全新的天融信防火墙NGFW4000的配置

精品文档 1欢迎下载 全新的天融信防火墙全新的天融信防火墙 NGFW4000 NGFW4000 配置配置 配置一台全新的天融信防火墙 NGFW4000 配置完后 内网用户 10 10 1 0 24 和 10 10 2 0 24 可以通过防火墙上网 外网用户可以通过访问防火墙的外网接口地址来访问内网的 WEB 服务器 10 10 1 200 并且内网用户也可以通过 WEB 服务器的外网地址进行访问 网络说明 防火墙外网接口地址 218 90 123 121 30 防火墙内网接口地址 192 168 0 253 30 核心交换机防火墙 VLAN 192 168 0 254 30 核心交换机用户群 A 的 VLAN 10 10 1 0 24 核心交换机用户群 B 的 VLAN 10 10 2 0 24 用户群 A 的默认网关 10 10 1 254 用户群 B 的默认网关 10 10 2 254 防火墙至出口的默认网关 218 90 123 122 30 核心交换机至防火墙的默认网关 192 168 0 253 内网 WEB 服务器地址 10 10 1 200 32 通过防火墙映射成公网地址 简单拓扑图如下 精品文档 2欢迎下载 这里着重介绍的是出口防火墙的配置 从上图中可以看出 防火墙位于核心交换机至 INTERNET 出口的中间 我们首先需通过某种方式对防火墙进行管理配置 1 1 连接防火墙 连接防火墙 首先查看防火墙的出厂随机光盘 里面其中有个防火墙安装手册 描述了防火墙的出厂预设置 管理用户管理用户 管理员用户名 superman 管理员密码 talent 或 12345678 系统参数系统参数 设备名称 TopsecOS 同一管理员最多允许登录失败次数 5 最大并发管理数目 5 精品文档 3欢迎下载 最大并发管理地点 5 同一用户最大登录地点 5 空闲超时 3 分钟 物理接口物理接口 Eth0 或 LAN 口 IP 192 168 1 254 24 其他接口 Shutdown 服务访问控制服务访问控制 WEBUI 管理 通过浏览器管理防火墙 允许来自 Eth0 或 LAN 口 上的服务请求 GUI 管理 通过 TOPSEC 管理中心 允许来自 Eth0 或 LAN 口 上的服务请求 SSH 通过 SSH 远程登录管理 允许来自 Eth0 或 LAN 口 上的服务请求 升级 对网络卫士防火墙进行升级 允许来自 Eth0 或 LAN 口 上的服务请求 PING PING 到网络卫士防火墙的接口 IP 地址或 VLAN 虚接口的 IP 地址 允许来自 Eth0 或 LAN 口 上的服务请求 其他服务 禁止 地址对象地址对象 地址段名称 any 地址段范围 0 0 0 0 255 255 255 255 区域对象区域对象 区域对象名称 area eth0 绑定属性 eth0 权限 允许 日志日志 日志服务器 IP 地址 IP 192 168 1 253 日志服务器开放的日志服务端口 UDP 的 514 端口 高可用性 高可用性 HAHA 关闭关闭 从中可以看出 管理口为 ETH0 口 地址为 192 168 1 254 我们将一台电脑直接与 ETHO 接口 相连 然后配置一个 192 168 1 段的地址 然后在浏览器上访问 https 192 168 1 254 就进入 了 WEB 管理界面 如出现安装证书问题 直接点继续浏览此网站 如下 精品文档 4欢迎下载 2 2 配置防火墙接口 配置防火墙接口 将 ETH1 配置成外网接口 ETH2 配置成内网接口 依次选择左边菜单的 网络管理 接口 在 ETH1 接口一行点击最后的蓝色图标 如下图 进入 ETH1 接口配置模式 然后输入外网地址 接口模式为 路由 最后点 确定 如下图 精品文档 5欢迎下载 同理 将 ETH2 接口地址设置成内网地址 3 3 路由配置 路由配置 这里有两种路由要写 一是至外网出口的默认路由 下一跳为 218 90 123 122 还有一种是 至内网核心交换机的回程路由 共有两条 下一跳都是指向 192 168 0 254 依次选择左边菜单的 网络管理 路由 然后点击 添加 添加一条至外网的默认路 由 如下 精品文档 6欢迎下载 再依次添加两条回程路由 这样 出去的路由有了 回去的路由也有了 4 4 访问控制 访问控制 精品文档 7欢迎下载 默认防火墙是阻止所有经过的包 所以需对访问控制项进行设置 点击菜单的 防火墙 访问控制 点击 添加 按扭 如下图就出现了添加窗口 在源 窗口和目的窗口均选择 ANY 范围 服务 不选 包含所有服务 选项 默认 直接点 击确定 这样 就允许所有的数据经过防火墙了 当然 可以通过详细的设置来控制不同网段的电 脑 这里就不在叙述了 5 5 配置地址转换 配置地址转换 NATNAT 首先新建 区域 选择菜单的 资源管理 区域 点击添加 将内 外网的区域新建 好 精品文档 8欢迎下载 下来配置源地址转换 选择 防火墙 地址转换 点击添加 选择 源地址 转换 在 源选项上 将 高级 的钩打上 然后将 neiwang 移至 已选源 AREA 如下图 在目标选项上 将 高级 的钩打上 然后将 waiwang 移至 已选目的 AREA 如下图 精品文档 9欢迎下载 在 服务 选项上 不选择任何服务 这样就表示包含所有服务 在 源地址转换为 选项中 选择 ETH1 属性 如下图 配置到此 内网用户已经可以通过防火墙上 INTERNET 了 接下来配置目的地址转换 让外网 的用户可以访问内网的 WEB 服务器 10 10 1 200 6 6 内网 内网 WEBWEB 服务器映射服务器映射 精品文档 10欢迎下载 选择菜单 资源管理 地址 选择添加 将 10 10 1 200 添加至地址栏中 命名为 www server 如下图 然后选择 防火墙 地址转换 选择添加 弹出对话框 然后选择 目的转换 选项 在 源 选项上 选择 ANY 精品文档 11欢迎下载 在 目的 选项上 选择 ETH1 服务 选项不选 目的地址转换为 选择刚才新建的 www server 地址 目的端口转 换为 选择 不转换 如下 精品文档 12欢迎下载 这样 外网用户通过浏览器访问防火墙外网