全新的天融信防火墙NGFW的配置

1、1全新的天融信防火墙 NGFW400C 配置配置一台全新的天融信防火墙NGFW40Q0配置完后，内网用户/24和10.1020/24可以通过防火墙上网，外网用户可以通过访问防火墙的外网接口地址来访问内网的WEB服务器00，并且内网用户也可以通过WE酿务器的外网地址进行访问。网络说明：防火墙外网接口地址：21/30防火墙内网接口地址：53/30核心交换机防火墙VLAN 54/30核心交换机用户群A的VLAN /24核心交换机用户群B的VLAN /24用户群A

2、的默认网关：54用户群B的默认网关：54防火墙至出口的默认网关：22/30核心交换机至防火墙的默认网关：53内网WEB服务器地址：00/32（通过防火墙映射成公网地址）简单拓扑图如下：2这里着重介绍的是出口防火墙的配置，从上图中可以看出，防火墙位于核心交换机至出口的中间。我们首先需通过某种方式对防火墙进行管理配置。1、连接防火墙首先查看防火墙的出厂随机光盘，里面其中有个防火墙安装手册，描述了防火墙的出丿管理用户管理员用户名superman管理员密码tale nt或12345678系统参数设备名称

3、TopsecOS同一管理员最多允许登录失败次数5最大并发管理数目5最大并发管理地点5INTERNET预设置:218.90, 13. 12(/30INTERNET21H. 90. l2i 12Z019125：V30-加胡坯鲁柳 24-血沁匸T927T磁歎254前3同一用户最大登录地点5空闲超时3分钟物理接口EthO（或LAN口）IP:54/24其他接口Shutdown服务访问控制WEBUI管理（通过浏览器管理防火墙）：允许来自Eth0（或LAN口）上的服务请求GUI管理（通过TOPSEC管理中心）：允许来自Eth0（或LAN口）上的服务请求SSH（通过SSH远程登录管理）：

4、允许来自Eth0（或LAN口）上的服务请求升级（对网络卫士防火墙进行升级）：允许来自Eth0（或LAN口）上的服务请求PING（ PING到网络卫士防火墙的接口IP地址或VLAN虚接口的IP地址）：允许来自Eth0（或LAN口）上的服务请求其他服务禁止地址对象地址段名称any地址段范围-55区域对象区域对象名称area_eth0绑定属性eth0权限允许日志日志服务器IP地址IP:192.168. 1.253日志服务器开放的日志服务端口UDP的514端口高可用性（HA关闭从中可以看出，管理口为ETH0口，地址为54，我们将一台电脑直接

5、与ETHO接 口相连，然后配置一个192.168.1段的地址，然后在浏览器上访问54，就进入了WEBT理界面（如出现安装证书问题，直接点继续浏览此网站），如下。4“接口在ETH1接口一行点击最后的蓝色图标，如下图，进入ETH1接口配置模式。町U伏态协裔速率设置1500启用autoauto1500启用1500启用4UtQautoISOO启用auto程ULt廿然后输入外网地址，接口模式为“路由”，最后点“确定”，如下图。53、路由配置这里有两种路由要写，一是至外网出口的默认路由，下一跳为22，还有一种是至内网核心交换机的回程路由，共有两条

6、，下一跳都是指向54。依次选择左边菜单的“网络管理”-“路由”，然后点击“添加”，添加一条至外网的默认路 由，如下。6再依次添加两条回程路由:这样，出去的路由有了，回去的路由也有了。4、访问控制7默认防火墙是阻止所有经过的包，所以需对访问控制项进行设置。点击菜单的“防火墙”-“访问控制”，点击“添加”按扭，如下图就出现了添加窗口，在源 窗口和目的窗口均选择“ANY范围”，“服务”不选（包含所有服务），“选项”默认，直接点击 确定。这样，就允许所有的数据经过防火墙了。当然，可以通过详细的设置来控制不同网段的电脑， 这里就不在叙述了。miPFITIP范围105 HE血】vla

7、n_101手网RPtpjEi访同权限：用允许拒绝启用规则；破启用 歐认宕用规则，不选为暂不生如|确定|取消|5、配置地址转换（NAT目的选项选餐沥比址:排库 己选瘵首先 新 建“区域”，选择 菜 单的 “ 资源管理” 好。-“区域”，点击添加，将内、外网的区域新建mana? e-hcst主机WXWF-tlQSt主机h3c-s5EOO主机26主机厂敝选释具忖癸型的痫any 祖 住机rievF-ww-host主机8F来配置源地址转换，选择“防火墙”-“地址转换”，点击添加，选择“源地址”转换，在源 选 项 上 ， 将 “ 高 级 ” 的 钩 打 上 ， 然 后 将 “n e i w a n g”

8、移 至 “ 已 选 源A R E A, 如 下 图 :Jth2elhl讥hO_ladslipsecO_J区域确定| 取涓彼选Ji性区域确定取消被选屈性91 1述择源KfiIR;IpptpaieJL-neLuranglanyping1 neiwang|waiwang选澤源诵口：排序已选源诵:3003 (TCF:0O33J test(TCF:SOOO)z在目标选项上，将“高级”的钩打上，然后将“waiwang移至“已选目的AREA，如下图:10在“服务”选项上，不选择任何服务，这样就表示包含所有服务。在“源地址转换为：”选项中，选择“ETH1属性”，如下图。1A址转H袈JII金源转按目的转换双可转

9、换厂不作转换憑目的服筈选择服务：排序已选服务：启用规则:M秋认启用规则，不选为不生效沥端口不厳转换:【湄端口固定】115033仃CF;E0S31 test (TCP; 3000 3043 (TCP:S043) 7001(TCP:7001) 5001 (TCP：ED01) IP (ETH:0 x0800 ARP (ETH:0 x0806) LOOT (IF:36) PU? (ETH: 0 x0200) PUKAT (ETH:00201) K25 (ETH:Ote0805) HPQ (ElHiOxOStf)文腹地址转换为：I ethl厲性二源端口不散转按:厂噸端口固定X默认启用规则不选为不生效配置

10、到此，内网用户已经可以通过防火墙上INTERNET了。接下来配置目的地址转换，让外网的用户可以访问内网的WE酿务器00。6、内网WEB服务器映射12选择菜单“资源管理”-“地址”，选择添加，将00添加至地址栏中，命名为www-server，如下图。然后选择“防火墙”-“地址转换”，选择添加，弹出对话框，然后选择“目的转换”选项, 在“源”选项上，选择“ANY:广源转换 存目的转按厂取商转换不作转换目的谨择源!manage-host主机wurhost主机h3c-s5500住机 対主机、. _ _-.J王机n&iflr ww-h o si主机PPTPIP

11、池国10E范圉vl an_ 10 L千网厂高级选择苴他类型的诟any 耙排序13在“目的”选项上，选择“ETH1:广源转换 存目的转换 广孜向转按不作转换_滙 l 阴 F 服貉陡择目雷排目服务”选项不选，“目的地址转换为”选择刚才新建的“www -server”地址，“目的端口转 换为”选择“不转换”，如下。98765432hhhhhhhh R- 6 6 6 6-61 1僅属属眉属属属rLrL rLrLrLrL rLrL rLrL rLrL L L;_ u _ : _ : _Lt Lt Lt-1 Tn TH TH TH THethladsl 属 性 ipsecO 眞 ipsec1USipsec2 属 ipsec3属1van属性lan届性ssn属性athOathl高级说择苴也类型的目的- - -TJ ml14广再转换 恃目的轄换广致向转勲 广不作转拗遊目的服务删眼务:排序80B3 (TCP:8083) test (TCP:8000)9043 (TCP=9043)7001 (TCP:7001) 5001 (TCF：50ai)IF CETJi: 0 x0000)-1叼ARF (ETH:OxQS06)LOOP (IP:96)PUP (ETH:0 x0200) )FU