锐捷网络防火墙配置指南doc.docx
《锐捷网络防火墙配置指南doc.docx》由会员分享,可在线阅读,更多相关《锐捷网络防火墙配置指南doc.docx(14页珍藏版)》请在冰豆网上搜索。
锐捷网络防火墙配置指南doc
锐捷网络防火墙配置指南
(更新日期)
锐捷网络800技术支持中心
技术热线:
800-858-1360
一、RG-Wall防火墙注册指南..............................................................................
二、RG-Wall防火墙PAT设置指南.......................................................................
三、RG-Wall防火墙DNS分离功能设置..............................................................
四、RG-Wall防火墙LSNAT设置指南..................................................................
五、RG-Wall防火墙反向PAT设置指南...............................................................
六、RG-Wall防火墙配置VPN指南......................................................................
七、RG-Wall防火墙日志服务器部署指南...........................................................
错误!
未定义书签。
错误!
未定义书签。
错误!
未定义书签。
错误!
未定义书签。
错误!
未定义书签。
错误!
未定义书签。
错误!
未定义书签。
一、RG-Wall防火墙注册指南
用准备好随机携带的串口线连接管理PC串口端口与RG-Wall的Console口;使用windwos自带
的通讯工具”超级终端”登录防火墙(→开始→程序→附件→通讯→超级终端):
设置好超级终端参数之后,接通防火墙电源,RG-WALL系统开始启动。
系统登入的默认ID和口令值如下(注意区分大小写):
ID:
rootPW:
rg-wall123
登录系统,在终端或显示器屏幕的提示符后输入si,出现防火墙登录界面,要求输入用户名密
码。
用户名为admin,口令为admin123。
登录后,即出现如下所示的登陆界面:
输入reinstall注册防火墙,系统提示”Doyouwanttoproceedanyway“输入Y继续,防火墙重启。
系统重启完后,重新登陆后,会进入以下状态:
按“任意键”正式进入注册步骤:
输入防火墙的软件序列号、授权代码(在防火墙随机带的“产品授权使用证书”上)
输入”O”(下同)进入防火墙工作模式的设置(默认情况下为“路由模式”):
进入超级管理员的帐号、密码、管理权限设置:
进入设定防火墙的机器名,语言版本等信息,注意防火墙机器名为了便于以后管理,请一定采
用()的域名表示方式。
这里使用中文版本:
进入防火墙的时间设定,在此采用系统默认时间:
进入防火墙管理员IP地址设置(最多可以设置10个管理员IP地址):
进入防火墙网卡的IP地址设置如下图(LAN1口IP地址为):
进入防火墙VLAN设置,在此处跳过:
进入防火墙静态路由设置,添加Defaultgateway(缺省网关,在此为)
进入防火墙动态路由设置,以下都跳过:
进入配置域名服务的有关信息。
提示:
输入域名时,一定是前面输入过的机器名的域名部分。
进入防火墙策略的设置,在此,允许所有的的数据通过并进行PAT:
至此,完成防火墙的注册。
防火墙重启之后,在管理主机(比如)上,使用防火墙的IP地址即
可登录防火墙的IE管理界面:
二、RG-Wall防火墙PAT设置指南
使用防火墙RG-WALL50的0口(DMZ)与1口分别连接不同网段的内网,同时实现两个网段共
享上网。
RG-WALL50防火墙2口用于连接internet(在此为),缺省网关为;1口用于与网段主机连接,
接口IP地址为;0口用于连接网段(WEB服务器为,tcp80端口),接口IP地址为。
三、RG-Wall防火墙DNS分离功能设置
防火墙DNS分离功能设置
防火墙LSNAT设置
1、选择“启用LSNAT”选择框,使用“+”图标,输入IP和端口,而且TCP,UDP,ANY中选择协议。
2、点击,进入“添加子主机”界面(添加内部服务器的IP地址):
应用之后,点击确定,即可完成LSNAT的配置。
实现DNS分离功能
1、设置外部域名服务器:
把公网上的DNS地址输入文本框:
2、DNS设置;
选中“启用分离DNS”,“内部DNS”,将域名添加到列表中;如:
添加(注意:
不是)
3、增加区域列表,此时区域是SOA(StartOfAuthority的缩写,不可改);
IP输入(一定是),邮件输入(任意的,没有限制);
4、再增加区域列表,此时区域选择NS;IP输入(一定是),
5、再增加区域列表,主机:
此时区域选择A;IP输入内网IP
、如果要添加多台服务器的域名解析,只需要重复步骤5,即可;最后点击应用、确认.
PC的IP地址设置
DNS地址设置成防火墙内网口,PING,地址解析成;PING,地址解析成公网地址,验证DNS
分离功能实现;
在IE浏览器内输入域名即可访问
四、RG-Wall防火墙LSNAT设置指南
防火墙的基本IP配置介绍:
eth1连接局域网,eth2连接外网,如下图:
缺省网关:
防火墙LSNAT设置:
1、选择“启用LSNAT”选择框,使用“+”图标,输入IP和端口,而且TCP,UDP,ANY中选择协议。
2、点击,进入“添加子主机”界面(添加内部服务器的IP地址):
应用之后,点击确定,即可完成LSNAT的配置。
五、RG-Wall防火墙反向PAT设置指南
RG-Wall防火墙反向PAT设置
需求:
服务器通过
RG-WALL翻译成公网地址
服务器,
通过
RG-WALL翻译成公网地址;
内部网络用户
网段的用户可以直接通过公网
IP
地址访问放在防火墙内部网络的服务器,
公网用户
可以通过公网
IP
访问通过防火墙提供服务的公网服务器
.。
配置默认路由下一跳。
RG-WALL基本配置:
外网地址DMZ地址内网地址默认路由
从ISP获得公网地址
静态NAT配置公网用户可以使用公网IP访问放在防火墙DMZ区域的服务器
对应
对应
反向PAT配置指定所需要内网访问的网段对应需要内网用公网IP访问的服务器公网IP地址。
建议反向PAT地址是一个没有被使用的公网地址,本案例中使用的是只需要配置1个反向PAT地
址即可
正向PAT,内网的用户可以通过Eth2访问Internet
反向PAT,内网的用户可以通过Eth1访问由防火墙转换的放在内网的服务器,例如或者
通过反向PAT,客户就可以在内网使用公网地址访问放在内部网络的服务器。
访问速度为内网
访问速度。
由于静态NAT使用的一对一地址映射,映射后的主机拥有公网地址,建议采用严格的过滤规
则来保护服务器,相关设置可在策略规则中设定。
六、RG-Wall防火墙配置VPN指南
本文档介绍了如何用我司的防火墙做vpn服务器,客户端使用锐捷专用程序拨入的配置方法。
网关到网关的配置请参考说明书。
在配置vpn的时候,建议先做好网络对象,以备在做用户组的时
候可以给拨入用户分配访问不同对象的权限。
配置IKE:
由于是用pc拨入防火墙,这里只要设置第二个页面即defaultconfig就可以了,不用修改参数,
按默认就可以正常工作。
如下图:
配置vpn列表:
配置phase1proposal,按默认的就可以了。
如下图:
配置phase2proposal,把encapsulationmode改为transportmode即可。
配置ippool,主要是设置一个地址池,用于分配给拨入的用户,配置好后,请点击一下应用,
否则在建立组时无法发现本地址池:
如下图
配置user-group,建立一个用户组,与ippool关联起来,再分配本组的权限,如可以访问哪个
网段、服务器等(这些网段都是在规则中建立的网络对象)。
配置remoteuser,建立远程拨入的用户名与密码,并与user-group关联。
配置remotegw,这个可以不用配置,因为远端的IP不是固定的。
安装配置锐捷专用客户端:
安装客户端程序:
双击安装程序,按安装向导的提示一步一步的安装完成后,安装向导会提示重启计算机,按yes重
启计算机即可。
配置客户端程序:
这里输入remoteuser名
该用户的密码,不少于6位数
防火墙公网IP地址
点connect进行拨号
拨号完成后,在windows的cmd下面,可以看到如下的信息:
C:
\>ipconfig
Windows2000IPConfiguration
Ethernetadapter{14777F92-9B56-448D-B11D-FFC3F5397561}:
Connection-specificDNSSuffix.:
IPAddress............:
SubnetMask...........
Gateway.........:
:
Default
注意事项:
在拨号进入防火墙后,在本地只能看到防火墙所分配的
IP
地址,没有网关地址,这方面无关
紧要,只要在
user-group
里面设置好对应的权限就可以访问。
七、RG-Wall防火墙日志服务器部署指南
安装条件
软件包(接收从防火墙上发过来的信息流)
wtfTrial软件包(分析从捕获到的日志)
安装过程
安装Kiwi_Syslogd
安装wtfTrialv31
该安装过程需要一点时间,请耐心等待
注册wtfTrialv31
输入序列号即可
部署日志服务器
实验拓扑图
本机IP设置
WebTrendsFirewallsuite设置
SaveLogFilesTo:
C:
\firewall_log(和Kiwi_Syslogd保存日志的文件一致)
设置KiwiSyslogDaemon
Pathandfilenameoflogfile:
C:
\firewall_log\2005-11-23.log(日志保存路径及日志文件命名规则)
防火墙日志设置
采集日志
请耐心等待
生成报表:
八、RG-WALL50\150的pppoe的配置指南
下面是针对于50及150火墙的pppoe的配置,配置步骤如下:
1.进入管理界面:
这样,选择你要运行pppoe的端口就可以直接设置为ADSL模式。
然后你要填写相应的用户名和密码。
这样就完成了。
升级会员 