Amaranten防火墙配置培训课件

第八章节透明模式

第八章节什么是透明模式防火墙工作于透明模式的时候不需要修改原有的网络中的路由和主机配置防火墙工作在透明模式时同样可以实现所有的功能（如包过滤、代理、NAT等），毫不损失任何功能及性能阿姆瑞特F系列防火墙的透明工作模式基于ProxyARP技术什么是透明模式防火墙工作于透明模式的时候不需要修改原有的网ProxyARPARP代理路由器一端那些不知道已经划分了子网的主机试图直接将数据发送给目标主机，而目标主机位于路由器的另外一侧，源主机发出一个ARP请求来查询目标主机的MAC地址，我们知道，目标主机不会做出响应，因为它根本不会收到请求信息，所以通信就无法完成了。具有ProxyARP功能的路由器（或者是其它网络设备）可以代替另外一端的主机用自己的MAC地址去响应那样的ARP请求，接着源主机将数据发送给路由器，然后路由器再将数据包转发出去。ProxyARPARP代理ARP地址解析协议MapIP MACLocalARPIP:Ethernet:0800.0020.2222IP:=???哦，我收到了你的请求，在我发给你的信息里有我的MAC地址我需要知道IP地址是的MAC地址IP:对应的MAC:0800.0020.2222IP:对应的MAC:0800.0020.1111IP:MAC:0800.0020.1111IP:MAC:0800.0020.2222ARP地址解析协议MapIP 透明接入原理IP:对应的MAC:0800.0020.2222IP:对应的MAC:0800.0020.1111IP:MAC:0800.0020.1111IP:MAC:0800.0020.2222IP:MAC:0800.0200.3333IP:IP:MAC:0800.0200.4444IP:对应的MAC:0800.0020.3333IP:对应的MAC:0800.0020.4444ARPProxy透明接入原理IP:IP:172.16.3配置防火墙－简单示例Internetgw-worldint-net/24Internetgw-worldint-net/24配置防火墙－简单示定义主机和网络增加相应的主机和网络第一条，第二条定义防火墙内口的ip地址以及广播地址第三条，第四条定义防火墙外口的ip地址以及广播地址第五条定义内网网段第六条定义管理网段第七条定义默认网关5555定义主机和网络增加相应的主机和网络192定义路由规则增加相应的路由规则第一条规则定义了到管理网络的路由（为了不占用ip地址，防火墙内口使用了不同网段的ip地址）第二条规则定义了到内部网络的路由，同时通过防火墙的外部网口ProxyARP内部网络(/24)上所有主机的MAC地址。第三条规则定义了到网关的路由，同时通过防火墙的内部网口ProxyARP网关(/32)的MAC地址到内部网络。第四条规则定义了防火墙的缺省路由。DMZ定义路由规则增加相应的路由规则DMZ制定过滤规则增加相应的过滤规则第一条规则删除了所有NetBIOS数据包第二条规则允许管理网络上的所有主机向防火墙发送ICMPechorequest(Ping)数据包第三条规则允许内部网络上的主机和Internet上的主机进行通讯第四条规则删除所有的数据包并对其进行记录制定过滤规则增加相应的过滤规则试验九：用户可以提供2个可用的IP地址试验十：用户可以提供1个可用的IP地址试验十一：用户无法提供可用的IP地址试验九：用户可以提供2个可用的IP地址第九章节混合模式第九章节混合模式混合模式总体描叙：网络中存在两类IP地址。一种是公网IP。一种是私有IP,因此需要将防火墙工作在透明和路由/NAT模式下。混合模式总体描叙：防火墙模式混合拓扑图internet/24EXT:40INT:0DMZ:05防火墙模式混合拓扑图internet/混合模式（一）防火墙模式混合Ext<------>DMZ透明INT-------->EXTNATDMZ<------>INT路由

混合模式（一）防火墙模式混合主机和网络主机和网络路由UseLocalIP

路由UseLocalIP过滤规则DMZEXTAll-netscompaqHttp-inAny_Allow_DMZ过滤规则DMZEXTAll-netscompaqHttp-i规则说明第四条规则内部区域连接到INTERNET经过NAT模式。第六条规则DMZ区域连接到INTERNET经过透明模式。规则说明第四条规则接口模式混合拓扑图Internetfirewall/24EXT:00INT:50—70GW:0INT:49接口模式混合拓扑图Internetfirewall192.1混合模式（二）端口模式混合Ext<------>INT即做透明又做地址翻译。内网和外网即有公网IP.又有私有IP.这就是所谓的端口模式混合。1.在内网的公网IP经过透明出去。(双向)2.在内网的私有IP经过NAT出去.(单向)混合模式（二）端口模式混合接口模式混合主机和网络接口模式混合主机和网络ARP绑定ARP绑定路由gateway路由gateway过滤规则过滤规则试验十二：防火墙混合模式试验十三：接口混合模式试验十二：防火墙混合模式第十章节:预共享密钥式的VPN第十章节:预共享密钥式的VPN配置Pre-shareVPN隧道InternetLan5:0Lan5:0Lan1:Lan1:TypicaltopologyusedforconfiguringtheCorporateAmarantenforPre-sharekeysVPNBothendsofthetunnelwillneedtoconfigured配置Pre-shareVPN隧道InternetLan5开始配置预共享密钥AVPNusingPre-sharedKeysrequirebothendsofthetunnelbemanuallyconfigured开始配置预共享密钥AVPNusingPre-sharVPN隧道CreatenewVPNtunnelVPN隧道CreatenewVPNtunnelVPN隧道远程Amaranten防火墙配置TunnelName:VPN_NANJINGLocalNetwork:/24RemoteNetwork:/24RemoteGateway:0

IKEProposal:ike-lantolanIPSecProposal:esp-tn-lantolan

Authenticaion:VPN_KEYVPN隧道远程Amaranten防火墙配置预共享密钥VPN隧道–总结TheVPNPre-sharedkeytableshowsalistofthePre-sharekeyscreated预共享密钥VPN隧道–总结TheVPNPre-sh路由表的要求IN8.2orAbove8.2Thevpninterfaceregradedasanactualinteface路由表的要求IN8.2orAbove8.2The需要什么样的规则CreateBi-directionRulsforvpnThevpnrulesshouldbeputatthetoptotherules需要什么样的规则CreateBi-directionRuVpn监控Cmd>vpnstats---IPsecSAs:1VPNTunnel:vpn-shanghaiEndpoints:/24Remotegateway:0Protocol:ESP:rijndael-cbchmac-sha1-962VPNTunnel:vpn-nanjingEndpoints:/24Remotegateway:0Protocol:ESP:rijndael-cbchmac-sha1-96Cmd>Vpn监控Cmd>vpnstats试验十四：共享密钥的VPN配置

试验十四：共享密钥的VPN配置第十一章:ClavisterVPN客户端软件ConfiguringtheRemoteClientSoftwareUsingPre-sharedKeys第十一章:ClavisterVPN客户端软件Config如何工作?InternetVPNTunnel00Lan5:0Lan1:00ClientVPNisbuiltfromClientAtoDestinationNetwork－ConfiguredfromHostPCtoFirewall－Notdonefromfirewalltofirewall如何工作?InternetVPNTunnel172.30.开始WindwosTaskbarAfterInstallingAmaranten-RemoteSoftware,havingselectingallthedefaults,RebootYourPC－AfterthePCisrebooted,－3stepstoconfigureAmarantenRemoteAddPre-sharedKeysAddnewVPNConnectionDefinetheIPSecProtocols开始WindwosTaskbarAfterInstall创建一个预共享密钥创建一个预共享密钥添加新的VPN连接Bydefault,noVPNconnectionArecreated添加新的VPN连接Bydefault,noVPNc添加远程网络

hereyouneeddeployremotesubnetandsubmask添加远程网络

hereyouneeddeployr举例如下举例如下添加VPN举例添加VPN举例加密算法youcanselectanotherkindsofencryptionalgorithmsaccordingtoyourrequirements加密算法youcanselectanotherkin第十二章实现阿姆瑞特防火墙的

PBR功能

<下接三层设备>实验机型：AS_F300-pro内核版本：8.40.01第十二章实现阿姆瑞特防火墙的

PBR功能

<下接三层设备>拓扑环境描述InternetSiSi计算机计算机计算机计算机Net_LAN-01:/24Net_LAN-02:/24IP_LAN-R:/30GW_Internal:/30IP_WAN-Telcom:/29IP_WAN-CNC:/29GW_World-Telcom:/29GW_World-CNC:/29拓扑环境描述InternetSiSi计算机计算机计算机计算机实验环境描述：网络有两个出口，分别是中国电信和中国网通，都可以接入因特网内网有多个子网，由三层交换接入防火墙lan1接口防火墙接口定义：lan1接内网，连接三层交换机，IP地址为：/30，内部网关为：/30lan2接中国电信GW_World-Telcom:/29 接口IP地址为：Net_WAN-Telcom:/29lan3接中国电信GW_World-CNC:/29 接口IP地址为：Net_WAN-CNC:/29实验达到的目的：使用PBR，使内网中/24网络的计算机从中国电信 GW_World-Telcom出去上网，使内网/24网络从 中国网通GW_World-CNC出去上网拓扑环境描述和目的实验环境描述：实验达到的目的：拓扑环境描述和目的建立网络对象： 在“局部对象”-

“主机和网络”中定义网络拓扑中出现的所有对象，命名策略必须遵照“阿姆瑞特命名规范.PPT”防火墙配置第一步<1>建立网络对象： 在“局部对象”-“主机和网络”中定义网防火墙配置第一步<2>建立网络对象：

检查“局部对象”-

“主机和网络”中定义网络拓扑中出现的所有对象定义电信接口lan2的IP地址,以及电信分配的接口lan2所连接网络的广播地址和网络地址；Internet的电信网关地址：GW_World-Telcom定义内网接口lan1的IP地址（lan1下联三层设备）,以及内网接口lan1所连接网络的广播地址和网络地址；Internal网关地址：GW_Internal定义网通接口lan3的IP地址,以及网通分配的接口lan3所连接网络的广播地址和网络地址；Internet的网通网关地址：GW_World-CNC定义内网接口三层设备（GW_Internal）所连接的网络,并将连接的网络Net_LAN01和Net_LAN02组合成为一个Group_All_LAN组防火墙配置第一步<2>建立网络对象： 检查“局部对象配置置接口的地址和所连接网络的广播地址： 在“网络接口”-

“以太网”里确定IP地址和广播地址的绑定防火墙配置第二步<1>配置置接口的地址和所连接网络的广播地址： 在“网络接口”-防火墙配置第二步<2>配置接口速度和双工模式： 在“网络接口”-

“以太网”里配置相应接口的速度和双工模式防火墙配置第二步<2>配置接口速度和双工模式： 在“网添加和配置主路由： 在“路由设置”-

“主路由表”里添加和设置路由防火墙配置第三步<1>添加和配置主路由： 在“路由设置”-“主路由表”里添加防火墙配置第三步<2>确定在“主路由表”里添加和配置的主路由的顺序4、检查内网接口lan1直连三层设备的路由7、检查网通接口lan3直连网络的直接路由9、检查电信接口lan2的缺省路由设置（必须放在最后）

1、检查管理接口lan5直连网络的直接路由5、内网接口lan1通过三层设备GW_Internal到达Group_ALL_LAN。8、检查电信接口lan2直连网络的直接路由防火墙配置第三步<2>确定在“主路由表”里添加和配置的添加和配置策略路由： 在“路由设置”-

“基于策略的路由表”里添加和设置策略路由防火墙配置第三步<3>Default-表示首先要查询主路由表。如果只有缺省路由(/0)匹配，则查询命名路由表。如果在命名路由表的查询失败，就认为整个查询失败了。First-

表示首先要查询的命名路由表。如果查询失败，则在主路由表里继续查询。添加和配置策略路由： 在“路由设置”-“基于策略的路由防火墙配置第三步<4>添加和配置策略路由： 在“路由设置”-“基于策略的路由规则”里添加和设置策略路由的规则注意：只有基于策略的路由规则与过滤规则匹配时，才会激活策略路由，就是说在过滤规则里也需要有和策略路由规则相同的规则才行。目标的接口地址必须选择选择any，绝对不可以选择策略路由里的接口Net_lan-02Net_lan-02Net_lan-02防火墙配置第三步<4>添加和配置策略路由： 在“路由设添加PBR出口的access规则添加PBR出口的access规则配置过滤规则： 在“过滤规则”里设置访问控制规则，规则的设计是根据客户的需求来定义的，且规则的建立必须在“DropAll”规则之上防火墙配置第四步配置过滤规则： 在“过滤规则”里设置访问控制规则，规则的设计第1步 新建规则：右键单击“DropAll”，选择“NewRules”,规则名称必须遵照“阿姆瑞特命名规范.doc”，按照设计思路定义源接口、源网络、目标接口和目标网络设置过滤规则第1步Net_lan-02any第1步 新建规则：右键单击“DropAll”，选择“New第2步 设置服务：根据客户需求打开相应的服务，不确定的用“标准”，基于安全考虑，Web服务器只需要对外开放80端口就可以。设置过滤规则第2步第2步 设置服务：根据客户需求打开相应的服务，不确定的用“标第3步设置日志记录方式： 根据客户需求打开或关闭此条规则的日志记录，不确定的“程度”选择“Notice”；“日志服务器”选择“All”设置过滤规则第3步第3步设置日志记录方式： 根据客户需求打开或关闭此条规第4步 确定规则设置顺序，完成后的过滤规则如下图设置过滤规则第4步1、丢弃所有的NetBIOS/SMB数据包

（默认规则）

3、允许Net_LAN-01通过电信出口lan2访问Internet上的FTP服务器4、允许Net_LAN-02通过网通出口lan3访问Internet上的FTP服务器（必须和策略路由规则一样）9、丢弃所有与上面规则不匹配的数据包（默认规则）

注意：阿姆瑞特防火墙的过滤规则是按照由上到小的顺序执行的，所以在设计过滤规则的时候必须注意顺序8、允许管理网络可以Ping防火墙5、允许Net_LAN-01通过电信出口lan2访问Internet6、允许Net_LAN-02通过网通出口lan3访问Internet（必须和策略路由规则一样）第4步 确定规则设置顺序，完成后的过滤规则如下图设置过滤规则将配置签入:在“工具栏”里点击或如下图，成功后防火墙旁边的小红点将消失防火墙配置第五步将配置签入:在“工具栏”里点击将配置上传到防火墙并激活：在“工具栏”里点击或，选择需要配置的防火墙防火墙配置第六步将配置上传到防火墙并激活：在“工具栏”里点击

分别在Net_LAN-01，Net_LAN-02的网络中访问外网，简单的可以做Ping测试，Ping一个外网的DNS服务器，例如：，并对内网访问Internet的规则进行日志记录，我们可以抓取实时日志进行分析。测试分别在Net_LAN-01，Net_LAN-02试验十五：PBR配置

试验十五：PBR配置

谢谢Amaranten防火墙配置培训演讲完毕，谢谢观看！演讲完毕，谢谢观看！第八章节透明模式

第八章节什么是透明模式防火墙工作于透明模式的时候不需要修改原有的网络中的路由和主机配置防火墙工作在透明模式时同样可以实现所有的功能（如包过滤、代理、NAT等），毫不损失任何功能及性能阿姆瑞特F系列防火墙的透明工作模式基于ProxyARP技术什么是透明模式防火墙工作于透明模式的时候不需要修改原有的网ProxyARPARP代理路由器一端那些不知道已经划分了子网的主机试图直接将数据发送给目标主机，而目标主机位于路由器的另外一侧，源主机发出一个ARP请求来查询目标主机的MAC地址，我们知道，目标主机不会做出响应，因为它根本不会收到请求信息，所以通信就无法完成了。具有ProxyARP功能的路由器（或者是其它网络设备）可以代替另外一端的主机用自己的MAC地址去响应那样的ARP请求，接着源主机将数据发送给路由器，然后路由器再将数据包转发出去。ProxyARPARP代理ARP地址解析协议MapIP MACLocalARPIP:Ethernet:0800.0020.2222IP:=???哦，我收到了你的请求，在我发给你的信息里有我的MAC地址我需要知道IP地址是的MAC地址IP:对应的MAC:0800.0020.2222IP:对应的MAC:0800.0020.1111IP:MAC:0800.0020.1111IP:MAC:0800.0020.2222ARP地址解析协议MapIP 透明接入原理IP:对应的MAC:0800.0020.2222IP:对应的MAC:0800.0020.1111IP:MAC:0800.0020.1111IP:MAC:0800.0020.2222IP:MAC:0800.0200.3333IP:IP:MAC:0800.0200.4444IP:对应的MAC:0800.0020.3333IP:对应的MAC:0800.0020.4444ARPProxy透明接入原理IP:IP:172.16.3配置防火墙－简单示例Internetgw-worldint-net/24Internetgw-worldint-net/24配置防火墙－简单示定义主机和网络增加相应的主机和网络第一条，第二条定义防火墙内口的ip地址以及广播地址第三条，第四条定义防火墙外口的ip地址以及广播地址第五条定义内网网段第六条定义管理网段第七条定义默认网关5555定义主机和网络增加相应的主机和网络192定义路由规则增加相应的路由规则第一条规则定义了到管理网络的路由（为了不占用ip地址，防火墙内口使用了不同网段的ip地址）第二条规则定义了到内部网络的路由，同时通过防火墙的外部网口ProxyARP内部网络(/24)上所有主机的MAC地址。第三条规则定义了到网关的路由，同时通过防火墙的内部网口ProxyARP网关(/32)的MAC地址到内部网络。第四条规则定义了防火墙的缺省路由。DMZ定义路由规则增加相应的路由规则DMZ制定过滤规则增加相应的过滤规则第一条规则删除了所有NetBIOS数据包第二条规则允许管理网络上的所有主机向防火墙发送ICMPechorequest(Ping)数据包第三条规则允许内部网络上的主机和Internet上的主机进行通讯第四条规则删除所有的数据包并对其进行记录制定过滤规则增加相应的过滤规则试验九：用户可以提供2个可用的IP地址试验十：用户可以提供1个可用的IP地址试验十一：用户无法提供可用的IP地址试验九：用户可以提供2个可用的IP地址第九章节混合模式第九章节混合模式混合模式总体描叙：网络中存在两类IP地址。一种是公网IP。一种是私有IP,因此需要将防火墙工作在透明和路由/NAT模式下。混合模式总体描叙：防火墙模式混合拓扑图internet/24EXT:40INT:0DMZ:05防火墙模式混合拓扑图internet/混合模式（一）防火墙模式混合Ext<------>DMZ透明INT-------->EXTNATDMZ<------>INT路由

混合模式（一）防火墙模式混合主机和网络主机和网络路由UseLocalIP

路由UseLocalIP过滤规则DMZEXTAll-netscompaqHttp-inAny_Allow_DMZ过滤规则DMZEXTAll-netscompaqHttp-i规则说明第四条规则内部区域连接到INTERNET经过NAT模式。第六条规则DMZ区域连接到INTERNET经过透明模式。规则说明第四条规则接口模式混合拓扑图Internetfirewall/24EXT:00INT:50—70GW:0INT:49接口模式混合拓扑图Internetfirewall192.1混合模式（二）端口模式混合Ext<------>INT即做透明又做地址翻译。内网和外网即有公网IP.又有私有IP.这就是所谓的端口模式混合。1.在内网的公网IP经过透明出去。(双向)2.在内网的私有IP经过NAT出去.(单向)混合模式（二）端口模式混合接口模式混合主机和网络接口模式混合主机和网络ARP绑定ARP绑定路由gateway路由gateway过滤规则过滤规则试验十二：防火墙混合模式试验十三：接口混合模式试验十二：防火墙混合模式第十章节:预共享密钥式的VPN第十章节:预共享密钥式的VPN配置Pre-shareVPN隧道InternetLan5:0Lan5:0Lan1:Lan1:TypicaltopologyusedforconfiguringtheCorporateAmarantenforPre-sharekeysVPNBothendsofthetunnelwillneedtoconfigured配置Pre-shareVPN隧道InternetLan5开始配置预共享密钥AVPNusingPre-sharedKeysrequirebothendsofthetunnelbemanuallyconfigured开始配置预共享密钥AVPNusingPre-sharVPN隧道CreatenewVPNtunnelVPN隧道CreatenewVPNtunnelVPN隧道远程Amaranten防火墙配置TunnelName:VPN_NANJINGLocalNetwork:/24RemoteNetwork:/24RemoteGateway:0

IKEProposal:ike-lantolanIPSecProposal:esp-tn-lantolan

Authenticaion:VPN_KEYVPN隧道远程Amaranten防火墙配置预共享密钥VPN隧道–总结TheVPNPre-sharedkeytableshowsalistofthePre-sharekeyscreated预共享密钥VPN隧道–总结TheVPNPre-sh路由表的要求IN8.2orAbove8.2Thevpninterfaceregradedasanactualinteface路由表的要求IN8.2orAbove8.2The需要什么样的规则CreateBi-directionRulsforvpnThevpnrulesshouldbeputatthetoptotherules需要什么样的规则CreateBi-directionRuVpn监控Cmd>vpnstats---IPsecSAs:1VPNTunnel:vpn-shanghaiEndpoints:/24Remotegateway:0Protocol:ESP:rijndael-cbchmac-sha1-962VPNTunnel:vpn-nanjingEndpoints:/24Remotegateway:0Protocol:ESP:rijndael-cbchmac-sha1-96Cmd>Vpn监控Cmd>vpnstats试验十四：共享密钥的VPN配置

试验十四：共享密钥的VPN配置第十一章:ClavisterVPN客户端软件ConfiguringtheRemoteClientSoftwareUsingPre-sharedKeys第十一章:ClavisterVPN客户端软件Config如何工作?InternetVPNTunnel00Lan5:0Lan1:00ClientVPNisbuiltfromClientAtoDestinationNetwork－ConfiguredfromHostPCtoFirewall－Notdonefromfirewalltofirewall如何工作?InternetVPNTunnel172.30.开始WindwosTaskbarAfterInstallingAmaranten-RemoteSoftware,havingselectingallthedefaults,RebootYourPC－AfterthePCisrebooted,－3stepstoconfigureAmarantenRemoteAddPre-sharedKeysAddnewVPNConnectionDefinetheIPSecProtocols开始WindwosTaskbarAfterInstall创建一个预共享密钥创建一个预共享密钥添加新的VPN连接Bydefault,noVPNconnectionArecreated添加新的VPN连接Bydefault,noVPNc添加远程网络

hereyouneeddeployremotesubnetandsubmask添加远程网络

hereyouneeddeployr举例如下举例如下添加VPN举例添加VPN举例加密算法youcanselectanotherkindsofencryptionalgorithmsaccordingtoyourrequirements加密算法youcanselectanotherkin第十二章实现阿姆瑞特防火墙的

PBR功能

<下接三层设备>实验机型：AS_F300-pro内核版本：8.40.01第十二章实现阿姆瑞特防火墙的

PBR功能

<下接三层设备>拓扑环境描述InternetSiSi计算机计算机计算机计算机Net_LAN-01:/24Net_LAN-02:/24IP_LAN-R:/30GW_Internal:/30IP_WAN-Telcom:/29IP_WAN-CNC:/29GW_World-Telcom:/29GW_World-CNC:/29拓扑环境描述InternetSiSi计算机计算机计算机计算机实验环境描述：网络有两个出口，分别是中国电信和中国网通，都可以接入因特网内网有多个子网，由三层交换接入防火墙lan1接口防火墙接口定义：lan1接内网，连接三层交换机，IP地址为：/30，内部网关为：/30lan2接中国电信GW_World-Telcom:/29 接口IP地址为：Net_WAN-Telcom:/29lan3接中国电信GW_World-CNC:/29 接口IP地址为：Net_WAN-CNC:/29实验达到的目的：使用PBR，使内网中/24网络的计算机从中国电信 GW_World-Telcom出去上网，使内网/24网络从 中国网通GW_World-CNC出去上网拓扑环境描述和目的实验环境描述：实验达到的目的：拓扑环境描述和目的建立网络对象： 在“局部对象”-

“主机和网络”中定义网络拓扑中出现的所有对象，命名策略必须遵照“阿姆瑞特命名规范.PPT”防火墙配置第一步<1>建立网络对象： 在“局部对象”-“主机和网络”中定义网防火墙配置第一步<2>建立网络对象：

检查“局部对象”-

“主机和网络”中定义网络拓扑中出现的所有对象定义电信接口lan2的IP地址,以及电信分配的接口lan2所连接网络的广播地址和网络地址；Internet的电信网关地址：GW_World-Telcom定义内网接口lan1的IP地址（lan1下联三层设备）,以及内网接口lan1所连接网络的广播地址和网络地址；Internal网关地址：GW_Internal定义网通接口lan3的IP地址,以及网通分配的接口lan3所连接网络的广播地址和网络地址；Internet的网通网关地址：GW_World-CNC定义内网接口三层设备（GW_Internal）所连接的网络,并将连接的网络Net_LAN01和Net_LAN02组合成为一个Group_All_LAN组防火墙配置第一步<2>建立网络对象： 检查“局部对象配置置接口的地址和所连接网络的广播地址： 在“网络接口”-

“以太网”里确定IP地址和广播地址的绑定防火墙配置第二步<1>配置置接口的地址和所连接网络的广播地址： 在“网络接口”-防火墙配置第二步<2>配置接口速度和双工模式： 在“网络接口”-

“以太网”里配置相应接口的速度和双工模式防火墙配置第二步<2>配置接口速度和双工模式： 在“网添加和配置主路由： 在“路由设置”-

“主路由表”里添加和设置路由防火墙配置第三步<1>添加和配置主路由： 在“路由设置”-“主路由表”里添加防火墙配置第三步<2>确定在“主路由表”里添加和配置的主路由的顺序4、检查内网接口lan1直连三层设备的路由7、检查网通接口lan3直连网络的直接路由9、检查电信接口lan2的缺省路由设置（必须放在最后）

1、检查管理接口lan5直连网络的直接路由5、内网接口lan1通过三层设备GW_Internal到达Group_ALL_LAN。8、检查电信接口lan2直连网络的直接路由防火墙配置第三步<2>确定在“主路由表”里添加和配置的添加和配置策略路由： 在“路由设置”-

“基于策略的路由表”里添加和设置策略路由防火墙配置第三步<