全新的天融信防火墙NGFW4000,配置

1、融信防火墙核心三层交换电配置一台全新的天融信防火墙NGFW4000配置完后，内网用户/24和/24可以通过防火墙上网，外网用户可以通过访问防火墙的外网接口地址来访问内网的WEBI艮务器00,并且内网用户也可以通过WE用艮务器的外网地址进行访问。简单拓扑图如下:192.168.0,253/30网络说明:防火墙外网接口地址：21/30防火墙内网接口地址：53/30核心交换机用户群B的VLAN/24用户群A的默认网关：54用户群B的默认网关：54防

2、火墙至出口的默认网关：22/30核心交换机至防火墙的默认网关：53内网WEEB务器地址：00/32（通过防火墙映射成公网地址）54用户群A用户群A核心交换机防火墙VLAN54/30核心交换机用户群A的VLAN/24INTER',2Z30218,90,123.133/301喊寸脑.-费耳，30INTERNET这里着重介绍的是出口防火墙的配置，从上图中可以看出，防火墙位于核心交换机至出口的中间。我们首先需通过某种方式对防火墙进行管理配置。1、连接防

3、火墙首先查看防火墙的出厂随机光盘，里面其中有个防火墙安装手册，描述了防火墙的出厂预设置：管理用户管理员用户名superman管理员密码talent或12345678系统参数设备名称TopsecOS同一管理员最多允许登录失败次数5最大并发管理数目5最大并发管理地点5同一用户最大登录地点5空闲超时3分钟物理接口Eth0（或LAN口）IP:54/24其他接口Shutdown服务访问控制WEBUI管理（通过浏览器管理防火墙）：允许来自Eth0（或LAN口）上的服务请求GUI管理（通过TOPSECf理中心）：允许来自Eth0（或LAN口）上的服务请求SSH（通过SSH远程登录管理）

4、：允许来自Eth0（或LAN口）上的服务请求升级（对网络卫士防火墙进行升级）：允许来自Eth0（或LAN口）上的服务请求PING（PING到网络卫士防火墙的接口IP地址或VLAN接口的IP地址）：允许来自Eth0（或LAN口）上的服务请求其他服务禁止地址对象地址段名称any地址段范围-55区域对象区域对象名称area_eth0绑定属性eth0权限允许日志日志服务器IP地址IP:53日志服务器开放的日志服务端口UDP的514端口高可用性（HA）关闭从中可以看出，管理为ETH0口，地址为54,我们将一台电脑直接与E

5、THO口相连，然后配置一个192.168.1段的地址，然后在浏览器上访问54,就进入了WEBf理界面（如出现安装证书问题，直接点继续浏览此网站），如下。统权本本系版承麻证可安全引拳:深度内容过滤:，打支持:认证：限箔:动密路由悟浪二|±FD系统管理的二网络管理tl贾源管理。口用户认证I药口防火墙用巴内容过滤的亡一虚拟专网±b口入侵防御四二高可用性X日志与报警退出系统!、配置防火墙接口等ETH1配置成外网接口，ETH2配置成内网接口，依次选择左边菜单白“网络管理”->“接口”，名ETH1接口一行点击最后的蓝色图标，如下图，进入ETH1

6、接口配置模式。HTU状态协商原率设置1500启用autoauto百15008用autoauto倬15001500启用启用ailtoautoautoauto闿然后输入外网地址，接口模式为“路由”，最后点“确定”，如下图。物理接口I子接口基本信息名称:ethl描述：皿氐最睾3。个字符或者15个汉字状态:模式：启用路由二1路由模式地址/措码：218.SO.123.12/52厂ha-static赤加|地址庵码属性删除高星性孺定取消同理，将ETH2接口地址设置成内网地址:物理接口I子接口基本信息地址/淹码：16S.0.253/25S.255.255.2S2Fha-static励

7、地址掩码屋性删除高毓强性确定取消3、路由配置这里有两种路由要写，一是至外网出口的默认路由，下一跳为22,还有一种是至内网核心交换机的回程路由，共有两条，下一跳都是指向54。依次选择左边菜单白“网络管理”->“路由”，然后点击“添加”，添加一条至外网的默认路由，如下。静态篇由I策略路由I动态路由QSFF|动态路由町F|多播路由事加配置确定取消再依次添加两条回程路由：静毒路由|策嘴路由|动态路由OSFF|动右路由RTF|名播蹈由番加配置确定取消窗态路由I策略路由I动态略由OSFFI动态路由RIFI去播路由添加配置确定取消这样，出去的路由有了，回去

8、的路由也有了。4、访问控制默认防火墙是阻止所有经过的包，所以需对访问控制项进行设置。点击菜单的“防火墙”->“访问控制”，点击“添加”按扭，如下图就出现了添加窗口，在源窗口和目的窗口均选择“ANY独围”，“服务”不选（包含所有服务），“选项”默认，直接点击确定。这样，就允许所有的数据经过防火墙了。当然，可以通过详细的设置来控制不同网段的电脑，这里就不在叙述了。访问控科现剜源目的服冬选项访问权限：商比详r拒绝后用视则：p后用默认启用规则，不选为暂不生效|确定|取消|5、配置地址转换（NAT）首先新建“区域”，选择菜单的“资源管理”->“区域”，点击添加，将内、外网的区域新建好。区目名

9、称:R电i*位I管权限选择：|允详注释:选择雇性eth2ethlethOadslipsecO确定取消下来配置源地址转换，选择“防火墙”->“地址转换”，点击添加，选择“源地址”转换，在源选项上，将“高级”的钩打上，然后将«neiwang”移至“已选源AREA,如下图：在目标选项上，将“高级”的钩打上，然后将“waiwang”移至“已选目的AREA,如下图:在“服务”选项上，不选择任何服务，这样就表示包含所有服务。在“源地址转换为：”选项中，选择“ETH1属性”，如下图。地批转扳规制挥源转换目的转换双向转换不作转换源目的.服务选择服务:排序已选服资：8083(TCP：3083)/

10、test(TCPi8000)9043(TCP:9043)7001(TCP:7001)5口01(TCPi5001)IP(ETH:OxOBOO)ARP(ETH:OxO3OS)LOOP(IP:96)PUP(ETH：0S0200)FUFAT(ETH;OkO201)X25(ETH:0x0305)EPQ(ETH:0x08ff)'>5T源地址转换为：|ethl三遇端口不做转换：厂源端口固定启用费则：匠默认启用视则，不选为不生效涌定|取消配置到此，内网用户已经可以通过防火墙上INTERNET了。接下来配置目的地址转换，让外网的用户可以访问内网的WE用艮务器00。6、内网WE用艮

11、务器映射选择菜单“资源管理”->“地址”，选择添加，将00添加至地址栏中，命名为www-server,如下图。然后选择“防火墙”->“地址转换”，选择添加，弹出对话框，然后选择“目的转换”选项,在“源”选项上，选择“ANY:源转换后目的转换双向转换不作转换源目的服务!IlII己选源二选择源：排序*Xmanage-host主机ww-host主机h3c-s5500住机26主机'_new-st主机any氾PFTPIP配105HE国vlari_101子网厂高皴选择其他类型的海在“目的”选项上，选择“ETHT:地址转换规则广源转换/目的转换双向转换不作转换源目的服务

12、选择目的:排序ST己选目的：ethli:=杵二q.l.=tHr-r一-!一甘一a1口1口njir?nIr?nn,031n-昌因o属居居O居rLrLrLrLrL9-8765432hhhhhhhhtttttttteeeieeeEeethlethOJS'141adsl属性jipsecO属性:ipm曰cl属性ipsec2属性ip工8c3属性ran属性Ian属性SSIL僚性j厂高级选择其他类型的目的“服务”选项不选，“目的地址转换为“选择刚才新建的“www-server”地址，“目的端口转换为”选择“不转换”，如下。地址转换规剜广源转赖6目的转换双向转换不作转换源目的服翁选择服务:排序9已选服务：8083(TCP:8083)test(TCP：8000)9043(TCP:9043)7001(TCP:7001)5001(TCP:5001)IF(ETH:OxOSOO)AEP(ETH:0k0806)LOOP(IF:96)PUP(ETH:0x0