IIS(網際網路資訊服務) +FTP server(實際是要分開管控),新增FTP站台== ![](https://i.imgur.com/MOuXzjq.png) ![](https://i.imgur.com/fcQLuYM.png) ![](https://i.imgur.com/T2nfPQF.png) ![](https://i.imgur.com/WaujbVF.png) ![](https://i.imgur.com/6LpTup5.png) # 新增 A-GW-17 check point軟體![](https://i.imgur.com/SeLvRFB.png) (GW:gateway) ``` 用VMware workstation 新開虛擬機 iso Check_Point_R81.10_T335 命名A-GW-17 4core 8GB 80GB 新增2張網卡都是hostonly ``` :::spoiler ![](https://i.imgur.com/yKBG27o.png) ![](https://i.imgur.com/enIHrvm.png) ![](https://i.imgur.com/nqOorPd.png) ![](https://i.imgur.com/PWV3OPp.png) ![](https://i.imgur.com/9nazvUD.png) ::: . ``` 進入BIOS 查看時間 hard Driver順位排1,是否正確,登入畫面 ``` ![](https://i.imgur.com/T5QhgmG.png) 網卡選第2張(通常第一張是對外) ![](https://i.imgur.com/LlCS29M.png) gateway 先不要填(都連內網) ![](https://i.imgur.com/cmk55lZ.png) ``` 時間同步 找檔案位置A-GW-17 開文字檔 增加文字 time.synchronize.continue = "FALSE" time.synchronize.restore = "FALSE" time.synchronize.resume.disk = "FALSE" time.synchronize.shrink = "FALSE" time.synchronize.tools.startup = "FALSE" ``` ==設定網路卡 eth0 Lan1,eth1 Lan2,eth2 Lan3== ![](https://i.imgur.com/yZMnaDA.png) A-GUI-17 關掉防火牆 互ping IP 是否連的到 10.1.1.101 & 10.1.1.1 ==A-GUI-17 網頁ping 10.1.1.1 (A-GW-17)== ![](https://i.imgur.com/w42CFxa.png) ==10.1.1.201才對== ![](https://i.imgur.com/EyAUqDH.png) ==選擇 Gateway== ![](https://i.imgur.com/jewkvtL.png) ==一次性密碼 1qaz@wsx== ![](https://i.imgur.com/2yLEojx.png) ![](https://i.imgur.com/Z8ftiU3.png) ==設定 網卡 eth0 eth1 eth2== ![](https://i.imgur.com/ppyLxIT.png) ![](https://i.imgur.com/yqvULKY.png) ![](https://i.imgur.com/XNe4Zc6.png) ![](https://i.imgur.com/WBn3KsS.png) 線路回送 ![](https://i.imgur.com/3VA35EO.png) ![](https://i.imgur.com/IS5oc7m.png) ==Ipv4 Static Routes Defaaulte更改gateway 172.22.102.1== ![](https://i.imgur.com/es6u1Dm.png) ![](https://i.imgur.com/hC6gss0.png) ==A-GUI-17 登出 A-GW-17退iso檔 建立snalshot點== # 新增 A-DMZ-17 W2016 ``` 跟 A-GUI-17 安裝方式一樣 4core 8GB 60GB 掛載ISO檔,下載VMware Tool 調整時區 開網路卡 要授權後 關掉網卡 關機,移除ISO檔 加入LAN3 開機調整時間的控制 設定IP 192.0.2.10/24 192.0.2.1 DNS 10.1.1.201 關防火牆 ping 自己 192.0.2.10 改電腦名稱 A-DMZ-17 新增角色功能 IIS & FTP(all) IIS 新增站台 > 新增文字檔 text.txt > 開網頁ftp://192.0.2.10 關機建立Snapshot點 ``` ![](https://i.imgur.com/R68dpGa.png) ![](https://i.imgur.com/CZAL30i.png) 1qaz@wsx ![](https://i.imgur.com/kEdXRmS.png) ![](https://i.imgur.com/XJvavPL.png) ![](https://i.imgur.com/nlLZGx9.png) ![](https://i.imgur.com/9JhoaLu.png) ![](https://i.imgur.com/jD8bFKg.png) ![](https://i.imgur.com/KU9Fizq.png) ![](https://i.imgur.com/mNzeXnD.png) ![](https://i.imgur.com/LTknZng.png) ![](https://i.imgur.com/hsF1ygK.png) ![](https://i.imgur.com/ZuDGQGn.png) ![](https://i.imgur.com/3Dv0krX.png) # 新增 smart console app規則管控 ``` A-GUI-17 web 10.1.1.101 下載smartconsole 登出 ``` ![](https://i.imgur.com/lEkjtVH.png) 之前security management administrator 安全管理管理員 設定的帳密 ![](https://i.imgur.com/EMNARqA.png) fingerpoint 只能使用一次 ![](https://i.imgur.com/i89o62N.png) ![](https://i.imgur.com/z3f251j.png) 只能用退出 exit # Bravo site # 新增 B-GW-17 check point軟體![](https://i.imgur.com/SeLvRFB.png) (GW:gateway) ``` 用VMware workstation 新開虛擬機 做法跟 A-GW-17一樣 iso Check_Point_R81.10_T335 命名B-GW-17 4core 8GB 80GB 新增1張網卡都是hostonly 選擇eth1 帳密 admin 1qaz@wsx 設定IP 10.2.2.1/24 開啟 設定客體與主機作業系統之間的時間同步化 eth0加入LAN1 eth1加入LAN4 ``` ![](https://i.imgur.com/xPtjspi.png) ![](https://i.imgur.com/AdGVr3g.png) ![](https://i.imgur.com/TzduQKb.png) ![](https://i.imgur.com/qOLOUQj.png) ![](https://i.imgur.com/EIL4kxj.png) # 新增 B-GUI-17 ``` 用VMware worksation W10 4core 8GB hostonly 60GB 掛接 W10 ISO 使用者B-GUI-17-User 1qaz@wsx 下載VMware tools 開網卡到NAT 拿授權 後改成hostonly 設定時區 IP 10.2.2.201/24 10.2.2.1 DNS 10.2.2.201 電腦名稱 B-GUI-17 加入LAN4 設定客體與主機作業系統之間的時間同步 關防火牆 ``` ![](https://i.imgur.com/ZHQOgdA.png) ![](https://i.imgur.com/m2X54Ng.png) ==B-GUI-17 網頁web 打10.2.2.1(B-BW-17)== ![](https://i.imgur.com/Kmxv58D.png) DNS 指向 10.1.1.201(A-GUI) ![](https://i.imgur.com/OqA824B.png) ![](https://i.imgur.com/EXki7O2.png) 1qaz@wsx ![](https://i.imgur.com/M4RMxmF.png) ==設定 internet ipv4 static Routes messages eth1換成eth0== ![](https://i.imgur.com/BkNkMq3.png) ![](https://i.imgur.com/UqB2fPg.png) ![](https://i.imgur.com/2UnH5Wo.png) ![](https://i.imgur.com/ACntaOA.png) ![](https://i.imgur.com/MoAo9am.png) ![](https://i.imgur.com/ysMM1Yi.png) ==B-GW-17 要ping的到 10.2.2.201(B-GUI)== ![](https://i.imgur.com/7pj5UF7.png) ==A-GW-17 要ping的到 192.0.2.1(自己),ping 192.0.2.10(A-DMZ-17), ping 10.1.1.1(自己),ping 10.1.1.101(A-SMS-17),ping 10.1.1.201(A-GUI-17)== ![](https://i.imgur.com/ST5tv7U.png) ``` B-GUI-17 & B-GW-17 建立snakshop點 ``` ==新增IIS + FTP server (Win10)== ![](https://i.imgur.com/S2DOkUE.png) # A-GW-17 & B-GW-17 要手動移除規則包 黑名單 (A-GUI-17 才可以ping的到 10.1.1.1 ) ``` # fw stat (防火牆的狀態) # fw unloadlocal (移除規則包,因為POLICY > InitialPolicy,只要沒有新增規則包,重新開機後,還是會回到預設值InitialPolicy, 這樣 A-GUI-17 才可以ping的到10.1.1.1 A-GW-17) ``` ![](https://i.imgur.com/myPyHUg.png) ![](https://i.imgur.com/H66fT3e.png) ``` # show interfaces # show interface eth1 ``` ![](https://i.imgur.com/K7Ef3dr.png) ![](https://i.imgur.com/Wrm2yi4.png) ``` # show route (C:直接連結到) ``` ![](https://i.imgur.com/5SULZlo.png) ``` # netstat -rn 路由器位置和介面 ``` ![](https://i.imgur.com/Y4MPMDa.png) # 專家模式 A-GW-17 & B-GW-17 & A-SMS-17 要建立專家模式 & 儲存組態 ``` 一開始開專家模式 要先設立密碼 1qaz@wsx # set expert-password # save config 儲存組態 # tcpdump -nni eth0 動態網卡流量 ``` ![](https://i.imgur.com/wqh4lyk.png) ![](https://i.imgur.com/43Z8U0I.png) # A-GW-17 新增帳號 joe & jane, B-GW-17 新增帳號 joe2 jane2 ``` # add user joe uid 200 homedir /hime/joe # set user joe newpass 1qaz@wsx 新增密碼 # add rba user joe roles adminRole # show users ``` ![](https://i.imgur.com/TgWx6hq.png) ![](https://i.imgur.com/cDdz4lC.png) ``` 用A-GUI-17 打10.1.1.1(A-GW-17) 連上新增 jane 1qaz@wsx ``` ![](https://i.imgur.com/aPW22Ir.png) # 備份 A-GW-17 & B-GW-17 A-SMS-17 ``` # add backup local ``` ![](https://i.imgur.com/WVqK5rf.png) ## 備份還原 ``` # set backup restore loacl ``` ![](https://i.imgur.com/yaJIKUm.png) # 建立還原點2 命名 組態設定完成 # 規則控制 ![](https://i.imgur.com/wlBsNYH.png) :::info Direct Trust 直接信任 1.one way 2.two way A-SMS-17信任A-GUI-17(因為有埋暗樁)(one way) ::: # SmartConsole 規則控制 ``` A-GUI-17 開啟smartconsole 帳密cpadmin 1qaz@wsx 10.1.1.101 (A-SMS-17) A-SMS-17 一開始設定的改變顏色為磚紅色(業界常用) 發佈 ``` ![](https://i.imgur.com/haBmR7s.png) ![](https://i.imgur.com/neCR3yt.png) # 新增網路物件 Gateway A-GW-17 ``` 新增物件 Gateway > 選擇Classic Mode > 命名 A-GW-17,IP 172.21.101.1,顏色磚紅色,溝通 密碼Trust established > 發布 ``` ![](https://i.imgur.com/U8Dnrei.png) ![](https://i.imgur.com/MNFWlpa.png) ![](https://i.imgur.com/2KqVL0u.png) ``` SIC one time password (如果有問題: 1.連線問題 A-GW-17 ping 10.1.1.1 & 172.21.101.1,A-DUI-17 ping 10.1.1.1是否正常,如果連線順利 那就是one time password的問題。 2.one time password問題 A-GW-17 打#cpconfig > choice 5 > 重新打密碼>打之前編輯的Discard>再重新新增gateway) ``` ![](https://i.imgur.com/cjz7VHi.png) ![](https://i.imgur.com/peh6RQ1.png) ``` A-GW-17 gateway 寫入eth0 eth1 eth2 打描述狀態 > 發布 ``` ![](https://i.imgur.com/4QBCXsB.png) ![](https://i.imgur.com/Nk8l1Hi.png) ![](https://i.imgur.com/jujP91F.png) ![](https://i.imgur.com/NuHPXFl.png) :::info Indirect Trust 間接信任 1.Vertical 3rd Party ::: # 新增網路物件 主機host ``` A-GUI-17 smartconsole 新增主機host 命名A-GUI-17 敘述 IP 10.1.201 顏色水藍色 發布 ``` ![](https://i.imgur.com/2XzmL6M.png) ![](https://i.imgur.com/NViKBsI.png) ![](https://i.imgur.com/jYRjlPm.png) ![](https://i.imgur.com/gZnwodn.png) ``` 新增物件:Network Lan2.IP 10.1.1.0 發佈 (總共有4個物件 A-SMS-17 A-GW-17 host(A-GUI-17) LAN2) ``` ![](https://i.imgur.com/owHwK1i.png) ![](https://i.imgur.com/u6KUWh4.png) ![](https://i.imgur.com/CcPskmn.png) # 防火牆規則 :::info Access Control 防火牆 Policy 規則。預設的規則 第一條Cleanup rule (白名單)放在最後面的規則,越精細放越前面,範圍越小放越前面 ::: ![](https://i.imgur.com/lu8OcFL.png) ``` 新增Policy 新增3個規則 第一個規則 來源A-GUI-17 目的 A-GW-17 https(網頁加密協定) Action:Accecpt(接受動作) Track:log(留下紀錄紀) 第二個規則 來源A-SMS-17 目的 A-GW-17 ssh(是走smartConsole協定) 第三個規則 來源全部人 目的 A-GW-17 Action:Drop(停止,排除在外 除了上面兩條規則,其他都不准過) 發布 ``` ![](https://i.imgur.com/D3aqMAO.png) ![](https://i.imgur.com/GKuc13P.png) ![](https://i.imgur.com/MzuFt3v.png) ``` 新增 規則 定義LAN2網路通過(同意全部可以出去,但不同意其他人進來) 全域設定 > ICMP frist (第一時間接收到訊息)& log lmplied Rules 發佈 ``` ![](https://i.imgur.com/tsQQg5F.png) ![](https://i.imgur.com/QoIWscQ.png) ![](https://i.imgur.com/6APia3w.png) ![](https://i.imgur.com/4njdHD9.png) # 新增規則包 stardrad ``` 先檢視語法是否有錯誤 A-GUI-17 smartconsole新增 規則包 Install Policy 確認 你設定的規則包是否正確(通過gateway的ip) A-GUI-17 ping 192.0.2.1(A-GW-17) ping 192.0.2.10(A-DMZ-17) ping 172.21.101.1(A-GW-17) A-SMS-17 ping 192.0.2.1(A-GW-17) ping 192.0.2.10(A-DMZ-17) A-DMZ ping 10.1.1.1(A-GW-17) ping 10.1.1.101(A-SMS-17) ping 10.1.1.201(A-GUI-17) ``` ![](https://i.imgur.com/GOwpdr4.png) ![](https://i.imgur.com/fqdzSSr.png) ![](https://i.imgur.com/wENMF3F.png) ![](https://i.imgur.com/ZXP7ZPK.png) ![](https://i.imgur.com/X6F21LA.png) # 看流量 ``` A-GUI-17 可以連的到 http://192.0.2.10 ftp://192.0.2.10 (A-DMZ-17) ``` ![](https://i.imgur.com/uBNwiPx.png) ![](https://i.imgur.com/uXNQa7K.png) ``` A-DMZ-17 連不到 http://10.1.1.201 ftp://10.1.1.201 (A-GUI-17) 就要看流量行為紀錄,看為什麼連不到。 ``` ![](https://i.imgur.com/q8iXBUM.png) ![](https://i.imgur.com/x5sIhcI.png) # 新增網路物件 Gateway B-GW-17 ``` A-GUI-17 smartconsole 到 A-SMS-17 新增物件 Gateway > 選擇Classic Mode > one time password 敘述eth0 & eth1的狀態 發佈 ``` ![](https://i.imgur.com/yak2N38.png) ![](https://i.imgur.com/YQpRfnC.png) ![](https://i.imgur.com/ml8kRaT.png) ![](https://i.imgur.com/3yi8hAv.png) ![](https://i.imgur.com/Attfo7q.png) ![](https://i.imgur.com/Aq8qnXT.png) ## 新增Policy 命名 Bravo_standard ``` ``` ![](https://i.imgur.com/QG8t4hO.png) ![](https://i.imgur.com/bTYlmIC.png) ``` 直接copy Standard的規則做修改 ``` ![](https://i.imgur.com/ZA5hxY1.png) ![](https://i.imgur.com/HyCfZk6.png) ![](https://i.imgur.com/Rytz0FE.png) ## 新增Policy A-B_Combine ![](https://i.imgur.com/3UL2s6v.png) ![](https://i.imgur.com/a7obDsw.png) ## 新增New Network 命名 Bravo-internal ![](https://i.imgur.com/wCgDxep.png) ![](https://i.imgur.com/ElbkCrj.png) ![](https://i.imgur.com/OdvDurp.png) ``` 新增標題 Management Rules-Traffic 1-4 Management Rules-Gateway 5-7 Traffic Rules-Alpha Site 8-9 Traffic Rules_Bravo Site 10-11 Disable Rules 12-14 ClearUp Rules 15 ``` ![](https://i.imgur.com/zeUSsRc.png) ``` Global properties > 新增 Accept ICMP requests & log lmplied Rules 發佈 > Intall Policy ``` ![](https://i.imgur.com/s26QXLs.png) ![](https://i.imgur.com/M7cOQPO.png) ![](https://i.imgur.com/y7dg2bH.png) ``` 以上規則設定完 A-GUI-17 要ping B-GUI-17的到http & ftp B-GUI-17 要ping A-GUI-17的到http & ftp A-DMZ-17 只能ping A-GUI-17的到http & ftp,ping不到B-GUI-17 http & ftp ``` 2023.2.14 防火牆虛擬機時間 & windows虛擬機時間2/4 ## 新增 host 命名 A-DMZ-17 ``` A-GUI-17 smartconsole 10.1.1.101 新增 host 命名 A-DMZ-17 IP 192.0.2.10 顏色水藍色 > 發布 ``` ![](https://i.imgur.com/YAfxB36.png) ## 新增 Neteork 命名 Alpha-DMZ ``` 新增 Neteork 命名 Alpha-DMZ > 發布 設定完後 A-DMZ-17 就可以連到B-GUI-17 http & ftp ``` ![](https://i.imgur.com/pqtKXc5.png) ``` A-B_Combine 新增規則 命名 Web Traffic-DMZ 調整 Alpha Incoming Rule 改成http Bravo Incoming Rule 改成ftp ``` ![](https://i.imgur.com/7hY96o0.png) ![](https://i.imgur.com/wfxwipE.png) ## NAT 用NAT原因:不想給外網的人知道真實IP,造成資安隱患,所以要設一個假IP給外網連,連到邊界,自己會轉成真實IP連到內網。 Extranet:廠商外部連入,非內網;位於內部,也非外網 藏網段裡與藏FW裡 用NAT將A-DMZ藏起來 NAT會將封包檔頭的Src與Dst位子換掉 ``` A-DMZ-17 新增 NAT > Static(靜態) 172.21.101.10 (新增假位置,是給A-GW-17看的) NAT 內容 ``` ![](https://i.imgur.com/DAeBkWt.png) ![](https://i.imgur.com/VtBqm0d.png) ## 新增Policy 命名A-B_Combine_NAT ``` 把之前設定過的A-B_Combine 給Clone(複製) 命名A-B_Combine_NAT 調整規則 Alpha Outgoing Traffic rute 新增 A-DMZ-17 發布 > Insrall Policy 檢查A-GW-17 & B-GW-17 #fw stat 看policy 是不是 A-B_Combine_NAT A-GW-17 & B-GW-17 ping 172.21.101.10(假IP)是否連線成功 A-GW-17 & B-GW-17 打http://172.21.101.10(假IP,會連到是因為有NAT轉成192.0.2.10) & ftp://172.21.101.10 都是否成功連上 ``` ![](https://i.imgur.com/5NXvDuv.png) ![](https://i.imgur.com/UQmjNKw.png) ![](https://i.imgur.com/K8utIE7.png) ``` A-SMS-17 設定NAT Static靜態 設172.21.101.101(假IP) Gateway >A-GW-17 Alpha-internal 設定NAT Hide 設172.21.101.77 (假IP) Gateway >A-GW-17 發布 > Verify Access Control policy > install policy B-GW-17 ping 172.21.101.101 看log A-SMS-17(172.21.101.101) 由外網連 ``` ![](https://i.imgur.com/HwETN1x.png) ![](https://i.imgur.com/9mYVWvV.png) ![](https://i.imgur.com/tXRY38l.png) ![](https://i.imgur.com/WxK3tE1.png) ![](https://i.imgur.com/oBtpRj7.png) ![](https://i.imgur.com/xBY3WTh.png) ``` A-GUI-17 ping 10.2.2.201(B-GUI-17) 看log A-GUI-17 連到 10.2.2.201 會過防火牆A-GW-17 NAT會轉成172.21.101.77給外面看的假IP ``` ![](https://i.imgur.com/WpCoTw5.png) ## 新增使用者帳號 客戶端驗證 ``` 新增user 命名 Testuser,顏色紅色,驗證方式check point password 1qaz@wsx 新增usergroup 命名 Client_auth ``` ![](https://i.imgur.com/9erK9iS.png) ![](https://i.imgur.com/IFNrd6w.png) ![](https://i.imgur.com/ADpGyeV.png) ![](https://i.imgur.com/7ypN6qD.png) ![](https://i.imgur.com/zc3cCFH.png) ## 新增規則 命名A-B_Combine_NAT_Tel(clone A-B_Combine_NAT) ``` 新增規則 Policy 命名 Client Auth Rule 命名 Telent Auth Rule 新增規則 命名A-B_Combine_NAT_Tel(clone A-B_Combine_NAT) 發布> verify policy > install policy ``` ![](https://i.imgur.com/x2vjDM2.png) ![](https://i.imgur.com/Nu1VXRL.png) ![](https://i.imgur.com/SNvnFKw.png) ![](https://i.imgur.com/OVuWFfX.png) ``` B-GUI-17 新增 Telnet cmd > telent ping 172.21.101.1 259, 259port沒開 查看B-GW與A-GW都正常未擋, 明天接著查看服務端口 ``` ![](https://i.imgur.com/hChBsTb.png) ![](https://i.imgur.com/xphJazE.png) ![](https://i.imgur.com/lsMhfuL.png) 2023.2.15 防火牆虛擬機時間 & windows虛擬機時間2/5 ## 新增 identify Awareness ``` A-GW-17 新增 identify Awareness ``` ![](https://i.imgur.com/DRjq6Ie.png) ![](https://i.imgur.com/wY8dr9e.png) ![](https://i.imgur.com/o0RBOJf.png) ![](https://i.imgur.com/YqHfCHr.png) ## 新增 Aceess Role ``` ``` ![](https://i.imgur.com/CFCQ0pA.png) ![](https://i.imgur.com/ggi5FMs.png) ![](https://i.imgur.com/9avnirq.png) ``` Disable Web Traffic-DMZ(之前的規則) 新增規則 在 Traffic Rules - Alpha Site 命名 Web Traffic-Restricted 13 Alpha Outgoing Traffic rute 刪掉A-DMZ-17 發布>Verify policy>install policy ``` ![](https://i.imgur.com/NppDL7i.png) ![](https://i.imgur.com/MPYjn7d.png) ``` A-GUI-17 先刪除瀏覽的歷史紀錄 連 192.0.2.10 會自動轉載到 172.21.101.1/connect,之後連就會直接進去 ``` ![](https://i.imgur.com/nnLF36R.png) ![](https://i.imgur.com/FDoolOy.png) ## 新增Policy 命名A-B_Combine_NAT_Tel_VPN ``` 新增Policy > 命名A-B_Combine_NAT_Tel_VPN(clone A-B_Combine_NAT_Tel) 調整 Web Traffic-Restricted > Disable 調整 Web Traffic-DMZ enable 調整 Alpha Outgoing Traffic rute > 加A-DMZ-17 發布 > verify policy > install policy ``` ![](https://i.imgur.com/bcgmF2e.png) ## 新增 VPN 虛擬私人網路 ![](https://i.imgur.com/g9F5NEG.png) ==Site to Site 站對站,A-GW-17為主站== ``` A-GW-17 新增IPSecVPN,VPN Domain> Alpha-internal B-GW-17 新增IPSecVPN,VPN Domain> Bravo-internal ``` ![](https://i.imgur.com/Y0LaIC9.png) ![](https://i.imgur.com/FEeInDY.png) ![](https://i.imgur.com/dteQQx8.png) ``` 新增 VPN communities(VPN公共)> 星狀結構 命名 Alpha-Bravo-Star, Center Gateway > A-GW-17 Satellite Gateway > B-GW-17 Advanced > Disable NAT ``` ![](https://i.imgur.com/a1sTHhT.png) ![](https://i.imgur.com/wye3LSm.png) ![](https://i.imgur.com/fDsUV84.png) ![](https://i.imgur.com/DXX9qxF.png) ![](https://i.imgur.com/GQYQ7X6.png) ``` 新增 policy 命名 VPN Traffic Rules 新增 title 命名 VPN Rules 發布 > verify policy > install policy ``` ![](https://i.imgur.com/zEWa8Uw.png) ![](https://i.imgur.com/vHPEsxR.png) ## putty ``` 把putty加到 B-GW-17,開putty ssh 10.1.1.101 admin 1qaz@wsx 開wireshark 去看封包 濾TCP,看三向交握 ``` ![](https://i.imgur.com/Cab2lFE.png) ![](https://i.imgur.com/FyHvQ6O.png) ![](https://i.imgur.com/JlRNEKO.png) ``` A-GW-17 #vpn tu 打7(刪除GW) > 172.22.102.1(B-GW-17) # 1 (沒有資料) ``` ![](https://i.imgur.com/QUGAcX2.png) ![](https://i.imgur.com/R6eDPpH.png) ``` B-GUI-17 putty 10.1.1.101(A-SMS-17),這樣就會重新連線,取得資訊 A-GW-17 #vpn # 1 (就會有資料) ``` ![](https://i.imgur.com/peakPN7.png)