网件FR538G防火墙配置手册Word格式文档下载.docx
《网件FR538G防火墙配置手册Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《网件FR538G防火墙配置手册Word格式文档下载.docx(78页珍藏版)》请在冰豆网上搜索。
QoS
带宽限速功能10
如何启用路由功能
FR538G及FVX538作为SPI防火墙,一般工作在NAT模式下,通过WAN口连接到Internet,然而,FR538G及FVX538也支持传统的路由模式,即可以把FR538G及FVX538作为路由器连接到网络上,下面,我们将通过实例来说明如何启用FR538G及FVX538的路由功能:
一、测试环境网络拓扑图
二、测试目标
让PC1、PC2、PC3、PC4之间在路由模式下能够互相通信。
三、设置步骤:
1.FSM7352S为三层交换机,1/0/17及1/0/31两个接口均设置为路由模式,具体配置如下:
FSM7352S接口IP配置:
interface1/0/17
routing
ipaddress10.10.10.1255.255.255.0
exit
interface1/0/31
ipaddress50.50.50.1255.255.255.0
路由条目配置:
iprouting
iproute20.20.20.0255.255.255.010.10.10.2
iproute30.30.30.0255.255.255.010.10.10.2
iproute192.168.0.0255.255.255.010.10.10.2
iproute40.40.40.0255.255.255.010.10.10.2
配置完成后可看到
(FSM7352S)#showipinterface
NetdirMulti
InterfaceIPAddressIPMaskBcastCastFwd
-------------------------------------------------------
1/0/1710.10.10.1255.255.255.0DisableDisable
1/0/3150.50.50.1255.255.255.0DisableDisable
(FSM7352S)#showiproute
TotalNumberofRoutes.........................6
NetworkSubnetNextHopNextHop
AddressMaskProtocolIntfIPAddress
------------------------------------------------------------------
10.10.10.0255.255.255.0Local1/0/1710.10.10.1
20.20.20.0255.255.255.0Static1/0/1710.10.10.2
30.30.30.0255.255.255.0Static1/0/1710.10.10.2
40.40.40.0255.255.255.0Static1/0/1710.10.10.2
50.50.50.0255.255.255.0Local1/0/3150.50.50.1
192.168.0.0255.255.255.0Static1/0/1710.10.10.2
2.FR538G上启用路由模式;
FR538G配置如下:
1)WAN1接口IP配置:
DoyouwanttoenablebridgemodeonWAN1?
本项是将FR538配置为桥接模式,与本功能无关,所以选择为Disable
DoesYourInternetConnectionRequireaLogin?
视具体的情况设置,本例中只使用静态IP地址,所以选择NoInternet(IP)Address:
在此填写WAN1口的IP地址。
(网关填写WAN1对端的IP地址)
DomainNameServer(DNS)Servers:
此处视具体情况选择可用的DNS服务器地址。
配置完成后点击Apply。
2)配置WAN2的IP地址如下图所示:
3)WAN3的IP地址配置如下图所示:
4)FR538G缺省工作在NAT模式下,因此我们需要将其转换至路由模式下,如下图
UseNATorClassicalRoutingBetweenWAN&
LANinterfaces?
默认情况下FR538G是选NAT模式的,现在我们要把FVX538改为路由模式,所以选ClassicalRouting并应用即可。
PortMode默认即可,不需指定某种方式。
各WAN口的IP配置完成后,需要配置相关的静态路由,具体配置如下:
5)添加静态路由
点击管理菜单NetworkConfiguration→Routing→Add
RouteName:
输入静态路由的名字,用于识别静态路由的名字和方便管理;
Active:
定义该路由是否Active或Inactive,选中即是active状态。
当一个路由添加到该inactive状态,它将显示在列表中,但并不应用到路由器上,该静态路由将迟一点才启用。
这主要是用于当你汪加了一个暂时未连接的网络,该路由却已启用了,因此,若你已连接上该目标网络,即把active选中即可。
Private:
如果路由器启用了RIP协议,该选项决定此静态路由是否与其它路由器共享,如果选中了,该静态路由将不通过RIP协议广播出去。
DestinationIPAddress:
该处输入目标主机或目标网络
IPSubnetMask:
输入目标主要或目标网络的子网掩码
Interface:
这里选择物理网络接口(WAN1~WAN4,DMZ或LAN),即该目标网络是通过哪个网络接口出去的。
GatewayIPAddress:
路由到下一个目标主机或目标网络的下一跳网关IP地址
Metric:
定义该路由的优先级,可选择输入2~15之间,如果有多条路由指向同一目标地址,Metric值最低的将被优先选择。
添加完后,查看已经配置路由条目,如下图所示:
6)缺省情况下,FR538G不对PING进行应答,为了方便检查网络状况,我们需要将此项目开启:
如上图所示:
启用DisableSPIFirewall选项,若该选项不启用,将无法使用tracert命令,同时启用PingRespone选项,使FR538G的WAN端口允许ping。
至此,FR538G配置完成。
3.FVX538上启用路由模式:
配置FVX538的过程与FR538G相似:
1)WAN1口IP地址设置
视具体的情况设置,本例中只使用静态IP地址,所以选择NoInternet(IP)Address:
DomainNameServer(DNS)Servers:
2)配置FVX538LANIP地址配置
3)FVX538设定为路由模式
点击NetworkConfiguration>
WANSettings>
WANmode管理菜单:
默认情况下FVX538是选NAT模式的,现在我们要把FVX538改为路由模式,所以选ClassicalRouting并应用即可。
4)添加相关的静态路由,如下图所示:
5)开启对PING的应答
如上图所示,选中RespondtoPingonInternetPorts选项即可。
至此所有配置完成。
三、检测配置结果
在PC1、PC2、PC3、PC4之间互相均能连接成功(可用ping与tracert测试)。
注:
测试时注意PC上是否开始了防火墙。
返回
如何配置负载均衡及策略路由
FR538G为用户提供多达四个WAN端口,用户可根据Internet的接入方式,实现负载均衡或策略路由等工作模式。
本文将通过以下两个实例来说明FR538G如果配置负载均衡及策略路由。
一、LoadBalancing模式
1.模拟环境:
某一中小型企业用户共有两条中国电信的链路,一条为10M光纤链路,一条为4M的ADSL拔号链路,局域网内有300多台电脑需要共享上网。
2.目标:
局域网内的用户能通过FR538G同时连接到光纤链路和ADSL链路,使局域网内的用户能共享两条线路,提高接入Internet的速度,同时实现链路备份的功能。
3.网络拓朴图:
4.配置步骤:
1)配置WAN1端口(固定IP地址)
WAN1端口接中国电信的10M光纤,进入管理菜单NetworkConfiguration-WANSettings-WAN1Settings中,如下图所示:
处选择“Disable”
在“DoesYourInternetConnectionRequireaLogin?
”处选择“No”。
在“Internet(IP)Address”处选择“UseStaticIPAddress”,并填入ISP给的IP地址、子网掩码及网关。
在“DomainNameServer(DNS)Servers”处选择“UseTheseDNSServers”,并填入ISP给的DNS服务器地址。
2)配置WAN2端口(ADSL拔号)
WAN1端口接中国电信的4MADSL拔号,进入NetworkConfiguration-WANSettings-WAN2Settings中,如下图所示:
”处选择“Yes”。
并在右边的Login处填入ADSL用户名,Password处填入ADSL密码
在“ISPType”处选择“Other(PPPoE)”,在右边“IdleTimeout”处,如果您是包月不限时的用户,您可以选择KeepConnected;
如果是限时用户,可以选择IdleTime并填入闲置超时的分钟数,默认为5分钟,即5分钟后没有网络流量,防火墙将自动断开网络连接。
在“Internet(IP)Address”处选择“GetDynamicallyfromISP”。
在“DomainNameServer(DNS)Servers”处选择“GetAutomaticallyfromISP”。
点击“Apply”保存。
3)启用LoadBalancing负载均衡模式
进入管理界面NetworkConfiguration>
WANMode>
WANMode,在PortMode的选项中,选中LoadBalancing模式,然后点击Apply应用即可。
成功启用LoadBalancing负载均衡模式后,局域网内的用户能共享两条线路,大大提高了接入Internet的速度,同时若任一链路有问题,另一链路将继续工作,保证局域网内的用户上网不受影响。
二、Auto-Rollover模式(启用策略路由功能)
某一网吧用户共用两条链路,分别为一条中国电信的10M光纤链路,另一条为中国网通的10M光纤链路,网吧内的200多台电脑要通过FR538G访问Internet。
网吧内的用户通过FR538G均能上网,当网吧内的用户访问中国电信网络的网站或游戏服务器时,数据将从电信的光纤链路出去;
当网吧内的用户访问中国网通的网站或游戏服务器时,数据将从网通的光纤链路出去;
当任一链路出现故障不能上网时,网吧内的PC上网的所有数据将自动切换到正常的出口出去。
2)配置WAN2端口(固定IP地址)
WAN1端口接中国网通的10M光纤,配置方法同上,进入管理菜单NetworkConfiguration-WANSettings-WAN12Settings中,如下图所示:
3)配置Auto-Rollover模式
WANMode,在PortMode的选项中,选中Auto-Rollover模式,然后点击Apply应用即可。
3)添加中国电信及中国网通的策略路由
NetworkBinding,在WAN1和WAN2的选项中分别启用NetoworkBinding功能,如下图所示:
DoyouwanttoenableNetworkBinding选中Enable,然后点击Apply应用。
启用NetworkBinding功能成功后,我们需在Importfile选项中分别在WAN1中导入中国电信的静态路由表和中国网通的静态路由表,静态路由表的格式采用txt文件即可,用户可自己在txt文件中添加各运营商的静态路由,具体格式如下:
networkxxx.xxx.xxx.xxxmaskyyy.yyy.yyy.yyy或
hostzzz.zzz.zzz.zzz
其中:
xxx.xxx.xxx.xxx是一个IP子网
yyy.yyy.yyy.yyy是子网掩码
zzz.zzz.zzz.zzz是一个IP地址
例如:
network60.12.32.0mask255.255.240.0
network60.12.48.0mask255.255.248.0
host60.12.56.0
host60.12.56.1
network60.12.56.2mask255.255.255.254
network60.12.56.4mask255.255.255.252
若用户需要中国电信或中国网通的静态路由表,请在下面美国网件社区下载即可。
中国电信或中国网通的静态路由表下载链接(需到网件社区注册后才可以下载):
功能
本文将以FR538GV2.1.14为例详细描述Netgear系列防火墙的DMZ区的配置方法,主要包括以下内容:
1.启用FR538GDMZ服务区
2.建立DMZ服务区到WAN区的规则
3.建立LAN区到DMZ区的规则
测试环境:
FR538G的通过10兆光纤连接运营商,两个固定的公网IP地址。
WAN1端口IP设置为58.62.221.130,WAN2端口IP设置为58.62.221.131,一个局域网内部的用户上网,另外一个用于收发邮件和FTP文件资源共享。
∙内部网络:
192.168.1.0/24网关:
192.168.1.0/24
∙DMZ服务区:
192.168.10.0/24网关:
192.168.10.1/24
∙Internet端口:
58.62.221.130/58.62.221.131
∙邮件服务器:
192.168.10.100
∙FTP服务器:
192.168.10.200
参照下图网络配置:
图1:
DMZ实例拓朴图
一、启用DMZ服务区
该步骤的主要目的是将内网的端口第4端口设置为DMZ端口,设置完成后,连接到端口4的服务器应该能够PING通DMZ的地址。
具体配置如下图:
图2:
DMZ服务区的起用
∙在NetworkConfiguration管理菜单里选择DMZSetup
∙在DMZSetup页面里的DoyouwanttoenableDMZPort?
中选择YES
∙在IPAddress上添如DMZ服务区的地址。
(注意该地址不能和LAN/WAN端口的地址在同一个网段上)
∙在IPSubnetMask上填入DMZ服务区IP地址的子网掩码。
∙DHCP是否启用视用户的需要而定。
设置完成后点
Apply完成即可。
二、建立DMZ服务区到WAN区的规则
该步骤目的是设置DMZ服务区和WAN服务区(Internet接口)之间的访问规则,在默认的情况下,FR538G的WAN服务区和DMZ服务区是不能互相通讯的,也就是说放在DMZ里面的主机不能被Internet的用户连接,同时DMZ里面的主机也不能访问Internet。
只有完成DM服务区到WAN服务区的策略配置之后,DMZ区的主机才可以按照策略访问Internet或者被Internet的主机访问。
图3:
DMZ服务区到WAN区规则的启用
如上图,点击管理菜单的Security上的Rules项目,我们可以看到Rules设置页面,选择DMZ-WANRules我们便可以进入DMZ-WAN的策略设置页面,在该页面里,我们可以看到OutboundService和InboundService选项。
所谓OutboundService就是指从DMZ服务区到WAN服务区的策略,同样InboundService就是知从WAN服务区到DMZ服务区的访问策略。
1.创建DMZ区到WAN的规则
创建DMZ区到WAN的规则只需在OutboundServices选项中添加相应的规则:
1.在管理菜单上选择Security上的Rules项目
2.在Rules页面里选择DMZ-WAN
3.在OutboundService里面点击add选择添加便进入OutboundService的配置页面。
在OutboundServices里面必须进行以下设置:
∙在Service里面选择需要规划的服务类型
∙在Action里面选择策略的处理办法
∙在LANUsers里选择源地址
∙在WANUsers里选择目标地址
设置完成后点击Apply应用即可。
在本实例中我们是允许DMZ区的服务器访问Internet的,所以设置如下:
∙Service:
ANY
∙Action:
ALLOWalways
∙DMZUsers:
Any
∙WANUsers:
如下图所示:
图4:
DMZ-WANOutbound规则设置
2.创建WAN到DMZ区的规则
创建WAN到DMZ区的规则只需在InboundServices选项中添加相应的规则:
1.在NetworkConfiguration管理菜单上选择Security上的Rules项目
3.在InboundService里面选择添加便进入InboundService的配置页面。
在IntboundServices里面必须进行以下设置:
∙在SendtoLANServer里输入需要为外网提供服务的主机的IP地址
∙在WANUsers里选择源地址的范围,一般是选择Any
∙在WANDestinationIPAddress里面选择WAN1、WAN2或OtherPublicIPAddress并且输入和DMZ服务区里面的服务器对应的公网IP地址。
设置完毕后,DMZ服务区里的主机应该能够根据策略访问Internet或者被Internet的用户访问。
本实例中我们需添加FTP、SMTP、POP3的服务,并通过WAN2端口提供服务。
1)添加FTP规则
添加FTP规则
∙Server:
选择FTP服务
∙SendtoDMZServer:
输入FTP服务器的IP地址,即192.168.10.200
∙TranslatetoPortNumber:
默认不选
∙WANDestinationIPAddress:
选择WAN2
∙WANUsers;
图5:
DMZ-WANInbound规则设置
2)添加SMTPPOP3规则
添加SMTP和POP3规则
选择SMTP和POP3服务
输入FTP服务器的IP地址,即192.168.10.100
图6:
图7:
三、建立LAN区到DMZ区的规则
在默认的情况下
升级会员 