SonicWALL防火墙基本配置

SonicWALL防火墙基本配置

SonicWall网络向导配置............................................................

SonicWall规则配置.................................................................

SonicWall一般规则配置........................................................

SonicWall服务器规则向导配置..................................................

SonicWall对象配置.................................................................

SonicWallVPN配置.................................................................

SonicWall网络向导配置

首次接触SonicWALL防火墙设备，我们将电源接上，并开启电源开关，将X0口和你

的电脑相连（注：请用交叉线）SonicWALL防火墙默认的IP地址为68,我

们也可以通过setuptool.exe这个小工具探知SonicWALL防火墙的IP地址。如图所示：

当网线和电源等都连接好之后，我们设置一下本机的IP地址，以便和SonicWALL防火

墙处于同一个网段。如图所示：

」-本地连接属性|?|X-旧『

岫）工具d）高级®

常规高级

更索文件夹区▼

Internet协议(TCP/IP)属性0®

LA8或高速Interne

如果网络支持此功能，则可以获取自动指派的IP设置.否则，

本地连接您需要从网络系统管理员处获得适当的IP设置・

己连接上，有

Intel®PRO

O自动森得IP地址（Q）

。使用下面的IP地址⑤I：

IP地址9：192.168.168.12

子网俺蚂&）：255.255.255.0

默X网关也）：192.168.168.168

设置好IP地址后，我们在IE阅读器的地址栏输入SonicWALL防火墙的IP地址，防火墙将

弹出网络配置向导界面

点next,提示我们是否修改管理员密码，依据须要我们将密码设置为实际密码,

|http://192.168.168.168-SonicVALI--Setuplizard-licrosoftInternetEx...|-

Step1:ChangePassword

YoumustchangetheadministraorpasswordforyourSonicWALL

PleaseselectastrongpasswordAstrongpasswordshouldbeacombinationof

numbersandlettersupto32characterslong

Thepassvzordyouselectwillbecase-sensitive.Itshouldnotbeawordthat

appearsinthedictionary,anditshouldnotcontainpersoralinformationsuch

asbirthdates,namesofrelatives,orlicenseplatenumbeis.Itshouldbe

somethingeasytoremember,butdifficulttoguess,suchms.111k3ch33sM.

Tocontirue,clickNext

«BackNext〉|Cancel

点next,提示我们修改防火墙的时区，我们选择中国的时区。

点nexl,输入相关的信息，1P地址、掩码、网关、DNS服务器等，假如不知道此处该如何

设置，请和你的ISP联系.

itep4:WANNetworkMode:NATEnabled

FillinthefollowingnetworksettingstogettotheInternet.

YouwillneedtofillinthefollowingfieldstoconnecttotheInternet

AJIthesevaluesmustbeenteredasnumericalIPaddresses(suchas2)

Ifyoudonothavetheinformation,pleasecontactyour[SP.

SonicWALLWANIPAddress:

WANSubnetMask:

Gatewav(Router)Address:

DNSServerAddress:

DNSServerAddress#2(optional):

Tocontinue,clickNext.

«BackNext*Cancel

点nexl,提示我们设置LAN口的IP和掩码，我们依据自己的规划和网络的实际状况设置,

此处我没有修改。

：ep5:LANSettings

ReviewtheSonicWALL'sSNnewotksettings.

PleaseenterthenetworkinformationfortheSonicWALL'sLAN.

Youcan;hoosethisinformationarbitrarily,butit'sagoodideatouse

,private,addresses(suchas10.0.01or192.1681681)

Thedefaultvaluesbeloww川woricwellformostnetworks.

SonicWALLLftNIPAddress:68

SNSubnetMask:

Tocontirue,clickNext.

iCWALL^«BackNext*Cancel

点next,设置DHCPserver的相关配置，假如不开启，把勾取消即可。

Step6:LANDHCPSettings

YoucanenableandconfigureyourSonicWALL'sDHCPServerontheLAN.

IfyouwishtouseSonicWALL'sDHCPServerontheLAN,checkthe"EnableDHCP

ServeronLWcheckboxbelowandenterarangeofIPaddressestoassigntothe

networkdevices.

TheaddressrangemustbeinthesamesubnetastheConicWALLWeb

Managementaddress,currently68/

Therangebelowalreadyexists.Youmaychangeithereifyouwish.

QEnableDHCPServeronLAN

LANAddressRange:67

Tocontinue,clickNext.

<BackINext>Camel

点next,防火墙将把前面做的设置做一个摘要，以便我们再一次确认是否设置正确，假如有

和实际不符的地方，可以点back返回进行修改。依据我们前面的设置，防火墙开启了NAT

模式——即在LAN内的PC访问WAN外的互连网时，将转换其IP地址为WAN口地址。

Step/:SonicWALLContigiirationSummary

ReviewthedummaiyofyourSonicWALL'iconfiguration

WANlEerfdce-NATEnabled（StaticAssi（|ned）

IPAdcress:192.168.121.100

SubnetMask.255255.255.0

Gateway192.168121.1

DNS51139269

LANInterface-Enabled

IPAdcress:192.168.168168

SubnetMask

DHCFEnabled:192,168168.1-192168168.167

Toapprythesesettings,clickApply.

<BackAPPWCancel

点apply,设置生效。

Congratulations!

YouhavesuccessfullycompletedtheSonicWALLSetupWizard.

AdditionalandadvancedconfigurationoptionscanbefoundintheSonicWALL

WebManagementInterface.

Remember,fromnowonyouwilllogintotheWebManacementInterfaceat:

URL：»ittp(S)：//68

UserName:admin

Password:<setaspreviously

Next,youshouldclickhereorvisitSonicWALL'SWebSitetoregisteryourunit.

Thiswillbenecessarybeforeyoucantakeadvantageoffirmwareupdates

andotheroptionalfeatures.

Toclosethiswindow,clickClose.

Close

点close,回到登陆界面

输入帐号密码后，点login

假如登陆后没有弹出网络配置向导，我们可以先登录进去，然后点击Wizards进行配置。

System

=Status

・Licenses

■Administration

■Certificates

ABTime

■Schedules

■Settings

■Diagnostics

■Restart

Network

SoniePoint

Firewall

VoIP

VPN

Users

S可5吗Serviews

Log

Wizards

Help

Logout

'争https://222.73.41.7SonicWALLConfigurationWizardMicrosoftInternetExplorer-r

WelcometotheSonicWALLConfigurationWizard

SelectoneofthewizardsbelowtoeasilyconfigureyourSonicWALL:

OSetupWizard-ThiswizardwillhelpyouquicklyconfiguretheSonicWALL

tosecureyourInternetconnection.Oncecompleted,youcanusethe

SonicWALLWebManagementInterfaceforadditionalconfiguration.

♦PorlShieldInterfaceWizardSegmentandconfigurethointegrated

25-portmanagedswitchofthePR01260.

•PublicServerWizard-QuicklyconfigureyourSonicWALLtoprovide

publicaccesstoaninternalserver.

•VPNWizard-Createanewsite-to-siteVPNPolicyorconfiguretheWANGroupVPM

toacceptconnectionsfromtheSonicWALLGlobalVPNClient

Tocontinue,clickNext.

Cancel

指Done目.Internet

点next后就可以按着.上面的方法接着做。

当把配置做好以后，我们将防火墙的XI口接到ISP进夹的网线上，将X0口接到内网交换

机上。这时，我们可以找一个内网的机器，测试是否可以访问外网：

SonicWall规则配置

SonicWall一般规则配置

这时，我们已经可以访问外网了。此时的策略是默认允许内网的全部机器可以随意的访问

外网，为了符合公司的平安策略，我们假如要相关的平安策略，限制一些访问的协议。通常

有两种做法：•种是先限制全部的协议，在逐步开放须要访问的协议：另•种是先开放全部

的协议，在逐步禁止不能访问的协议。

我们以第一种为例，选择firewall—>accessrules,选择从LAN到WAN,

我们可以看到有一条默认策略是允许LAN的机器可以随意访问WAN外的随意服务,

我们先将此策略修改为禁止，点此规则的编辑图标，弹出如下界面,

在action出选择deny,点OK,我们可以望见已经禁止了全部的访问:

AccessRules(LAN>WAN)Items'to1>of1)"

ViewStyle:OAHRules(*)MatrixODrop-downBoxes

这时，我们再添加允许访问的服务等，可依据IP、协议、时间、用户、带宽等做限制。

我们简洁的做一个允许内网中某一个IP2可以访问外网的服务为例，点

add,选择服务为，选择源网络IP,假如例表中没有，我们可以添加

选择目的网络为any,选择时间等，也可以依据默认设置，点OK

我们可以看到规则已经生效，通过测试，发觉可以访问。

AccessRules(LAN>WAN)Items1to2(of2)00

ViewStyle:OAIIRulesGMatrixODrop-downBoxes

SonicWall服务器规则向导配置

假如公司对外有服务器要开放，我们可以点publicserverWizard,

OH

ViewStyle:OAHRules©MatrixODrop-downBoxes

点击后，出现如下界面

点next,我们选杼相关的报务，以ftp服务为例，假如有别的相关的服务，我们选杼other,

自己进行定义,

21:PublicServerType

Selectthetypeofpublicservertowhichyouwishtoallowpublicaccess.

Pleaseselectthetypeofservertowhichyouwishtoprovidepublicaccess.

Selectingoneofthepre-definedserverswildefaulttotheservicescommonly

associatedwiththatservertype.Youmayuncheckunwantedservices,butat

leastoneservicemustbeselected.

Ifaparticularserviceisnotlisted,youcanchoose•Other'andonthefollowing

stepsyouwillhavetheopportunitytocreatenewservicesor

defineaservicegroupthatencompassesallofyourneeds.

ServerType:WebServer▼

WebServer

Services:

FTPServer

MailServer

TerminalServicesServer

Other

Tocontinue,clickNext

<BackNext>Cancel

我们点next,我们输入服务名和服务器的私有IP地址

Step2:ServerPrivateNetworkConfiguration

Entertheserver'sprivate(internal)addressinformation.

Pleaseenteranametoidentifythisserver,andtheserver'sprivate(internal)

IPaddress.ANetworkobjectrepresentingtheprivateserverwillbecreated,

asneeded,usingthenameandIPaddressinformationyouprovide,andwill

beassignedtotheappropriateZone.

IfyouenteranIPaddressthatmatchesanexistingNetworkObject,that

objectwillberenamedwiththeServerNameyouspecif/here.Youmay

alsoenteranoptionalcommenttohelpfurheridentilytheserver.

Ifyoudonotknowthisinformation,pleasecontacttheserver'sadministratoror

yournetworkadministratorbeforecontinuing

Tocontinue,clickNext.

'NKWALL^*BackNext>Cancel

点next,我们输入服务器的公网地址，默认是WAN口地址

>tep3:ServerPublicInformation

Entertheserver'spublicnetworkinformation.

Pleasespecifytheserver'spublic(external；IPaddress.Thedefaultvalueisthat

of^ourSonicWALL'sWANinterface,andshouldonlybechangedifthisserver

willbeaccessedovertheInternetbyadifferentaddress.

Specifyingadifferentaddresswillresultin:hecreationofpublicserver

NetworkObjectthatwillbeboundtotheWANZone

Ifyouareuncertainofthisaddress,youareencouragedtoleaveitatthedefault.

ServerPublicIPAddress:00

Tocontinue,clickNext.

<BackNext*Cancel

点next,出现前面配置的摘要，假如配置没有问题，我们可以点apply

Step4:PublicServerConfigurationSummary

Reviewthesettingsforyourpublicserver

Pleasereviewthesettingsbelowandclick"Appl/'tocreatethenewobjectslistedbelow.

ServerAddressObjects

1.CreateftpPrivate'assignedtoLANZoneforHost3.

2.ReuseWANPrimaryIP'addressobjectassignedtoWANZonefor00.

SetverServiceGroupObject

1.CreateftpServices'withFTPService.

SeiverNATPolicies

1.CreateInboundServerNATPolicytorewritepacketstooriginaldestinationWANPriman

IP'totranslateddestinationYtpPrivate'.

2.CreateOutboundServerNATPolicytorewritepacketsfromftpPrivate'totranslated

sourceWANPrimaryIP'.

3.CreateLoopbackNATPolicytoallowaccessfromallinternalzonestotheserverat

publicIPaddress192,168.121100.

SenrerAccessRules

1WAN>LAN-Allow'Any'toWANPrimarylP'forServiceGroupftpServices'.

SimilarruleswillbecreatedfromalllowersecurityzonestotheLANzone.

Toapplythesesettings,clickApply.Tocontinue,clickNext.

<BackApply>Cancel

点apply后,规则生效。

SonicWall对象配置

增加版防火墙由于增加了对象的概念，在防火墙规则中，通常，我们须要引用这些对象,

详细有：地址对象、时间对象、服务对象、用户对象等四大对象。这些定义的对象还可以进

一步定义成组，并且，组还可以包括组，从而构成丰南的规则限制。防火墙默认已经定义了

很多有用的对象，但不肯定满意我们的真实网络环境，须要依据实际须要自己定义。

我们首先介绍地址对象：

当我们登陆防火墙后，点networks,选择addressobjects,可以望见已经定义了很多有用

的地址对象和组。我们可以自己定义不同的地址对象，洛界面拖至底部，点add,

在name处给我们定义的对象取个名字，以便能见名知意，在zoneassignment处，选择相

应的平安区域，如LAN、WAN、DMZ等，在type出，可选择host、range、network、MAC

等多种类型，在地址处，输入相关的地址或者掩码。

AddressObjects

1LANPrimaryIP

2

3WANPrimaryIP

WAN

5X2IP

6X2Subnet

7X3IP

8X3Subnet

9DefaultGateway

10

11

12WANRemoteAccessNetworkso.o.o.oro.o.o.o

□1399-9

♦I・

Add...ueleie

当我们想把多个网络地址组合在一起时，我们可以定义地址组，选择addgroup,在name

处取一个名字，并将我们须要的地址对象从左边移到右边框即可。

当我们定义好地址对象和地址组后，我们就可以在规则里面引用这些地址对象。

下面我们介绍服务对象：

选择firewall,选则services，将界面拖至底部，点add，

38ISAKMPUDP500__________

)

39Kazaa/Fasri5http://192.168.121.100-Add1ServicRJ叵区

40KarharnsTCName:

41KerberosUDProtocol:-SelectIPType--v

-SelectPType-

42LDAPPortRange:

ICMP(1)■

]43LPR(UnixPrSubType:IGMP(2)

TCP⑹

44LeaveGroupUDP(17)

ReadyGRE(47)

]45LotusNotesESP(50)

AH(51)

Cancel

46MGCPTCPEIGRP(88)

OSPF(89)

]47MGCPUDPPIMSM(103)

L2Tp(115)

电完毕

48MMSTCPIPInternet

49MMSUDPUDP1755

50MSSQLTCP1433

Add...Delete

在弹出的界面中，我们可以给定义的服务取一个名字，在protocol中选择协议类型，如

TCP、UDP等,在portrange处，我们填写相关的端口。

38ISAKMPUDP500

□39Kazaa/Fasti

40KerberosTC

□KerberosUD

42LDAP

43LPR(UnixPr

44LeaveGroup

45LotusNotes

46MGCPTCP

47MGCPUDP

48MMSTCP

S22Syslog

024nmbuktu

E26VNC

S27VOIP

S28WinMX

S29YahooMess

AddGroup...

Services

Name

1BearShare

完毕Internet

在name处取一个名字，将左边我们须要的服务移到右边框即可。

卜面介绍时间对象，选择system,点schedules,我们可以看到已经预定义了一些时间对象,

我们也可以自己定义，点add

同样取一个名字，在days处，可以选择相关的星期，在起先时间处输入起先时间，在s停

止是就处输入停止时间，点add就可以在schedulelist处生成一条时间对象，可以这样生成

多条时间对象。

ScheduleName:worktime

Day(s):□Sun3Mon[ZlTueE]Wed

0ThursZlFri□Sat□/Ml

StartTime:.13|:口。(24HourFormat)

StopTime:豆：|oo(24HourFormat)

JAdd

ScheduleList:M-T-U-TH-F09:00to12:OO

M-T-U-TH-F13：OOto18:OO

DeleteDeleteAll

Ready

OKCancel

点OK后，时间对象生效，并可被规则引用。

卜面介绍用户对象，选择user

点localuser,我们可以添加用户，点adduser,

输入用户名和密码，即升，当然，我们也可以修改其所属的用户组等。一

选择localgroup后，点addgroup,可添加用户组，在members处可选择组的用户。

这些对象通常都是我们在规则里面须要引用的对象，须要提前做好规划和配置。

SonicWallVPN配置

举例如下：

总部：NSA3500

内网地址：

外网地址：

产品ID号UniqueFirewallIdentifier：0006B138F17C

分布：TZ150

内网地址：

外网地址:ADSL

产:品ID4-UniqueFirewallIdentifier：0006B345F19A

共享密钥：123456

产品ID号:

50川加4COMPRI><lNSIV1：INTIKNITSK'VRITY-

System

NetworkVPN>Settings

SonicPoint

FirewallVPNGlobalSettings

VoIP

日

VPNEnableVPN

JniqueFirewallIdentifier:0006B138F17C^

6Settings

■Advanced

■DHCPoverVPNVPNPolicies

・L2TPServer

网络拓扑如下:

NSA3500VPN配置

1.添加TZ150内网IP地址:

SystemA

□14ftpPrtvate6/255255.255255HostLAN

Network

□15电Public22273418T255255255255HostWAN矽@

■Inttrfaett

□8080PrMtt19216820026r2552552552WHostL*N

,g«lchPori)16

*Failover&L8□178080Public222.73418f255255255255HostWAN

■Zones

□188086PmateHostLAN

■DNS

trMde”ObjteU□198086PublicHO$tWAN

|(endianIP

・RouftngName

□20smtpPrhateHOStLAN

■HATPolkittZoneAssignment.VPNM.

■ARPU21sm(pPublicHostWAN

眠Mork1|

■DHCPStrvtrTYH

□228066PrhateHOStIAN源®

■IPX制p”NeMK)rk192168166|0

SoniePoht□238066PublicHOStWAN卡貌

Ntlmask2S52562550

Frewall

24VDnOHCPClient?NetworkVPN

VoJP

VPN—□251921681680R*xWNetivorkVPN

1rn

Users□26xiaochua^gOK||Cane剧NehvorkVPN

SecurityServices

n27tco65100Pnvat8HostLAN上泉

⑥

Log1□Done.■[rteenet

28group