三网口纯路由模式

1、上图是一个具有三个区段的小型网络。Internet 区段的网络地址是，掩码是；DMZ 区段的网络地址是，掩码是；内部网络区段的网络地址是，掩码是。fe1 的IP 地址是，掩码是；fe3 的IP 地址是，掩码是；fe4 的IP 地址是，掩码是。内部网络区段主机的缺省网关指向fe1 的IP 地址；DMZ 网络区段的主机的缺省网关指向fe3 的IP 地址；防火墙的缺省网关指向路由器的地址。WWW 服务器的地址是，端口是80；MAIL 服务器的地址是，端口是25 和110；FTP 服务器的地址是，端口是21。安全策略的缺省策略是禁止。允许内部网络区段访问DMZ 网络区段和Internet 区段的htt

2、p,smtp，pop3，ftp 服务；允许Internet 区段访问DMZ 网络区段的服务器。其他的访问都是禁止的。配置步骤1. 网络配置>网络设备>：编辑物理设备fe1，将它的IP 地址配置为，掩码是。注意：fe1 默认是用于管理的设备，如果改变了它的地址，就不能用原来的地址管理了。而且默认的管理主机地址是，如果没有事先添加其它的管理主机地址，将会导致防火墙再也不能被管理了（除非用串口登录上去添加新的管理主机地址）。其它设备默认是不启用的，所以配地址时要同时选择启用设备。2. 网络配置>网络设备>：编辑物理设备fe3，将IP 地址配置为，掩码是。3. 网络配置>

3、网络设备>：编辑物理设备fe4，将IP 地址配置为，掩码是。4. 网络配置>静态路由>：添加下一跳地址是的默认路由。目的地址，掩码都是.0，接口选择fe4。注意：策略配置是基于资源的，所以在配置下面的策略时，请先定义如下的资源：LOCAL_NET：网络地址，掩码DMZ_NET：网络地址，掩码WWW_SERVER：主机地址 ，掩码是MAIL_SERVER ：主机地址，掩码是FTP_SERVER ：主机地址，掩码是5. 策略配置>安全规则>：添加源地址是LOCAL_NET，目的地址是any，服务是http，动作是允许的包过滤规则。6. 策略配置>安全规则>

4、：添加源地址是LOCAL_NET，目的地址是any，服务是smtp，动作是允许的包过率规则。7. 策略配置>安全规则>：添加源地址是LOCAL_NET，目的地址是any，服务是pop3，动作是允许的包过滤规则。8. 策略配置>安全规则>：添加源地址是LOCAL_NET，目的地址是any，服务是ftp，动作是允许的包过滤规则。9. 策略配置>安全规则>：添加源地址是LOCAL_NET，目的地址是any，服务是any 的NAT 规则。10. 策略配置>安全规则>：添加源地址是any，目的地址，服务是http，动作是允许的包过滤规则。11. 策略配置&

5、gt;安全规则>：添加源地址是any，目的地址，服务是smtp，动作是允许的包过滤规则。12. 策略配置>安全规则>：添加源地址是any，目的地址，服务是pop3，动作是允许的包过滤规则。13. 策略配置>安全策略>：添加源地址是any，目的地址，服务是ftp，动作是允许的包过滤规则。14. 策略配置>安全策略>：添加公开地址是，对外服务是http，内部地址是WWW_SERVER，内部服务是http 的端口映射规则。15. 策略配置>安全策略>：添加公开地址是，对外服务是smtp，内部地址是MAIL_SERVER，内部服务是smtp 的端口映射规则。16. 策略配置>安全策略>：添加公开地址是，对外服务是pop3，内部地址是MAIL_SERVER，内部服务是po