全新的天融信防火墙NGFW4000配置Word文件下载.docx

1、10.10.1.0/24核心交换机用户群B的VLAN：10.10.2.0/24用户群A的默认网关：10.10.1.254用户群B的默认网关：10.10.2.254防火墙至出口的默认网关：218.90.123.122/30核心交换机至防火墙的默认网关：192.168.0.253内网WEB效劳器地址：10.10.1.200/32通过防火墙映射成公网地址简单拓扑图如下：这里着重介绍的是出口防火墙的配置，从上图中可以看出，防火墙位于核心交换机至INTERNET出口的中间。我们首先需通过某种方式对防火墙进展管理配置。1、连接防火墙首先查看防火墙的出厂随机光盘，里面其中有个防火墙安装手册，描述了防火墙的出

2、厂预设置：管理用户管理员用户名 superman管理员密码 talent 或12345678系统参数设备名称 TopsecOS同一管理员最多允许登录失败次数 5最大并发管理数目 5最大并发管理地点 5同一用户最大登录地点 5空闲超时 3 分钟物理接口Eth0或LAN 口 IP：192.168.1.254/24其他接口 Shutdown效劳访问控制WEBUI 管理通过浏览器管理防火墙：允许来自Eth0或LAN 口上的效劳请求GUI 管理通过TOPSEC 管理中心：SSH通过SSH 远程登录管理：升级对网络卫士防火墙进展升级：PINGPING 到网络卫士防火墙的接口IP 地址或VLAN虚接口的IP

3、 地址：其他效劳 制止地址对象地址段名称 any地址段范围 0.0.0.0 255.255.255.255区域对象区域对象名称 area_eth0绑定属性 eth0权限 允许日志日志效劳器IP 地址 IP：192.168. 1.253日志效劳器开放的日志效劳端口 UDP 的514 端口高可用性HA关闭从中可以看出，管理口为ETH0口，地址为192.168.1.254，我们将一台电脑直接与ETHO接口相连，然后配置一个192.168.1段的地址，然后在浏览器上访问 s:/192.168.1.254，就进入了WEB管理界面如出现安装证书问题，直接点继续浏览此，如下。2、配置防火墙接口将ETH1配置

4、成外网接口，ETH2配置成内网接口，依次选择左边菜单的“网络管理-“接口，在ETH1接口一行点击最后的蓝色图标，如下列图，进入ETH1接口配置模式。然后输入外网地址，接口模式为“路由，最后点“确定，如下列图。同理，将ETH2接口地址设置成内网地址：3、路由配置这里有两种路由要写，一是至外网出口的默认路由，下一跳为218.90.123.122，还有一种是至内网核心交换机的回程路由，共有两条，下一跳都是指向192.168.0.254。依次选择左边菜单的“网络管理-“路由，然后点击“添加，添加一条至外网的默认路由，如下。再依次添加两条回程路由：这样，出去的路由有了，回去的路由也有了。4、访问控制默认

5、防火墙是阻止所有经过的包，所以需对访问控制项进展设置。点击菜单的“防火墙-“访问控制，点击“添加按扭，如下列图就出现了添加窗口，在源窗口和目的窗口均选择“ANY范围，“效劳不选包含所有效劳，“选项默认，直接点击确定。这样，就允许所有的数据经过防火墙了。当然，可以通过详细的设置来控制不同网段的电脑，这里就不在表达了。5、配置地址转换NAT首先新建“区域，选择菜单的“资源管理-“区域，点击添加，将内、外网的区域新建好。下来配置源地址转换，选择“防火墙-“地址转换，点击添加，选择“源地址转换，在源选项上，将“高级的钩打上，然后将“neiwang移至“已选源AREA，如下列图：在目标选项上，将“高级的

6、钩打上，然后将“waiwang移至“已选目的AREA，如下列图：在“效劳选项上，不选择任何效劳，这样就表示包含所有效劳。在“源地址转换为：选项中，选择“ETH1属性，如下列图。配置到此，内网用户已经可以通过防火墙上INTERNET了。接下来配置目的地址转换，让外网的用户可以访问内网的WEB效劳器10.10.1.200。6、内网WEB效劳器映射选择菜单“资源管理-“地址，选择添加，将10.10.1.200添加至地址栏中，命名为-server，如下列图。然后选择“防火墙-“地址转换，选择添加，弹出对话框，然后选择“目的转换选项，在“源选项上，选择“ANY：在“目的选项上，选择“ETH1：“效劳选项不选，“目的地址转换为选择刚刚新建的“-server地址，“目的端口转换为选择“不转换，如下。这样，外网用户通过浏览器访问防火墙外网接口的地址时，就可以浏览到内网10.10.1.200效劳器上的内容了。最后点击页面右上角的“保存配置按扭。