172.30.15.6
Internet
192.168.0.5
Lan5:2.2.2.10 Lan1:192.168.0.1 192.168.0.6
Typical topology used for configuring the Corporate Amaranten for Pre-share keys VPN
试验十：用户可以提供1个可用的 IP地址
试验十一：用户无法提供可用的 IP地址
第九章节 混合模式
混合模式
总体描叙： 网络中存在两类IP 地址。一种是公网IP。一种是私有IP,因 此需要将防火墙工作在透明和路由/NAT 模式下。
防火墙模式混合拓扑图
internet
172.16.20.20
EXT: 172.16.20.140 INT: 172.30.15.1
EXT
All-nets
DMZ
compaq
Http-in
规则说明
第四条规则 内部区域连接到INTERNET经过 NAT 模式。 第六条规则 DMZ 区域连接到INTERNET 经过透明模式。
接口模式混合拓扑图
GW : 172.16.20.20
Internet
EXT:172.16.20.200
firewall
IP:172.16.3.2 对应的
MAC:0800.0020.32323232
IP:172.16.3.1 M来自C: 0800.0020.1111
IP:172.16.3.2 MAC: 0800.0020.2222
IP:172.16.3.1 对应的
MAC:0800.0020.41141414
IP:172.16.2.2 MAC:0800.0200.3333
DMZ: 172.16.20.205
WWW服务器
172.30.15.0/24
混合模式（一）
防火墙模式混合 Ext <------> DMZ 透明 INT --------> EXT NAT DMZ <------> INT 路由
主机和网络
路由
Use Local IP
过滤规则
Any_Allow_DMZ
int-net 192.168.123.0/24
定义主机和网络
增加相应的主机和网络
第一条，第二条定义防火墙内口的ip地址以及广播地址 第三条，第四条定义防火墙外口的ip地址以及广播地址 第五条定义内网网段 第六条定义管理网段 第七条定义默认网关
192.168.123.2 192.168.123.255 192.168.123.3 192.168.123.255
IP:172.16.3.2 对应的
MAC:0800.0020.2222
IP: 172.16.3.2 = ???
IP: 172.16.3.2 Ethernet: 0800.0020.2222
Map IP Local ARP
MAC
IP:172.16.3.1 对应的
MAC:0800.0020.1111
透明接入原理
DMZ
制定过滤规则
增加相应的过滤规则
第一条规则删除了所有NetBIOS 数据包 第二条规则允许管理网络上的所有主机向防火墙发送ICMP echo request(Ping)数据包 第三条规则允许内部网络上的主机和Internet上的主机进行通讯 第四条规则删除所有的数据包并对其进行记录
试验九：用户可以提供2个可用的 IP地址
INT:192.168.0.1 INT:172.16.20.149
192.168.0.0/24
172.16.20.150—172.16.20.170
混合模式（二）
端口模式混合 Ext <------> INT 即做透明又做地址翻译。 内网和外网即有公网IP .又有私有IP.这就是所谓的端口模式 混合。
1.在内网的公网IP 经过透明出去。(双向) 2.在内网的私有IP 经过NAT 出去. (单向)
主机和网络
接口模式混合
ARP绑定
路由
gateway
过滤规则
试验十二：防火墙混合模式 试验十三：接口混合模式
第十章节: 预共享密钥式的VPN
配置Pre-share VPN 隧道
172.30.15.5 Lan1:172.30.15.1 Lan5: 1.1.1.10
IP:172.16.2.1 MAC:0800.0200.4444
ARP Proxy
IP:172.16.3.3
配置防火墙－简单 示例
194.1.2.1
Internet
gw-world 192.168.123.1
194.1.2.1
Internet
gw-world 192.168.123.1
int-net 192.168.123.0/24
路由器一端那些不知道已经划分了子网的主机试图直接将数据发送 给目标主机，而目标主机位于路由器的另外一侧，源主机发出一个 ARP 请求来查询目标主机的MAC 地址，我们知道，目标主机不会 做出响应，因为它根本不会收到请求信息，所以通信就无法完成了。 具有Proxy ARP 功能的路由器（或者是其它网络设备）可以代替另 外一端的主机用自己的MAC 地址去响应那样的ARP 请求，接着源 主机将数据发送给路由器，然后路由器再将数据包转发出去。
ARP地址解析协议
我需要知道IP地址 是176.16.3.2 的
MAC地址
IP:172.16.3.1 MAC: 0800.0020.1111
172.16.3.1
IP:172.16.3.2 MAC: 0800.0020.2222
哦，我收到了你的请求， 在我发给你的信息里有我 的MAC地址
172.16.3.2
第八章节 透明模式
什么是透明模式
防火墙工作于透明模式的时候不需要修改原有的网络中的 路由和主机配置 防火墙工作在透明模式时同样可以实现所有的功能（如包 过滤、代理、NAT 等），毫不损失任何功能及性能 阿姆瑞特F 系列防火墙的透明工作模式基于Proxy ARP 技 术
Proxy ARP
ARP代理
定义路由规则
增加相应的路由规则
第一条规则定义了到管理网络的路由（为了不占用ip地址，防火墙内口使用 了不同网段的ip地址） 第二条规则定义了到内部网络的路由，同时通过防火墙的外部网口Proxy ARP 内部网络(192.168.123.0/24)上所有主机的MAC 地址。 第三条规则定义了到网关的路由，同时通过防火墙的内部网口Proxy ARP 网 关 (192.168.123.1/32)的MAC 地址到内部网络。 第四条规则定义了防火墙的缺省路由。