全新的天融信防火墙NGFW4000的配置.docx

全新的天融信防火墙NGFW4000的配置.docx

《全新的天融信防火墙NGFW4000的配置.docx》由会员分享，可在线阅读，更多相关《全新的天融信防火墙NGFW4000的配置.docx（12页珍藏版）》请在冰点文库上搜索。

全新的天融信防火墙NGFW4000的配置

全新的天融信防火墙NGFW4000_配置

配置一台全新的天融信防火墙NGFW4000，配置完后，内网用户10.10.1.0/24和10.10.2.0/24可以通过防火墙上网，外网用户可以通过访问防火墙的外网接口地址来访问内网的WEB服务器10.10.1.200，并且内网用户也可以通过WEB服务器的外网地址进行访问。

网络说明：

防火墙外网接口地址：

218.90.123.121/30

防火墙内网接口地址：

192.168.0.253/30

核心交换机防火墙VLAN：

192.168.0.254/30

核心交换机用户群A的VLAN：

10.10.1.0/24

核心交换机用户群B的VLAN：

10.10.2.0/24

用户群A的默认网关：

10.10.1.254

用户群B的默认网关：

10.10.2.254

防火墙至出口的默认网关：

218.90.123.122/30

核心交换机至防火墙的默认网关：

192.168.0.253

内网WEB服务器地址：

10.10.1.200/32（通过防火墙映射成公网地址）

　　简单拓扑图如下：

　　这里着重介绍的是出口防火墙的配置，从上图中可以看出，防火墙位于核心交换机至INTERNET出口的中间。

我们首先需通过某种方式对防火墙进行管理配置。

1、连接防火墙

　　首先查看防火墙的出厂随机光盘，里面其中有个防火墙安装手册，描述了防火墙的出厂预设置：

管理用户

　　管理员用户名superman　　　管理员密码talent或12345678

系统参数

　　设备名称TopsecOS

　　同一管理员最多允许登录失败次数5

　　最大并发管理数目5

　　最大并发管理地点5

　　同一用户最大登录地点5

　　空闲超时3分钟

物理接口

　　Eth0（或LAN口）IP：

192.168.1.254/24

　　其他接口Shutdown

服务访问控制

　　WEBUI管理（通过浏览器管理防火墙）：

允许来自Eth0（或LAN口）上的服务请求

　　GUI管理（通过TOPSEC管理中心）：

允许来自Eth0（或LAN口）上的服务请求

　　SSH（通过SSH远程登录管理）：

允许来自Eth0（或LAN口）上的服务请求

　　升级（对网络卫士防火墙进行升级）：

允许来自Eth0（或LAN口）上的服务请求

　　PING（PING到网络卫士防火墙的接口IP地址或VLAN虚接口的IP地址）：

允许来自Eth0（或LAN口）上的服务请求

　　其他服务禁止

地址对象

　　地址段名称any

　　地址段范围0.0.0.0–255.255.255.255

区域对象

　　区域对象名称area_eth0

　　绑定属性eth0

　　权限允许

日志

　　日志服务器IP地址IP：

192.168.1.253

　　日志服务器开放的日志服务端口UDP的514端口

高可用性（HA）关闭

　　从中可以看出，管理口为ETH0口，地址为192.168.1.254，我们将一台电脑直接与ETHO接口相连，然后配置一个192.168.1段的地址，然后在浏览器上访问https:

//192.168.1.254，就进入了WEB管理界面（如出现安装证书问题，直接点继续浏览此网站），如下。

2、配置防火墙接口

　　将ETH1配置成外网接口，ETH2配置成内网接口，依次选择左边菜单的“网络管理”->“接口”，在ETH1接口一行点击最后的蓝色图标，如下图，进入ETH1接口配置模式。

　　然后输入外网地址，接口模式为“路由”，最后点“确定”，如下图。

　　同理，将ETH2接口地址设置成内网地址：

3、路由配置

　　这里有两种路由要写，一是至外网出口的默认路由，下一跳为218.90.123.122，还有一种是至内网核心交换机的回程路由，共有两条，下一跳都是指向192.168.0.254。

　　依次选择左边菜单的“网络管理”->“路由”，然后点击“添加”，添加一条至外网的默认路由，如下。

　　再依次添加两条回程路由：

　　这样，出去的路由有了，回去的路由也有了。

4、访问控制

　　默认防火墙是阻止所有经过的包，所以需对访问控制项进行设置。

　　点击菜单的“防火墙”->“访问控制”，点击“添加”按扭，如下图就出现了添加窗口，在源窗口和目的窗口均选择“ANY[范围]”，“服务”不选（包含所有服务），“选项”默认，直接点击确定。

这样，就允许所有的数据经过防火墙了。

当然，可以通过详细的设置来控制不同网段的电脑，这里就不在叙述了。

5、配置地址转换（NAT）

　　首先新建“区域”，选择菜单的“资源管理”->“区域”，点击添加，将内、外网的区域新建好。

　　下来配置源地址转换，选择“防火墙”->“地址转换”，点击添加，选择“源地址”转换，在源选项上，将“高级”的钩打上，然后将“neiwang”移至“已选源AREA”，如下图：

　　在目标选项上，将“高级”的钩打上，然后将“waiwang”移至“已选目的AREA”，如下图：

　　在“服务”选项上，不选择任何服务，这样就表示包含所有服务。

　　在“源地址转换为：

”选项中，选择“ETH1[属性]”，如下图。

　　配置到此，内网用户已经可以通过防火墙上INTERNET了。

接下来配置目的地址转换，让外网的用户可以访问内网的WEB服务器10.10.1.200。

6、内网WEB服务器映射

　　选择菜单“资源管理”->“地址”，选择添加，将10.10.1.200添加至地址栏中，命名为www-server，如下图。

　　然后选择“防火墙”->“地址转换”，选择添加，弹出对话框，然后选择“目的转换”选项，在“源”选项上，选择“ANY”：

　　在“目的”选项上，选择“ETH1”：

　　“服务”选项不选，“目的地址转换为”选择刚才新建的“www-server”地址，“目的端口转换为”选择“不转换”，如下。

　　这样，外网用户通过浏览器访问防火墙外网接口的地址时，就可以浏览到内网10.10.1.200网站服务器上的内容了。

　　最后点击页面右上角的“保存配置”按扭。

欢迎您的下载，

资料仅供参考！

致力为企业和个人提供合同协议，策划案计划书，学习资料等等

打造全网一站式需求