全新的天融信防火墻NGFW4000的配置

1、精選優(yōu)質(zhì)文檔-傾情為你奉上全新的天融信防火墻NGFW4000_配置配置一臺全新的NGFW4000，配置完后，內(nèi)網(wǎng)用戶/24和/24可以通過防火墻上網(wǎng)，外網(wǎng)用戶可以通過訪問防火墻的外網(wǎng)接口地址來訪問內(nèi)網(wǎng)的WEB服務(wù)器00，并且內(nèi)網(wǎng)用戶也可以通過WEB服務(wù)器的外網(wǎng)地址進(jìn)行訪問。網(wǎng)絡(luò)說明：防火墻外網(wǎng)接口地址：21/30防火墻內(nèi)網(wǎng)接口地址：53/30核心交換機防火墻VLAN：54/30核心交換機用戶群A的VLAN：/24核心交換機用戶群B的VLAN：10.10.2

2、.0/24用戶群A的默認(rèn)網(wǎng)關(guān)：54用戶群B的默認(rèn)網(wǎng)關(guān)：54防火墻至出口的默認(rèn)網(wǎng)關(guān)：22/30核心交換機至防火墻的默認(rèn)網(wǎng)關(guān)：53內(nèi)網(wǎng)WEB服務(wù)器地址：00/32（通過防火墻映射成公網(wǎng)地址）簡單拓?fù)鋱D如下：這里著重介紹的是出口防火墻的配置，從上圖中可以看出，防火墻位于核心交換機至INTERNET出口的中間。我們首先需通過某種方式對防火墻進(jìn)行管理配置。1、連接防火墻首先查看防火墻的出廠隨機光盤，里面其中有個防火墻安裝手冊，描述了防火墻的出廠預(yù)設(shè)置：管理用戶管理員用戶名 superman管理員密碼 ta

3、lent 或系統(tǒng)參數(shù)設(shè)備名稱 TopsecOS同一管理員最多允許登錄失敗次數(shù) 5最大并發(fā)管理數(shù)目 5最大并發(fā)管理地點 5同一用戶最大登錄地點 5空閑超時 3 分鐘物理接口Eth0（或LAN 口） IP：54/24其他接口 Shutdown服務(wù)訪問控制WEBUI 管理（通過瀏覽器管理防火墻）：允許來自Eth0（或LAN 口）上的服務(wù)請求GUI 管理（通過TOPSEC 管理中心）：允許來自Eth0（或LAN 口）上的服務(wù)請求SSH（通過SSH 遠(yuǎn)程登錄管理）：允許來自Eth0（或LAN 口）上的服務(wù)請求升級（對網(wǎng)絡(luò)衛(wèi)士防火墻進(jìn)行升級）：允許來自Eth0（或LAN 口）上的服務(wù)

4、請求PING（PING 到網(wǎng)絡(luò)衛(wèi)士防火墻的接口IP 地址或VLAN虛接口的IP 地址）：允許來自Eth0（或LAN 口）上的服務(wù)請求其他服務(wù) 禁止地址對象地址段名稱 any地址段范圍 55區(qū)域?qū)ο髤^(qū)域?qū)ο竺Q area_eth0綁定屬性 eth0權(quán)限 允許日志日志服務(wù)器IP 地址 IP：192.168. 1.253日志服務(wù)器開放的日志服務(wù)端口 UDP 的514 端口高可用性（HA）關(guān)閉從中可以看出，管理口為ETH0口，地址為54，我們將一臺電腦直接與ETHO接口相連，然后配置一個192.168.1段的地址，然后在瀏覽器上訪問htt

5、ps:/54，就進(jìn)入了WEB管理界面（如出現(xiàn)安裝證書問題，直接點繼續(xù)瀏覽此網(wǎng)站），如下。2、配置防火墻接口將ETH1配置成外網(wǎng)接口，ETH2配置成內(nèi)網(wǎng)接口，依次選擇左邊菜單的“網(wǎng)絡(luò)管理”->“接口”，在ETH1接口一行點擊最后的藍(lán)色圖標(biāo)，如下圖，進(jìn)入ETH1接口配置模式。然后輸入外網(wǎng)地址，接口模式為“路由”，最后點“確定”，如下圖。同理，將ETH2接口地址設(shè)置成內(nèi)網(wǎng)地址：3、路由配置這里有兩種路由要寫，一是至外網(wǎng)出口的默認(rèn)路由，下一跳為22，還有一種是至內(nèi)網(wǎng)核心交換機的回程路由，共有兩條，下一跳都是指向54。依次選擇左邊

6、菜單的“網(wǎng)絡(luò)管理”->“路由”，然后點擊“添加”，添加一條至外網(wǎng)的默認(rèn)路由，如下。再依次添加兩條回程路由：這樣，出去的路由有了，回去的路由也有了。4、訪問控制默認(rèn)防火墻是阻止所有經(jīng)過的包，所以需對訪問控制項進(jìn)行設(shè)置。點擊菜單的“防火墻”->“訪問控制”，點擊“添加”按扭，如下圖就出現(xiàn)了添加窗口，在源窗口和目的窗口均選擇“ANY范圍”，“服務(wù)”不選（包含所有服務(wù)），“選項”默認(rèn)，直接點擊確定。這樣，就允許所有的數(shù)據(jù)經(jīng)過防火墻了。當(dāng)然，可以通過詳細(xì)的設(shè)置來控制不同網(wǎng)段的電腦，這里就不在敘述了。5、配置地址轉(zhuǎn)換（NAT）首先新建“區(qū)域”，選擇菜單的“資源管理”->“區(qū)域”，點擊添加

7、，將內(nèi)、外網(wǎng)的區(qū)域新建好。下來配置源地址轉(zhuǎn)換，選擇“防火墻”->“地址轉(zhuǎn)換”，點擊添加，選擇“源地址”轉(zhuǎn)換，在源選項上，將“高級”的鉤打上，然后將“neiwang”移至“已選源AREA”，如下圖：在目標(biāo)選項上，將“高級”的鉤打上，然后將“waiwang”移至“已選目的AREA”，如下圖：在“服務(wù)”選項上，不選擇任何服務(wù)，這樣就表示包含所有服務(wù)。在“源地址轉(zhuǎn)換為：”選項中，選擇“ETH1屬性”，如下圖。配置到此，內(nèi)網(wǎng)用戶已經(jīng)可以通過防火墻上INTERNET了。接下來配置目的地址轉(zhuǎn)換，讓外網(wǎng)的用戶可以訪問內(nèi)網(wǎng)的WEB服務(wù)器00。6、內(nèi)網(wǎng)WEB服務(wù)器映射選擇菜單“資源管理”->“地址”，選擇添加，將00添加至地址欄中，命名為www-server，如下圖。然后選擇“防火墻”->“地址轉(zhuǎn)換”，選擇添加，彈出對話框，然后選擇“目的轉(zhuǎn)換”選項，在“源”選項上，選擇“ANY”：在“目的”選項上，選擇“ETH1”：“服務(wù)”選項不選，“目的地址轉(zhuǎn)換為”選擇剛才新建的