锐捷网络防火墙配置指南doc.docx

1、锐捷网络防火墙配置指南doc锐捷网络防火墙配置指南（更新日期）锐捷网络 800 技术支持中心技术热线： 800-858-1360一、 RG-Wall 防火墙注册指南 .二、 RG-Wall 防火墙 PAT设置指南 .三、 RG-Wall 防火墙 DNS分离功能设置 .四、 RG-Wall 防火墙 LSNAT设置指南 .五、 RG-Wall 防火墙反向 PAT设置指南 .六、 RG-Wall 防火墙配置 VPN 指南 .七、 RG-Wall 防火墙日志服务器部署指南 .错误 ! 未定义书签。错误 ! 未定义书签。错误 ! 未定义书签。错误 ! 未定义书签。错误 ! 未定义书签。错误 ! 未定义书

2、签。错误 ! 未定义书签。一、 RG-Wall 防火墙注册指南用准备好随机携带的串口线连接管理 PC 串口端口与 RG-Wall 的 Console 口；使用 windwos 自带的通讯工具 ”超级终端 ”登录防火墙（ 开始 程序 附件 通讯 超级终端）：设置好超级终端参数之后，接通防火墙电源， RG-WALL系统开始启动。系统登入的默认 ID 和口令值如下（注意区分大小写） ： ID : root PW : rg-wall123登录系统，在终端或显示器屏幕的提示符后输入 si, 出现防火墙登录界面，要求输入用户名密码。用户名为 admin ，口令为 admin123 。登录后，即出现如下所示

3、的登陆界面：输入 reinstall 注册防火墙，系统提示 ”Do you want to proceed anyway “输入 Y 继续，防火墙重启。系统重启完后，重新登陆后，会进入以下状态：按“任意键”正式进入注册步骤：输入防火墙的软件序列号、授权代码（在防火墙随机带的“产品授权使用证书”上）输入 ”O”（下同）进入防火墙工作模式的设置（默认情况下为“路由模式” ）：进入超级管理员的帐号、密码、管理权限设置：进入设定防火墙的机器名，语言版本等信息，注意防火墙机器名为了便于以后管理，请一定采用 （）的域名表示方式。这里使用中文版本：进入防火墙的时间设定，在此采用系统默认时间：进入防火墙管理员

4、 IP 地址设置（最多可以设置 10 个管理员 IP 地址）：进入防火墙网卡的 IP 地址设置如下图（ LAN 1 口 IP 地址为）：进入防火墙 VLAN 设置，在此处跳过 :进入防火墙静态路由设置，添加 Default gateway （缺省网关，在此为）进入防火墙动态路由设置，以下都跳过：进入配置域名服务的有关信息。提示：输入域名时，一定是前面输入过的机器名的域名部分。进入防火墙策略的设置，在此，允许所有的的数据通过并进行 PAT：至此，完成防火墙的注册。防火墙重启之后，在管理主机（比如）上，使用防火墙的 IP 地址即可登录防火墙的 IE 管理界面：二、 RG-Wall 防火墙 PAT设

5、置指南使用防火墙 RG-WALL50的 0 口（ DMZ）与 1 口分别连接不同网段的内网， 同时实现两个网段共享上网。RG-WALL50防火墙 2 口用于连接 internet （在此为），缺省网关为； 1 口用于与网段主机连接，接口 IP 地址为； 0 口用于连接网段（ WEB 服务器为， tcp80 端口），接口 IP 地址为。三、 RG-Wall 防火墙 DNS 分离功能设置防火墙 DNS分离功能设置防火墙 LSNAT设置1、选择“启用 LSNAT”选择框，使用“ +”图标，输入 IP 和端口 ,而且 TCP,UDP,ANY 中选择协议。2、点击 ，进入“添加子主机”界面（添加内部服务

6、器的 IP 地址）：应用之后，点击确定，即可完成 LSNAT的配置。实现 DNS分离功能1、设置外部域名服务器：把公网上的 DNS地址输入文本框：2、DNS 设置；选中“启用分离 DNS”，“内部 DNS”，将域名添加到列表中；如：添加（注意：不是 ）3、增加区域列表，此时区域是 SOA（ Start Of Authority 的缩写，不可改） ；IP 输入（一定是） ，邮件输入（任意的，没有限制） ；4、再增加区域列表，此时区域选择 NS； IP 输入（一定是） ，5、再 增加 区 域列 表， 主 机： 此时 区 域选 择 A； IP 输 入内网 IP、如果要添加多台服务器的域名解析，只需要

7、重复步骤 5，即可；最后点击应用、确认 .PC的 IP 地址设置DNS地址设置成防火墙内网口， PING ，地址解析成； PING ，地址解析成公网地址，验证 DNS分离功能实现；在 IE 浏览器内输入域名即可访问四、 RG-Wall 防火墙 LSNAT设置指南防火墙的基本 IP 配置介绍：eth1 连接局域网， eth2 连接外网，如下图：缺省网关：防火墙 LSNAT设置：1、选择“启用 LSNAT”选择框，使用“ +”图标，输入 IP 和端口 ,而且 TCP,UDP,ANY 中选择协议。2、点击 ，进入“添加子主机”界面（添加内部服务器的 IP 地址）：应用之后，点击确定，即可完成 LSN

8、AT的配置。五、 RG-Wall 防火墙反向 PAT设置指南RG-Wall 防火墙反向 PAT设置需求：服务器 通过RG-WALL 翻译成公网地址服务器，通过RG-WALL 翻译成公网地址；内部网络用户网段的用户可以直接通过公网IP地址访问放在防火墙内部网络的服务器，公网用户可以通过公网IP访问通过防火墙提供服务的公网服务器.。配置默认路由下一跳 。RG-WALL 基本配置：外网地址 DMZ 地址 内网地址 默认路由从 ISP 获得公网地址静态 NAT 配置公网用户可以使用公网 IP 访问放在防火墙 DMZ 区域的服务器对应对应反向 PAT 配置指定所需要内网访问的网段对应需要内网用公网 IP

9、 访问的服务器公网 IP 地址。建议反向 PAT 地址是一个没有被使用的公网地址， 本案例中使用的是 只需要配置 1 个反向 PAT 地址即可正向 PAT ，内网 的用户可以通过 Eth2 访问 Internet反向 PAT ，内网 的用户可以通过 Eth1 访问由防火墙转换的放在内网的服务器，例如 或者通过反向 PAT , 客户就可以在内网使用公网地址访问放在内部网络的服务器。访问速度为内网访问速度。由于静态 NAT 使用的一对一地址映射，映射后的主机拥有公网地址，建议采用严格的过滤规则来保护服务器，相关设置可在策略规则中设定。六、 RG-Wall 防火墙配置 VPN 指南本文档介绍了如何用

10、我司的防火墙做 vpn 服务器，客户端使用锐捷专用程序拨入的配置方法。网关到网关的配置请参考说明书。在配置 vpn 的时候，建议先做好网络对象，以备在做用户组的时候可以给拨入用户分配访问不同对象的权限。配置 IKE：由于是用 pc 拨入防火墙，这里只要设置第二个页面即 default config 就可以了，不用修改参数，按默认就可以正常工作。如下图：配置 vpn 列表：配置 phase 1 proposal ，按默认的就可以了。如下图：配置 phase 2 proposal ，把 encapsulation mode 改为 transport mode 即可。配置 ip pool ，主要是设

11、置一个地址池，用于分配给拨入的用户，配置好后，请点击一下应用，否则在建立组时无法发现本地址池：如下图配置 user-group，建立一个用户组，与 ip pool 关联起来，再分配本组的权限，如可以访问哪个网段、服务器等（这些网段都是在规则中建立的网络对象） 。配置 remote user ，建立远程拨入的用户名与密码，并与 user-group 关联。配置 remote gw ，这个可以不用配置，因为远端的 IP 不是固定的。安装配置锐捷专用客户端：安装客户端程序：双击安装程序，按安装向导的提示一步一步的安装完成后，安装向导会提示重启计算机，按 yes 重启计算机即可。配置客户端程序：这里输

12、入 remote user 名该用户的密码，不少于 6 位数防火墙公网 IP 地址点 connect 进行拨号拨号完成后， 在 windows 的 cmd 下面，可以看到如下的信息：C:ipconfigWindows 2000 IP ConfigurationEthernet adapter 14777F92-9B56-448D-B11D-FFC3F5397561:Connection-specific DNS Suffix . :IP Address. . . . . . . . . . . . : Subnet Mask . . . . . . . . . . .Gateway . . .

13、 . . . . . . :Default注意事项：在拨号进入防火墙后，在本地只能看到防火墙所分配的IP地址，没有网关地址，这方面无关紧要，只要在user-group里面设置好对应的权限就可以访问。七、 RG-Wall 防火墙日志服务器部署指南安装条件软件包（接收从防火墙上发过来的信息流）wtfTrial 软件包（分析从捕获到的日志）安装过程安装 Kiwi_Syslogd安装 wtfTrial v31该安装过程需要一点时间，请耐心等待注册 wtfTrial v31输入序列号即可部署日志服务器实验拓扑图本机 IP 设置WebTrends Firewall suite 设置Save Log Fil

14、es To：C:firewall_log （和 Kiwi_Syslogd 保存日志的文件一致）设置 Kiwi Syslog DaemonPath and file name of log file: C:firewall_log2005-11-23.log ( 日志保存路径及日志文件命名规则 )防火墙日志设置采集日志请耐心等待生成报表：八、 RG-WALL 50150 的 pppoe 的配置指南下面是针对于 50 及 150 火墙的 pppoe 的配置，配置步骤如下：1 进入管理界面：这样，选择你要运行 pppoe 的端口就可以直接设置为 ADSL模式。然后你要填写相应的用户名和密码。这样就完成了。