联想网御防火墙PowerV功能使用手册_5应用.doc

网御防火墙 PowerV功能使用手册第5章 典型应用环境5.1 三网口纯路由模式图 51三网口纯路由模式注意：网御3000防火墙的基本配置是有四个物理设备，其中fe1是默认的可管理设备（默认启用），地址是54。fe2一般用于HA，所以在这个图中，没有使用fe2。5.1.1 需求描述： 上图是一个具有三个区段的小型网络。Internet区段的网络地址是，掩码是；DMZ区段的网络地址是，掩码是；内部网络区段的网络地址是，掩码是。 fe1的IP地址是，掩码是；fe3的IP地址是，掩码是；fe4的IP地址是，掩码是。内部网络区段主机的缺省网关指向fe1的IP地址；DMZ网络区段的主机的缺省网关指向fe3的IP地址；防火墙的缺省网关指向路由器的地址。 WWW服务器的地址是0，端口是80；MAIL服务器的地址是1，端口是25和110；FTP服务器的地址是2，端口是21。 安全策略的缺省策略是禁止。允许内部网络区段访问DMZ网络区段和Internet区段的http,smtp，pop3，ftp服务；允许Internet区段访问DMZ网络区段的服务器。其他的访问都是禁止的。5.1.2 配置步骤：5. 1. 2. 1 WEBUI1. 网络配置网络设备：编辑物理设备fe1，将它的IP地址配置为，掩码是。注意：fe1默认是用于管理的设备，如果改变了它的地址，就不能用原来的地址管理了。而且默认的管理主机地址是00，如果没有事先添加其他的管理主机地址，将会导致防火墙再也不能被管理了（除非用串口登录上去添加新的管理主机地址）。其他设备默认是不启用的，所以配地址时要同时选择启用设备。2. 网络配置网络设备：编辑物理设备fe3，将它的IP地址配置为，掩码是。3. 网络配置网络设备：编辑物理设备fe4，将它的IP地址配置为，掩码是。4. 网络配置静态路由：添加下一跳地址是的默认路由。目的地址，掩码都是，接口选择fe4。注意：策略配置是基于资源的，所以在配置下面的策略时，请先定义如下的资源：LOCAL_NET：网络地址，掩码DMZ_NET：网络地址，掩码WWW_SERVER：主机地址 0，掩码是55MAIL_SERVER ：主机地址1，掩码是55FTP_SERVER ：主机地址2，掩码是555. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是http，动作是允许的包过滤规则。6. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是smtp，动作是允许的包过率规则。7. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是pop3，动作是允许的包过滤规则。8. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是ftp，动作是允许的包过滤规则。9. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是any的NAT规则。10. 策略配置安全规则：添加源地址是any，目的地址0，服务是http，动作是允许的包过滤规则。11. 策略配置安全规则：添加源地址是any，目的地址1，服务是smtp，动作是允许的包过滤规则。12. 策略配置安全规则：添加源地址是any，目的地址1，服务是pop3，动作是允许的包过滤规则。13. 策略配置安全策略：添加源地址是any，目的地址2，服务是ftp，动作是允许的包过滤规则。14. 策略配置安全策略：添加公开地址是，对外服务是http，内部地址是WWW_SERVER，内部服务是http的端口映射规则。15. 策略配置安全策略：添加公开地址是，对外服务是smtp，内部地址是MAIL_SERVER，内部服务是smtp的端口映射规则。16. 策略配置安全策略：添加公开地址是，对外服务是pop3，内部地址是MAIL_SERVER，内部服务是pop3的端口映射规则。17. 策略配置安全策略：添加公开地址是，对外服务是ftp，内部地址是FTP_SERVER，内部服务是ftp的端口映射规则。5. 1. 2. 2 CLI1. acinterface set phy if fe1 ip netmask 2. acinterface set phy if fe3 ip netmask 3. acinterface set phy if fe4 ip netmask 4. acroute add static dip / gateway interface fe15.2 三网口混合模式图 52三网口混合模式5.2.1 需求描述： 上图是一个具有三个区段的小型网络。其中内部网络区段的IP地址是到0，掩码是；DMZ网络区段的IP地址是00到50，掩码是。WWW服务器的IP地址是00，开放端口是80；MAIL服务器的IP地址是01，开放端口是25和110；FTP服务器的IP地址是02，开放端口是21。Internet区段的网络地址是，掩码是。 fe1工作在透明模式，fe3工作在透明模式，fe4工作在路由模式，IP地址是，掩码是。桥接设备brg0的IP地址是，掩码时。内网网络区段的缺省网关是，DMZ网络区段的缺省网关是。防火墙的缺省网关是。 防火墙的缺省安全策略是禁止。区段间的安全策略是：允许内网网络区段访问Internet和DMZ，允许Internet访问DMZ，其他的访问都禁止。 5.2.2 配置步骤：5. 2. 2. 1 WEBUI18. 网络配置网络设备：编辑桥接设备brg0，配置它的IP地址是，掩码是，选择可管理，确定。19. 网络配置网络设备：编辑物理设备fe1，选择它的工作模式是“透明模式”，确定。注意：fe1是缺省的可管理设备，将它的工作模式置为透明模式将导致防火墙不能使用原来的IP地址管理了，但可以使用桥接设备brg0的IP地址继续管理。所以在设置物理设备fe1的工作模式前先确认brg0的IP地址与管理主机在同一网段，并且可管理。20. 网络配置网络设备：编辑物理设备fe3，选择它的工作模式是“透明模式”，确定。21. 网络配置网络设备：编辑物理设备fe4，配置它的IP地址为，掩码是，确定。22. 网络配置静态路由：添加网关是的缺省路由。注意：下面的策略配置需要先定义如下的资源：LOCAL_NET：，掩码是，网络地址。（在包过滤规则中不推荐使用网络地址段，以避免性能下降）DMZ_NET：，掩码是，网络地址。WWW_SERVER：00，掩码是55，主机地址。MAIL_SERVER：01，掩码是55，主机地址。FTP_SERVER：02，掩码是55，主机地址。INTERNET：，掩码是，反网络地址。23. 策略配置安全规则：添加源地址是LOCAL_NET，入网口是fe1，目的地址是any，服务是http，动作是允许的包过滤规则。24. 策略配置安全规则：添加源地址是LOCAL_NET，入网口是fe1，目的地址是any，服务是smtp，动作是允许的包过滤规则。25. 策略配置安全规则：添加源地址是LOCAL_NET，入网口是fe1，目的地址是any，服务是pop3，动作是允许的包过滤规则。26. 策略配置安全规则：添加源地址是LOCAL_NET，入网口是fe1，目的地址是any，服务是ftp，动作是允许的包过滤规则。27. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是INTERNET，服务是any的NAT规则。28. 策略配置安全规则：添加源地址是INTERNET，目的地址是WWW_SERVER，服务是http，动作是允许的包过滤规则。29. 策略配置安全规则：添加源地址是INTERNET，目的地址是MAIL_SERVER，服务是smtp，动作是允许的包过滤规则。30. 策略配置安全规则：添加源地址是INTERNET，目的地址是MAIL_SERVER，服务是pop3，动作是允许的包过滤规则。31. 策略配置安全规则：添加源地址是INTERNET，目的地址是FTP_SERVER，服务是ftp，动作是允许的包过滤规则。32. 策略配置安全规则：添加源地址是INTERNET，目的地址是WWW_SERVER，服务是http的端口映射规则。33. 策略配置安全规则：添加源地址是INTERNET，目的地址是MAIL_SERVER，服务是smtp的端口映射规则。34. 策略配置安全规则：添加源地址是INTERNET，目的地址是MAIL_SERVER，服务是pop3的端口映射规则。35. 策略配置安全规则：添加源地址是INTERNET，目的地址是FTP_SERVER，服务是ftp的端口映射规则。5. 2. 2. 2 CLI5.3 三网口透明模式图 53三网口透明模式5.3.1 需求描述： 上图是一个具有三个区段的小型网络。其中内部网络区段的地址是到0，掩码是；DMZ网络区段的地址是00到50，掩码是；fe4所在网络区段的地址是00到54，掩码是。WWW服务器的地址是00，开放端口是80；MAIL服务器的地址是01，开放端口是25和110；FTP服务器的地址是02，开放端口是21。 fe1工作在透明模式，fe3工作在透明模式，fe4工作在透明模式。桥接设备brg0的IP地址是，允许管理。 防火墙的缺省安全策略是禁止。区段间的安全策略是：允许内部网络区段访问DMZ区段和INTERNET的http，smtp，pop3，ftp服务，允许INTERNET区段访问DMZ网络的http，smtp，pop3，ftp服务。其他的访问都禁止。 5.3.2 配置步骤：5. 3. 2. 1 WEBUI36. 网络配置网络设备：编辑桥接设备brg0，将它的IP地址配置为，掩码是，允许管理，确定。37. 网络配置网络设备：编辑物理设备fe1，选择工作模式为“透明”，确定。38. 网络配置网络设备：编辑物理设备fe3，选择工作模式为“透明”，确定。39. 网络配置网络设备：编辑物理设备fe4，选择工作模式为“透明”，确定。注意：在策略配置前，先添加如下的资源：LOCAL_NET：到0，网络地址段。DMZ_NET：00到50，网络地址段。EXTERNAL_NET：00到54，网络地址段。INTERNET：地址是，掩码是，反网络地址。WWW_SERVER：地址是00，掩码是55。MAIL_SERVER：地址是01，掩码是55.。FTP_SERVER：地址是02，掩码是55。40. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是http，动作是允许的包过滤规则。41. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是smtp，动作是允许的包过滤规则。42. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是pop3，动作是允许的包过滤规则。43. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是ftp，动作是允许的包过滤规则。44. 策略配置安全规则：添加源地址是any，目的地址是WWW_SERVER，服务是http，动作是允许的包过滤规则。45. 策略配置安全规则：添加源地址是any，目的地址是MAIL_SERVER，服务是smtp，动作是允许的包过滤规则。46. 策略配置安全规则：添加源地址是any，目的地址是MAIL_SERVER，服务是pop3，动作是允许的包过滤规则。47. 策略配置安全规则：添加源地址是any，目的地址是FTP_SERVER，服务是ftp，动作是允许的包过滤规则。5. 3. 2. 2 CLI5.4 三网口透明模式上的路由图 54三网口透明模式上的路由5.4.1 需求描述： 上图是一个具有三个区段的小型网络。Internet区段的网络地址是，掩码是；DMZ区段的网络地址是，掩码是；内部网络区段的网络地址是，掩码是。 fe1，fe3，fe4工作在透明模式。桥接设备brg0的IP地址是，掩码是，允许管理。创建别名设备brg0_0，它的绑定设备是brg0，别名ID是0，IP地址是，掩码是。创建别名设备brg0_1，它的绑定设备是brg0，别名ID是1，IP地址是，掩码是。内部网络区段的网关是，DMZ网络区段的网关是，防火墙的缺省网关是。 WWW服务器的地址是0，端口是80；MAIL服务器的地址是1，端口是25和110；FTP服务器的地址是2，端口是21。 安全策略的缺省策略是禁止。允许内部网络区段访问DMZ网络区段和Internet区段的http,smtp，pop3，ftp服务；允许Internet区段访问DMZ网络区段的服务器。其他的访问都是禁止的。5.4.2 配置步骤：5. 4. 2. 1 WEBUI48. 网络配置网络设备：编辑桥接设备brg0，配置它的IP地址为，掩码是，允许管理。49. 网络配置网络设备：编辑物理设备fe1，选择工作模式为“透明”，确定。50. 网络配置网络设备：编辑物理设备fe3，选择工作模式为“透明”，确定。51. 网络配置网络设备：编辑物理设备fe4，选择工作模式为“透明”，确定。52. 网络配置网络设备：添加别名设备，绑定设备是brg0，别名ID是0，IP地址是，掩码是。53. 网络配置网络设备：添加别名设备，绑定设备是brg0，别名ID是1，IP地址是，掩码是。注意：策略配置是基于资源的，所以在配置下面的策略时，请先定义如下的资源：LOCAL_NET：网络地址，掩码DMZ_NET：网络地址，掩码WWW_SERVER：主机地址 0，掩码是55MAIL_SERVER ：主机地址1，掩码是55FTP_SERVER ：主机地址2，掩码是5554. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是http，动作是允许的包过滤规则。55. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是smtp，动作是允许的包过率规则。56. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是pop3，动作是允许的包过滤规则。57. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是ftp，动作是允许的包过滤规则。58. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是any的NAT规则。59. 策略配置安全规则：添加源地址是any，目的地址0，服务是http，动作是允许的包过滤规则。60. 策略配置安全规则：添加源地址是any，目的地址1，服务是smtp，动作是允许的包过滤规则。61. 策略配置安全规则：添加源地址是any，目的地址1，服务是pop3，动作是允许的包过滤规则。62. 策略配置安全策略：添加源地址是any，目的地址2，服务是ftp，动作是允许的包过滤规则。63. 策略配置安全策略：添加公开地址是，对外服务是http，内部地址是WWW_SERVER，内部服务是http的端口映射规则。64. 策略配置安全策略：添加公开地址是，对外服务是smtp，内部地址是MAIL_SERVER，内部服务是smtp的端口映射规则。65. 策略配置安全策略：添加公开地址是，对外服务是pop3，内部地址是MAIL_SERVER，内部服务是pop3的端口映射规则。66. 策略配置安全策略：添加公开地址是，对外服务是ftp，内部地址是FTP_SERVER，内部服务是ftp的端口映射规则。5. 4. 2. 2 CLI5.5 三网口多VLAN环境图 55三网口多VLAN环境5.5.1 需求描述： 上图是一个具有三个区段的小型网络。其中内部网络划分了四个VLAN，分别是VLAN10，VLAN20，VLAN30，VLAN40；DMZ网络在一个单独的VLAN中，名称是VLAN50。VLAN10的网络地址是，掩码是；VLAN20的网络地址是，掩码是；VLAN30的网络地址是，掩码是；VLAN40的网络地址是，掩码是。DMZ(VLAN50)的网络地址是，掩码是。 防火墙的缺省策略是禁止。网络区段间的访问策略是：允许VLAN10，VLAN20，VLAN30，VLAN40访问DMZ和INTERNET的http，smtp，pop3，ftp服务；允许INTERNET访问DMZ的http，smtp，pop3，ftp服务；允许VLAN10访问VLAN20，VLAN30访问VLAN40。其他的访问都禁止。 设备配置配置有多种方案可以满足要求：67. 方案1l fe1接到交换机的TRUNK口上，将fe1的IP地址配置为，掩码是，并开启TRUNKl 创建别名设备fe1_0，它的绑定设备是fe1，别名ID是0，IP地址，掩码是。l 创建别名设备fe1_1，它的绑定设备是fe1，别名ID是1，IP地址，掩码是。l 创建别名设备fe1_2，它的绑定设备是fe1，别名ID是2，IP地址，掩码是。l fe3接到VLAN50中，将它的IP地址配置为，掩码是。l VLAN10的网关指向，VLAN20的网关指向，VLAN30的网关指向，VLAN40的网关指向，VLAN50的网关指向。防火墙的缺省网关指向。68. 方案2l fe1接到交换机的TRUNK口上，将fe1的IP地址配置为（不能与其他设备在同一网段），掩码是。l 创建VLAN设备fe1.10，它的绑定设备是fe1，VLAN ID是10，工作在“路由”模式，IP地址是，掩码是。l 创建VLAN设备fe1.20，它的绑定设备是fe1，VLAN ID是20，工作在“路由”模式，IP地址是，掩码是。l 创建VLAN设备fe1.30，它的绑定设备是fe1，VLAN ID是30，工作在“路由”模式，IP地址是，掩码是。l 创建VLAN设备fe1.40，它的绑定设备是fe1，VLAN ID是40，工作在“路由”模式，IP地址是，掩码是。l fe3接到VLAN50中，将它的IP地址配置为，掩码是。l VLAN10的网关指向，VLAN20的网关指向，VLAN30的网关指向，VLAN40的网关指向，VLAN50的网关指向。防火墙的缺省网关指向。5.5.2 配置步骤：5. 5. 2. 1 WEBUI注意：设备配置请按照需求描述中的步骤配置。在配置安全策略前，请先添加以下的资源：VLAN10_NET：，掩码，网络地址。VLAN20_NET：，掩码，网络地址。VLAN30_NET：，掩码，网络地址。VLAN40_NET：，掩码，网络地址。VLAN50_NET：，掩码，网络地址。WWW_SERVER：，掩码55，主机地址。MAIL_SERVER：，掩码55，主机地址。FTP_SERVER：，掩码55，主机地址。69. 策略配置安全规则：添加源地址是VLAN10_NET，目的地址是any，服务是http，动作是允许的包过滤规则。70. 策略配置安全规则：添加源地址是VLAN10_NET，目的地址是any，服务是smtp，动作是允许的包过滤规则。71. 策略配置安全规则：添加源地址是VLAN10_NET，目的地址是any，服务是pop3，动作是允许的包过滤规则。72. 策略配置安全规则：添加源地址是VLAN10_NET，目的地址是any，服务是ftp，动作是允许的包过滤规则。73. 策略配置安全规则：添加源地址是VLAN20_NET，目的地址是any，服务是http，动作是允许的包过滤规则。74. 策略配置安全规则：添加源地址是VLAN20_NET，目的地址是any，服务是smtp，动作是允许的包过滤规则。75. 策略配置安全规则：添加源地址是VLAN20_NET，目的地址是any，服务是pop3，动作是允许的包过滤规则。76. 策略配置安全规则：添加源地址是VLAN20_NET，目的地址是any，服务是ftp，动作是允许的包过滤规则。77. 策略配置安全规则：添加源地址是VLAN30_NET，目的地址是any，服务是http，动作是允许的包过滤规则。78. 策略配置安全规则：添加源地址是VLAN30_NET，目的地址是any，服务是smtp，动作是允许的包过滤规则。79. 策略配置安全规则：添加源地址是VLAN30_NET，目的地址是any，服务是pop3，动作是允许的包过滤规则。80. 策略配置安全规则：添加源地址是VLAN30_NET，目的地址是any，服务是ftp，动作是允许的包过滤规则。81. 策略配置安全规则：添加源地址是VLAN40_NET，目的地址是any，服务是http，动作是允许的包过滤规则。82. 策略配置安全规则：添加源地址是VLAN40_NET，目的地址是any，服务是smtp，动作是允许的包过滤规则。83. 策略配置安全规则：添加源地址是VLAN40_NET，目的地址是any，服务是pop3，动作是允许的包过滤规则。84. 策略配置安全规则：添加源地址是VLAN40_NET，目的地址是any，服务是ftp，动作是允许的包过滤规则。85. 策略配置安全规则：添加源地址是VLAN10_NET，目的地址是VLAN20_NET，服务是any，动作是允许的包过滤规则。86. 策略配置安全规则：添加源地址是VLAN20_NET，目的地址是VLAN10_NET，服务是any，动作是允许的包过滤规则。87. 策略配置安全规则：添加源地址是VLAN30_NET，目的地址是VLAN40_NET，服务是any，动作是允许的包过滤规则。88. 策略配置安全规则：添加源地址是VLAN40_NET，目的地址是VLAN30_NET，服务是any，动作是允许的包过滤规则。89. 策略配置安全规则：添加源地址是any，目的地址是VLAN50_NET，服务是http，动作是允许的包过滤规则。90. 策略配置安全规则：添加源地址是any，目的地址是VLAN50_NET，服务是smtp，动作是允许的包过滤规则。91. 策略配置安全规则：添加源地址是any，目的地址是VLAN50_NET，服务是pop3，动作是允许的包过滤规则。92. 策略配置安全规则：添加源地址是any，目的地址是VLAN50_NET，服务是ftp，动作是允许的包过滤规则。93. 策略配置安全规则：添加源地址是VLAN10_NET，目的地址是any，服务是any的NAT规则。94. 策略配置安全规则：添加源地址是VLAN20_NET，目的地址是any，服务是any的NAT规则。95. 策略配置安全规则：添加源地址是VLAN30_NET，目的地址是any，服务是any的NAT规则。96. 策略配置安全规则：添加源地址是VLAN40_NET，目的地址是any，服务是any的NAT规则。97. 策略配置安全策略：添加公开地址是，对外服务是http，内部地址是WWW_SERVER，内部服务是http的端口映射规则。98. 策略配置安全策略：添加公开地址是，对外服务是smtp，内部地址是MAIL_SERVER，内部服务是smtp的端口映射规则。99. 策略配置安全策略：添加公开地址是，对外服务是pop3，内部地址是MAIL_SERVER，内部服务是pop3的端口映射规则。100. 策略配置安全策略：添加公开地址是，对外服务是ftp，内部地址是FTP_SERVER，内部服务是ftp的端口映射规则。5. 5. 2. 2 CLI5.6 多网口多DMZ图 56多网口多DMZ5.6.1 需求描述： 上图所示的网络有四个网络区段。其中内部网络区段的网络地址是，掩码是；DMZ1的网络地址是，掩码是；DMZ2的网络地址是，掩码是；fe4所在网段的网络地址是，掩码是。 fe1工作在路由模式，IP地址是，掩码是；fe2工作在路由模式，IP地址是，掩码是；fe3工作在路由模式，IP地址是，掩码是；fe4工作在路由模式，IP地址是，掩码是。内部网络的网关指向，DMZ1的网关指向，DMZ2的网关指向，防火墙的缺省网关指向。 防火墙的默认安全策略是禁止。区段间的安全策略是：允许内部网络区段访问DMZ1的http，smtp，pop3，ftp服务，DMZ2的所有服务，INTERNET的http，smtp，pop3，ftp服务；允许DMZ1访问DMZ2的所有服务；允许INTERNET访问DMZ1的http，smtp，pop3，ftp服务。其他的访问都禁止。5.6.2 配置步骤：5. 6. 2. 1 WEBUI101. 设备配置请参考上面的需求描述。注意：在配置安全策略前，请先添加如下的资源：LOCAL_NET：，掩码，网络地址。DMZ1_NET：，掩码，网络地址。DMZ2_NET：，掩码，网络地址。WWW_SERVER：，掩码55，主机地址。MAIL_SERVER：，掩码55，主机地址。FTP_SERVER：，掩码55，主机地址。SQL_SERVER：，掩码55，主机地址。102. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是http，动作是允许的包过滤规则。103. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是smtp，动作是允许的包过滤规则。104. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是pop3，动作是允许的包过滤规则。105. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是ftp，动作是允许的包过滤规则。106. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是DMZ2_NET，服务是any，动作是允许的包过滤规则。107. 策略配置安全规则：添加源地址是DMZ1_NET，目的地址是DMZ2_NET，服务是any，动作是允许的包过滤规则。108. 策略配置安全规则：添加源地址是any，目的地址是DMZ1_NET，服务是http，动作是允许的包过滤规则。109. 策略配置安全规则：添加源地址是any，目的地址是DMZ1_NET，服务是smtp，动作是允许的包过滤规则。110. 策略配置安全规则：添加源地址是any，目的地址是DMZ1_NET，服务是pop3，动作是允许的包过滤规则。111. 策略配置安全规则：添加源地址是any，目的地址是DMZ1_NET，服务是ftp，动作是允许的包过滤规则。112. 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是any的NAT规则。113. 策略配置安全策略：添加公开地址是，对外服务是http，内部地址是WWW_SERVER，内部服务是http的端口映射规则。114. 策略配置安全策略：添加公开地址是，对外服务是smtp，内部地址是MAIL_SERVER，内部服务是smtp的端口映射规则。115. 策略配置安全策略：添加公开地址是，对外服务是pop3，内部地址是MAIL_SERVER，内部服务是pop3的端口映射规则。116. 策略配置安全策略：添加公开地址是，对外服务是ftp，内部地址是FTP_SERVER，内部服务是ftp的端口映射规则。5. 6. 2. 2 CLI5.7 多网口多内网区段图 57多网口多内网区段5.7.1 需求描述： 上图是一个六网口防火墙的应用环境。内部网络1的网络地址是，掩码是；内部网络2的网络地址是，掩码是；内部网络3的网络地址是，掩码是；内部网络4的网络地址是，掩码是。DMZ网络的网络地址，掩码是。fe5所在网络的网络地址是，掩码是。 fe1工作在路由模式，IP地址是，掩码是；fe2工作在路由模式，IP地址是，掩码是；fe3工作在路由模式，IP地址是，掩码是；fe4的工作在路由模式，IP地址是，掩码是；fe5工作在路由模式，IP地址是，掩码是；fe6工作在路由模式，IP地址是，掩码是。内部网络1的缺省网关是，内部网络2的缺省网关是，内部网络3的缺省网关是，内部网络4的缺省网关是，DMZ网络的缺省网关是，防火墙的缺省网关是。 防火墙的默认安全策略是禁止。网络区段间的安全策略：允许内部网络访问DMZ和INTERNET的http，smtp，pop3，ftp服务；允许内部网络1访问内部网络2，3，4；允许INTERNET访问DMZ网络的http，smtp，pop3，ftp服务。其他的访问都禁止。 5.7.2 配置步骤：5. 7. 2. 1 WEBUI117. 网络设备配置请参考上面的需求描述。注意：设备配置请按照需求描述中的步骤配置。在配置安全策略前，请先添加以下的资源：LOCAL_NET1：，掩码，网络地址。LOCAL_NET2：，掩码，网络地址。LOCAL_NET3：，掩码，网络地址。LOCAL_NET4：，掩码，网络地址。DMZ_NET：，掩码，网络地址。WWW_SERVER：，掩码55，主机地址。MAIL_SERVER：，掩码55，主机地址。FTP_SERVER：，掩码55，主机地址。118. 策略配置安全规则：添加源地址是LOCAL_NET1，目的地址是any，服务是http，动作是允许的包过滤规则。119. 策略配置安全规则：添加源地址是LOCAL_NET1，目的地址是any，服务是smtp，动作是允许的包过滤规则。120. 策略配置安全规则：添加源地址是LOCAL_NET1，目的地址是any，服务是pop3，动作是允许的包过滤规则。121. 策略配置安全规则：添加源地址是LOCAL_NET1，目的地址是any，服务是ftp，动作是允许的包过滤规则。122. 策略配置安全规则：添加源地址是LOCAL_NET2，目的地址是any，服务是http，动作是允许的包过滤规则。123. 策略配置安全规则：添加源地址是LOCAL_NET2，目的地址是any，服务是smtp，动作是允许的包过滤规则。124. 策略配置安全规则：添加源地址是LOCAL_NET2，目的地址是any，服务是pop3，动作是允许的包过滤规则。125. 策略配置安全规则：添加源地址是LOCAL_NET2，目的地址是any，服务是ftp，动作是允许的包过滤规则。126. 策略配置安全规则：添加源地址是LOCAL_NET3，目的地址是any，服务是http，动作是允许的包过滤规则。127. 策略配置安全规则：添加源地址是LOCAL_NET3，目的地址是any，服务是smtp，动作是允许的包过滤规则。128. 策略配置安全规则：添加源地址是LOCAL_NET3，目的地址是any，服务是pop3，动作是允许的包过滤规则。129. 策略配置安全规则：添加源地址是LOCAL_NET3，目的地址是any，服务是ftp，动作是允许的包过滤规则。130. 策略配置安全规则：添加源地址是LOCAL_NET4，目的地址是any，服务是http，动作是允许的包过滤规则。131. 策略配置安全规则：添加源地址是LOCAL_NET4，目的地址是any，服务是smtp，动作是允许的包过滤规则。132. 策略配置安全规则：添加源地址是LOCAL_NET4，目的地址是any，服务是pop3，动作是允许的包过滤规则。133. 策略配置安全规则：添加源地址是LOCAL_NET4，目的地址是any，服务是ftp，动作是允许的包过滤规则。134. 策略配置安全规则：添加源地址是LOCAL_NET1，目的地址是LOCAL_NET2，服务是any，动作是允许的包过滤规则。135. 策略配置安全规则：添加源地址是LOCAL_NET1，目的地址是LOCAL_NET3，服务是any，动作是允许的包过滤规则。136. 策略配置安全规则：添加源地址是LOCAL_NET1，目的地址是LOCAL_NET4，服务是any，动作是允许的包过滤规则。137. 策略配置安全规则：添加源地址是any，目的地址是DMZ_NET，服务是http，动作是允许的包过滤规则。138. 策略配置安全规则：添加源地址是any，目的地址是DMZ_NET，服务是smtp，动作是允许的包过滤规则。139. 策略配置安全规则：添加源地址是any，目的地址是DMZ_NET，服务是pop3，动作是允许的包过滤规则。140. 策略配置安全规则：添加源地址是any，目的地址是DMZ_NET，服务是ftp，动作是允许的包过滤规则。141. 策略配置安全规则：添加源地址是LOCAL_NET1，目的地址是any，服务是any的NAT规则。142. 策略配置安全规则：添加源地址是LOCAL_NET2，目的地址是any，服务是any的NAT规则