04绿盟产品用户配置手册05nf-v6.0.0部署

1、绿盟 NF典型部署手册文档版本： V5.6.8 (2013-11-25) 2021 绿盟科技本文中出现的任何文字叙述、文档格式、插图、方法、过程等内容，除另有特别注明，均属神州绿盟（简称绿盟科技）所有，受到有关产权及法保护。任何个人、机构绿盟科技的，不得以任何方式或本文的任何片断。目录前言11透明部署4点到点虚拟线部署4多点二层接入部署8Trunk 穿越部署14路由部署18边界网关18ISP 链路负载均衡28非对称路由4123混合部署50HA 部署63虚拟线主备63路由主备70路由主主815部署98SSLSSLIPSec客户端到网关98网关到网关105网关到网关1136 用户 AD 域认证部署

2、122出厂参数134设备带外管理口初始设置134引擎初始用户134Web 操作员初始帐号134Web 审计员初始帐号134串口管理员初始帐号134绿盟安全中心管理员初始帐号134串口通信参数135CLI 管理员初始帐号135B 安全模板136B.1检测模板136B.2 URL 过滤模板138B.3B.4B.5防模板141内容过滤模板144模板组145插图图 1-1点到点虚拟线模式部署拓扑图5图 1-2点到点虚拟线 -编辑接口6图 1-3点到点虚拟线 -新建虚拟线6图 1-4点到点虚拟线 -新建 IP 池7图 1-5点到点虚拟线 -新建安全策略8图 1-6多点二层接入模式部署拓扑图9图 1-7多

3、点二层接入 - 编辑接口10图 1-8多点二层接入 新建 IP 池10图 1-9多点二层接入 - 内网段 1内网段 211图 1-10 多点二层接入 - 内网段 2内网段 112图 1-11 多点二层接入 - 内网段 1 和内网段 2 用户. 13图 1-12 配置完成的安全策略列表13图 1-13 Trunk 穿越模式部署拓扑图14图 1-14 Trunk 穿越 编辑接口15图 1-15 Trunk 穿越 新建 IP 池15图 1-16 Trunk 穿越 新建节点16图 1-17 Trunk 穿越 安全策略16图 2-1路由部署_边界网关19图 2-2边界网关-接口配置列表20图 2-3边界

4、网关-默认路由20图 2-4边界网关-网络对象-子网21图 2-5边界网关-网络对象-节点 121图 2-6边界网关-网络对象-节点 222图 2-7边界网关-网络对象-IP 池22图 2-8边界网关-SNAT23图 2-9边界网关-DNAT-DMZ. 23图 2-10 边界网关-DNAT-内网用户DMZ24图 2-11 边界网关-DNAT 列表24图 2-12 边界网关-安全策略-. 25图 2-13 边界网关-安全策略-DMZ 区26图 2-14 边界网关-安全策略列表26图 2-15 边界网关-用户列表27图 2-16 边界网关-认证策略27图 2-17 路由部署_ISP 链路负载均衡2

5、8图 2-18 ISP 链路负载均衡-安全区列表29图 2-19 ISP 链路负载均衡-接口配置列表30图 2-20 ISP 链路负载均衡-ISP 路由-电信30图 2-21 ISP 链路负载均衡-ISP 路由-. 31图 2-22 ISP 链路负载均衡-ISP 路由列表31图 2-23 ISP 链路负载均衡 默认路由（电信）31图 2-24 ISP 链路负载均衡 默认路由（） . 32图 2-25 ISP 链路负载均衡 默认路由列表32图 2-26 ISP 链路负载均衡-反向路由32图 2-27 ISP 链路负载均衡-网络对象-子网33图 2-28 ISP 链路负载均衡-网络对象-节点列表3

6、3图 2-29 ISP 链路负载均衡-SNAT-电信34图 2-30 ISP 链路负载均衡-SNAT-. 34图 2-31 ISP 链路负载均衡-SNAT 列表35图 2-32 ISP 链路负载均衡-DNAT-DMZ-电信35图 2-33 ISP 链路负载均衡-DNAT-DMZ-. 36图 2-34 ISP 链路负载均衡-DNAT-DMZ 内网图 2-35 ISP 链路负载均衡-DNAT-DMZ 内网-电信36-. 37图 2-36 ISP 链路负载均衡-DNAT 列表37图 2-37 ISP 链路负载均衡-安全策略-电信38图 2-38 ISP 链路负载均衡-安全策略-. 39图 2-39

7、ISP 链路负载均衡-安全策略-DMZ40图 2-40 ISP 链路负载均衡-安全策略列表41图 2-41 非对称路由模式部署拓扑图42图 2-42 NF1 的非对称路由 -编辑接口43图 2-43 NF1 的非对称路由 -新建虚拟线43图 2-44 NF1 的非对称路由 -新建 IP 池44图 2-45 NF1 的非对称路由 -新建安全策略45图 2-46 NF1 的非对称路由支持46图 2-47 NF2 的非对称路由 -编辑接口46图 2-48 NF2 的非对称路由 -新建虚拟线47图 2-49 NF2 的非对称路由 -新建 IP 池47图 2-50 NF2 的非对称路由 -新建安全策略4

8、8图 2-51 NF2 的非对称路由支持49图 3-1混合（二/三层）部署51图 3-2混合部署 安全区配置列表52图 3-3混合部署 接口配置列表53图 3-4混合部署 子网对象54图 3-5混合部署 节点对象54图 3-6混合部署 源NAT 策略54图 3-7混合部署 目的NAT 策略55图 3-8混合部署 安全策略（运维部）. 56图 3-9混合部署 安全策略（员工 1 区员工 2 区）57图 3-10 混合部署 安全策略（员工 2 区员工 1 区）58图 3-11 混合部署 安全策略（员工区）. 59图 3-12 混合部署 -安全策略列表60图 3-13 混合部署 域对象60图 3-1

9、4 混合部署 用户对象（运维 1）61图 3-15 混合部署 图 3-16 混合部署 图 3-17 混合部署 图 3-18 混合部署 -用户对象（员工 1）61） . 61）. 62认证策略（员工安全区认证策略（运维部认证策略列表62图 4-1 HA 虚拟线主备64图 4-2图 4-3图 4-4虚拟线主备 虚拟线主备 虚拟线主备 主墙接口配置65主墙虚拟线配置65主墙高可用性基本参数66图 4-5虚拟线主备 主墙高可用性虚拟线参数67图 4-6虚拟线主备 主墙安全策略68图 4-7虚拟线主备 备墙中三个接口69图 4-8虚拟线主备 备墙虚拟线参数配置69图 4-9虚拟线主备 备墙高可用性基本参

10、数69图 4-10 虚拟线主备 备墙虚拟线参数配置70图 4-11 HA 路由主备部署71图 4-12路由主备 主墙接口72图 4-13路由主备主墙默认路由参数配置73图 4-14路由主备主墙高可用性基本参数74图 4-15路由主备主墙线路参数配置75图 4-16路由主备主墙线路接口 G1/175图 4-17路由主备主墙线路接口 G1/276图 4-18路由主备主墙高可用性 VRRP 参数76图 4-19路由主备主墙节点对象参数配置77图 4-20路由主备主墙源 NAT 策略参数配置77图 4-21路由主备主墙安全策略78图 4-22路由主备备墙中三个接口79图 4-23路由主备备墙墙默认路由

11、参数配置79图 4-24路由主备备墙高可用性基本参数80图 4-25路由主备备墙线路参数配置80图 4-26路由主备备墙高可用性 VRRP 参数81图 4-27 HA 路由主主部署82图 4-28 路由主主 A 墙安全区83图 4-29 路由主主 A 墙接口84图 4-30 路由主主 A 墙静态路由84图 4-31 路由主主 A 墙高可用性基本参数85图 4-32 路由主主 A 墙主图 4-33 路由主主 A 墙从图 4-34 路由主主 A 墙主图 4-35 路由主主 A 墙从线路参数配置86线路参数配置86线路接口87线路接口87图 4-36 路由主主 A 墙高可用性 VRRP 参数88图

12、4-37 A 墙高可用性 OSPF 区域88路由主主图 4-38 A 墙高可用性 OSPF 重分发89路由主主图 4-39路由主主 A 墙高可用性启用 OSPF89图 4-40路由主主 A 墙节点对象参数配置90图 4-41路由主主 A 墙源 NAT 策略90图 4-42路由主主 A 墙安全策略列表91图 4-43路由主主 B 墙安全区91图 4-44路由主主 B 墙接口92图 4-45路由主主 B 墙路由92图 4-46路由主主 B 墙高可用性基本参数92图 4-47路由主主 B 墙主线路参数配置93图 4-48路由主主 B 墙从线路参数配置93图 4-49路由主主 B 墙主线路接口94图

13、4-50路由主主 B 墙从线路接口94图 4-51路由主主 B 墙高可用性 VRRP 参数95图 4-52路由主主 B 墙高可用性 OSPF 区域95图 4-53路由主主 B 墙高可用性 OSPF 重分发96图 4-54路由主主 B 墙高可用性启用 OSPF96图 5-1部署_ SSL客户端到网关98图 5-2 SSL客户端到网关-安全区列表99图 5-3 SSL客户端到网关-接口配置列表99图 5-4 SSL客户端到网关-默认路由100图 5-5 SSL客户端到网关-回指路由100图 5-6 SSL客户端到网关-路由列表100图 5-7 SSL图 5-8 SSL图 5-9 SSL图 5-10

14、 SSL图 5-11 SSL图 5-12 SSL图 5-13 SSL图 5-14 SSL客户端到网关-网络对象-节点101客户端到网关-安全策略101客户端到网关-安全策略列表102客户端到网关-用户对象102客户端到网关-用户对象列表102客户端到网关-新建链路103客户端到网关-链路列表103客户端到网关-发布资源104图 5-15 SSL客户端到网关-资源列表104图 5-16 SSL客户端到网关-. 105图 5-17 SSL客户端到网关-列表105图 5-18部署_ SSL网关到网关106图 5-19 SSL网关到网关-服务器NF-新建服务器107图 5-20 SSL网关到网关-服务

15、器NF-自添路由107图 5-21 SSL网关到网关-服务器NF-更新后的静态路由表108图 5-22 SSL网关到网关-服务器NF-服务器列表108图 5-23 SSL网关到网关-客户端NF-安全区列表108图 5-24 SSL网关到网关-客户端NF-接口配置列表109图 5-25 SSL网关到网关-客户端NF-默认路由109图 5-26 SSL网关到网关-客户端NF-路由列表110图 5-27 SSL网关到网关-客户端NF-安全策略110图 5-28 SSL网关到网关-客户端NF-安全策略列表111图 5-29 SSL网关到网关-客户端NF-新建客户端112图 5-30 SSL网关到网关-

16、客户端NF-自添路由112图 5-31 SSL网关到网关-客户端NF-更新后的静态路由表113图 5-32 SSL网关到网关-客户端NF-客户端列表113图 5-33 IPSec网关到网关-服务器NF-安全区列表114图 5-34 IPSec网关到网关-服务器NF-接口列表114图 5-35 IPSec网关到网关-服务器NF-安全策略115图 5-36 IPSec网关到网关-服务器NF-安全策略列表115图 5-37 IPSec网关到网关-服务器 NF -新建服务器116图 5-38 IPSec网关到网关-服务器 NF -服务器列表116图 5-39 IPSec图 5-40 IPSec图 5-

17、41 IPSec图 5-42 IPSec图 5-43 IPSec图 5-44 IPSec图 5-45 IPSec图 5-46 IPSec网关到网关-服务器 NF 新建客户端117网关到网关-服务器 NF 客户端列表117网关到网关-客户端NF-安全区列表118网关到网关-客户端NF-接口列表118网关到网关-客户端NF-安全策略119网关到网关-客户端NF-安全策略列表119网关到网关-客户端NF-新建客户端120网关到网关-客户端NF-客户端列表120图 5-47 IPSec网关到网关-隧道建立成功121图 6-1用户 AD 域认证部署123图 6-2安装向导124图 6-3配置NsDAMa

18、inSvr 帐号125图 6-4 AD 域配置器126图 6-5 AD 域认证部署 接口配置列表127图 6-6域对象127图 6-7用户组对象127图 6-8节点对象128图 6-9源NAT 策略128图 6-10 外部 AD 域控服务器128图 6-11 配置导入用户的组对应关系129图 6-12 用户导入结果130图 6-13 配置认证重定向地址130图 6-14 配置用户认证策略131图 6-15 安全策略131图 6-16用户状态132图 6-17 用户流量分析结果132图 6-18 安全日志中的认证用户信息133前言概述典型部署手册主要介绍绿盟科技下一代（NSFOCUS Next-

19、Generation Firewall，以下简称 NF）的各种典型部署方式以及部署的详细步骤。通过阅读本文档，用户可以了解 NF 在实际应用环境中的部署方法。读者对象本部署手册适用于具有基本网络知识、期望了解 NF 产品主要部署方式的 NF 操作员。通过阅读本文档，可以独立完成以下工作：根据实际网络环境合理部署 NF配置高可用性配置虚拟专网内容简介格式约定获得帮助如需获取相关资料，请绿盟科技：http。符号说明粗体字菜单、命令和关键字斜体字文档名、变量对描述内容的补充和信息使用设备时的技巧和建议需要特别注意的事项和重要信息有可能造成人身的警告信息【】按钮名称的表示方式A B菜单项选择的表示方式

20、章节概述1 透明部署介绍NF 典型的透明部署方式。2 路由部署介绍NF 典型的路由部署方式。3 混合部署介绍NF 的混合部署方式。4 HA 部署介绍NF 典型的高可用性部署方式。5部署介绍NF 的典型部署方式。6 用户 AD 域认证部署介绍NF 的用户AD 域认证部署方式。A 出厂参数介绍NF 出厂默认参数配置。B 安全模板介绍NF 安全模板配置方法。如需获取更详尽的绿盟科技们联系：专业服务信息、商务信息，您可通过如下方式与我客户服务：（和固话均可拨打）非工作时间服务： HYPERLINK http:/s/ http:/s邮箱：s1透明部署NF 的透明部署方式包括点到点虚拟线部署方式、多点二层

21、接入部署方式、Trunk 穿越部署方式。1.1 点到点虚拟线部署虚拟线模式，即可以将 NF 看做一根网线使用。一条虚拟线包含 2 个工作接口（一组 IN、OUT 接口）。NF 以虚拟线模式接入链路，可以保护内网用户不受来自ernet 的。应用场景如图 1-1 所示，内网用户通过网关路由器过配置 NF，实现以下需求：，NF 以虚拟线模式接入链路。现通1.2.的只允许 IP 范围 /240/24 的内网用户的 WEB 应用。开启 URL 过滤，不允许内网用户。其中将分类为搜索引擎与门户URL 分类为搜索引擎与门户和社交网络中的和人人设置为 URL 白，分类中的优酷设置为。同时进行安全防护日志。图1

22、-1 点到点虚拟线模式部署拓扑图配置思路配置接口和虚拟线。配置网络对象、安全模板和安全策略。1.2.，开启 URL 过滤，同时进行安全防护日志允许内网用户3.应用配置。配置步骤以操作员 weboper 登录，进行如下配置：步骤 1 配置接口和虚拟线。a.选择菜单 网络 接口 接口，分别编辑接口 G1/1 和 G1/2，配置如图 1-2 所示。图1-2 点到点虚拟线 - 编辑接口b.选择菜单 网络 虚拟线 虚拟线，新建名称为 direct 的虚拟线，配置如图 1-3所示。接口链路状态同步选择是，则虚拟线中一个接口 down 时，另外一个接口也会 down。图1-3 点到点虚拟线 - 新建虚拟线步

23、骤 2 配置网络对象、安全模板和安全策略。a.选择菜单 对象 网络 IP 池，新建名称为内网用户的 IP 池，配置如图 1-4 所示。图1-4 点到点虚拟线 - 新建 IP 池b.选择菜单 对象 安全模板，新建 URL 过滤安全模板，新建安全模板的详细步骤请参见 B 安全模板。c.选择菜单 策略 安全策略 安全策略，新建内网用户置如图 1-5 所示。其中，应用处勾选需要的 Web 应用，服务处勾选 httpt、httpst、dnst和 dnsu。的安全策略，配图1-5 点到点虚拟线 - 新建安全策略步骤 3 应用配置。单击页面右上方的，使配置生效。选择菜单 系统 系统控制 系统控制，单击【应用

24、配置】按钮，使配置生效。-结束1.2 多点二层接入部署二层 Acs 模式，即将 NF 作为二层设备使用，基于目的 MAC 地址转发以太网帧。NF以二层 Acs 模式接入链路，既不影响现有网络环境，又可以保护内网用户不受来自ernet 的。应用场景如图 1-6 所示，内网不同区域用户属于同一 VLAN，彼此间可以互通，且通过网关路由器，NF 以二层 Acs 模式接入链路。现通过配置 NF，实现以下需求：1.内网段 1 用户 /240/24 与内网段 2 用户 0可以互相。2.内网段 1 和网段 2 用户允许。3.开启 URL 过滤，不允许内网段 1 和网段 2 用户URL 分类为搜索引擎与门户网

25、站和社交网络的。其中将分类为搜索引擎与门户中的和人人设置为。URL 白，分类中的优酷设置为，同时进行安全防护日志图1-6 多点二层接入模式部署拓扑图配置思路1.2.配置接口。配置网络对象、安全模板及安全策略。 允许内网段 1 和网段 2 用户互访，且都可以 开启 URL 过滤，同时进行安全防护日志应用配置。3.配置步骤以操作员 weboper 登录，进行如下配置：配置接口。步骤 1选择菜单 网络 接口 接口，分别编辑接口 G1/1、G1/2 和 G1/3，模式为 ac图 1-7 所示。s，如VLAN ID 的取值范围是 14094，可任意配置，只要保证三个接口的 VLAN 值相同即可。图1-7

26、 多点二层接入 - 编辑接口步骤 2配置网络对象、安全模板及安全策略。a.选择菜单 对象 网络 IP 池，分别新建名称为内网段 1 和内网段 2 的 IP 池，配置如图 1-8 所示。图1-8 多点二层接入 新建 IP 池a.选择菜单 对象 安全模板，新建 URL 过滤安全模板，新建安全模板的详细步骤请参见 B 安全模板。配置安全策略。选择菜单 策略 安全策略 安全策略，新建三条安全策略，分别满足内网段 1b.内网段 2、内网段 2内网段 1、内网段 1 和内网段 2 用户，配置分别如图 1-9、图 1-10 和图 1-11 所示。其中，内网段 1 和内网段 2 用户策略的应用处勾选需要的 W

27、eb 应用，服务处勾选 httpt、httpst、dnst和 dnsu。图1-9 多点二层接入 - 内网段 1内网段 2图1-10 多点二层接入 - 内网段 2内网段 1图1-11 多点二层接入 - 内网段 1 和内网段 2 用户配置完成的安全策略列表如图 1-12 所示。图1-12 配置完成的安全策略列表步骤 3 应用配置。单击页面右上方的，使配置生效。选择菜单 系统 系统控制 系统控制，单击【应用配置】按钮，使配置生效。-结束1.3 Trunk 穿越部署NF 以二层 Trunk 模式接入交换机间，既不影响现有交换机间 Trunk 连接环境，也可以保护内网的安全性。应用场景如图 1-13 所

28、示，不同 VLAN 通过交换机间 Trunk 连接，实现同一 VLAN 跨区域互访，不同 VLAN 不能互相需求：，NF 以二层 Trunk 模式接入链路。现通过配置 NF，实现以下1.VLAN2 的内网段 1 用户 /240/24 只允许通过 FTP 方式网服务器 1 54。其内2.开启检测和防护，同时进行安全防护日志。图1-13 Trunk 穿越模式部署拓扑图配置思路1.2.配置接口。配置网络对象、安全模板及安全策略。 允许内网段 1 用户通过 FTP 方式其内网服务器 1。 开启应用配置。检测和防护，同时进行安全防护日志。3.配置步骤以操作员 weboper 登录，进行如下配置：配置接口

29、。步骤 1选择菜单 网络 接口 接口，分别编辑接口G1/1 和G1/2，模式为trunk，支持的VLAN为 2,3，如图 1-14 所示。接口的默认 VLAN ID 必须与相连交换机 Trunk 口上配置的 native id 相同，否则可能会出现网络不通的情况。图1-14 Trunk 穿越 编辑接口步骤 2 配置网络对象、安全模板及安全策略。a.选择菜单 对象 网络 IP 池/节点，分别新建 IP 池和节点对象，配置如图 1-15和图 1-16 所示。 IP 池对象：内网段 1 节点对象：内网服务器 1图1-15 Trunk 穿越 新建 IP 池图1-16 Trunk 穿越 新建节点b.选择

30、菜单 对象 安全模板，分别新建的详细步骤请参见 B 安全模板。检测和防安全模板，新建安全模板c.选择菜单 策略 安全策略 安全策略，新建安全策略，配置如图 1-17 所示。其中，应用与服务处勾选 FTP 相关内容。图1-17 Trunk 穿越 安全策略步骤 3 应用配置。单击页面右上方的，使配置生效。选择菜单 系统 系统控制 系统控制，单击【应用配置】按钮，使配置生效。-结束2路由部署NF 的路由部署方式包括边界网关部署方式、IPS 链路负载均衡部署方式、非对称部署方式。2.1 边界网关应用场景如图 2-1 所示，NF 部署在网络边界，处于、内网和 DMZ 区交界处，以三层路由模式接入网络中。

31、现通过配置 NF，实现以下需求：1.允许通过用户认证的内网用户 zhangsan 和zhangwu（用户同用户名）Web 应用，所有内网用户都通过源 NAT 策略进行的 Web 应用。2.DMZ 区的 53 和 54 对外提供 Web 服务，并进行服务器负载均衡（随机）。内网和对所有用户均可通过公网地址DMZ 区的 Web 服务。进行安全防护和用户日志。图2-1 路由部署_边界网关配置思路1.2.配置接口以及默认路由。配置网络对象以及 NAT 策略。 配置源 NAT 策略，在内网用户口 G1/3 的 IP 地址。时，将子网 /24 转换为接 配置目的 NAT 策略，将 DMZ 区 53 和 5

32、4 的Web 服务做外网，并做服务器负载均衡（随机），的公网 IP 地址为 5。 配置目的 NAT 策略，允许内网用户通过公网地址配置安全模板以及安全策略。 配置安全策略，允许内网用户 zhangsan 和zhangwuDMZ 区 Web 应用。3.Web 应用，会话开始和结束的日志。同时，开启 IPS、URL 过滤、内容过滤以及防护。 配置安全策略，允许内网和的任意用户DMZ 区 Web 应用，会话开始和结束的日志。同时，开启 IPS、URL 过滤、内容过滤以及防护。4.配置用户对象以及用户认证策略，对来自子网 /24 的进行用户身份认证。5.应用配置，使配置生效。配置步骤以操作员 webo

33、per 登录，进行如下配置：步骤 1配置接口以及默认路由。a.选择菜单 网络 接口 接口，分别配置接口 G1/1、G1/2 以及 G1/3。三个接口的类型均为三层， IP 地址依次 为 /24 、 /24 以及 /24，所属安全区依次为ranet、DMZ 以及 Extranet。图2-2 边界网关-接口配置列表b.选择菜单 网络 路由 静态路由，添加一条默认路由（假设 G1/3 接口的下一跳为 00），如图 2-3 所示。图2-3 边界网关-默认路由步骤 2配置网络对象以及 NAT 策略。a.选择菜单 对象 网络 子网，新建名称为“内网”的子网对象，如图 2-4 所示。由于静态路由的缺省管理距

34、离为 1，为了保证其他静态路由的优先级，默认路由的管理距离建议设置为大于 1 的整数。图2-4 边界网关-网络对象-子网b.参见步骤 a 分别创建“出口”、“DNAT”以及“253-254”对象。其中，“出口”、“DNAT”为节点类型，“253-254”为 IP 池类型。图2-5 边界网关-网络对象-节点 1图2-6 边界网关-网络对象-节点 2图2-7 边界网关-网络对象-IP 池c.选择菜单 策略 NAT 源 NAT，新建源 NAT 策略，如图 2-8 所示。图2-8 边界网关-SNATd.选择菜单 策略 NAT 目的 NAT，新建两条目的 NAT 策略，分别实现用户DMZ 区的 Web

35、服务和内网用户DMZ 区的 Web 服务。图2-9 边界网关-DNAT-DMZ图2-10 边界网关-DNAT-内网用户DMZ图2-11 边界网关-DNAT 列表步骤 3 配置安全模板以及安全策略。a.选择菜单 对象 安全模板，分别新建策略。检测、URL 过滤、防和内容过滤新建安全模板的详细步骤请参见 B 安全模板。选择菜单 策略 安全策略 安全策略，新建两条安全策略。b.图2-12 边界网关-安全策略-图2-13 边界网关-安全策略-DMZ 区图2-14 边界网关-安全策略列表步骤 4配置用户对象以及用户认证策略。a.选择菜单 对象 用户 用户，新建用户 zhangsan 和 zhangwu。

36、图2-15 边界网关-用户列表b.选择菜单 策略 用户认证认证策略，新建用户认证策略，如图 2-16 所示。图2-16 边界网关-认证策略步骤 5应用配置。单击页面右上方的选择菜单 系统 系统控制，使配置生效。系统控制，单击【应用配置】按钮，使配置生效。-结束两条安全策略中所勾选的服务均为：dnst、dnsu、httpt以及httpst。2.2 ISP 链路负载均衡应用场景如图 2-17 所示，NF 部署在网络边界，处于、内网和 DMZ 区交界处，以三层路由模式接入网络中。其中连接和电信两个 ISP 服务商，进行双链路的负载均衡。现通过配置 NF，实现以下需求：1.允许内网用户Web 应用，所

37、有内网用户都通过源 NAT 策略进行的Web 应用。2.在 NF 的两个出口 G1/3 和 G1/4 进行和电信两个 ISP 链路的负载均衡，当或电信其中一条链路故障，其链路流量自动切换到另外一条链路。.DMZ 区的 54 对提供 Web 服务。用户均可通过公网地址DMZ 区的 Web 服务。内网和对所有进行安全防护和用户日志。启用反向路由，保证从电信发起的对 DMZ 区的包，应答包依然从电接口出去。口出去；从发起的对 DMZ 区的包，应答包依然从图2-17 路由部署_ISP 链路负载均衡配置思路配置安全区、接口、ISP 路由及默认路由，并且开启反向路由功能。配置网络对象以及 NAT 策略。

38、配置源 NAT 策略，内网用户时，分别将子网 /24 转换为接口 G1/3（电信出口）和接口 G1/4（出口）的 IP 地址。 配置目的 NAT 策略，将 DMZ 区 10.10.10. 254 的 Web 服务做，的公网 IP 地址分别为 5（）和 5（电信）。 配置目的 NAT 策略，允许内网用户通过两个公网地址（区 Web 应用。3.配置安全模板以及安全策略。和电问 DMZ 配置安全策略，允许所有内网用户Web 应用，会话开始和结束的日志。同时，开启 IPS、URL 过滤、内容过滤以及防护。 配置安全策略，允许内网和的任意用户DMZ 区 Web 应用，会话开始和结束的日志。同时，开启 I

39、PS、URL 过滤、内容过滤以及4.应用配置。防护。配置步骤以操作员 weboper 登录，进行如下配置：步骤 1配置安全区、接口、ISP 路由以及默认路由。a.选择菜单 网络 安全区 安全区，新建两个 layer3 安全区“”和“”，如图 2-18 所示。图2-18 ISP 链路负载均衡-安全区列表b.选择菜单 网络 接口 接口，分别配置接口 G1/1、G1/2、G1/3 以及 G1/4。四个接口的类型均为三层， IP 地址依次为 /24 、/24 、/24 以及 /24 ， 所属安全区依次为ranet 、DMZ 、以及。图2-19 ISP 链路负载均衡-接口配置列表c.选择菜单 网络 路由

40、 ISP 路由，添加两条 ISP 路由（假设 G1/3 接口的下一跳为 00，G1/4 接口的下一跳为 00）。配置如下图所示：图2-20 ISP 链路负载均衡-ISP 路由-电信图2-21 ISP 链路负载均衡-ISP 路由-图2-22 ISP 链路负载均衡-ISP 路由列表d.选择菜单 网络 路由 静态路由，配置两条默认路由，当链路故障，通过默认路由将其链路流量切换到另外一条链路。或电信其中一条图2-23 ISP 链路负载均衡 默认路由（电信）图2-24 ISP 链路负载均衡 默认路由（）图2-25 ISP 链路负载均衡 默认路由列表e.选择菜单 网络 路由 反向路由，开启反向路由功能。图

41、2-26 ISP 链路负载均衡-反向路由步骤 2 配置网络对象以及 NAT 策略a.选择菜单 对象 网络 子网，新建名称为“内网”的网络对象，如图 2-27 所示。图2-27 ISP 链路负载均衡-网络对象-子网b.分别创建“DMZ-Web”、“DNAT”、“DNAT”、“外”五个节点类型的网络对象，如图 2-28网出口所示。”以及“出口图2-28 ISP 链路负载均衡-网络对象-节点列表c.选择菜单 策略 NAT 源 NAT，新建两条源 NAT 策略。图2-29 ISP 链路负载均衡-SNAT-电信图2-30 ISP 链路负载均衡-SNAT-图2-31 ISP 链路负载均衡-SNAT 列表d

42、.选择菜单 策略 NAT 目的 NAT，新建四条目的 NAT 策略。配置如下图所示：图2-32 ISP 链路负载均衡-DNAT-DMZ-电信图 2-32 所示的目的 NAT 策略实现了用户通过电信链路DMZ 区的 Web服务。图2-33 ISP 链路负载均衡-DNAT-DMZ-图2-34 ISP 链路负载均衡-DNAT-DMZ 内网-电信图 2-33 所示的目的 NAT 策略实现了用户通过链路DMZ 区的 Web服务。图2-35 ISP 链路负载均衡-DNAT-DMZ 内网-图2-36 ISP 链路负载均衡-DNAT 列表步骤 3 配置安全模板以及安全策略a.安全模板的配置请参见 B 安全模板

43、。图 2-35 所示的目的 NAT 策略实现了内网用户通过链路DMZ 区的 Web服务。图 2-34 所示的目的 NAT 策略实现了内网用户通过电信链路DMZ 区的 Web服务。b.选择菜单 策略 安全策略 安全策略，新建三条安全策略。配置如下图所示：图2-37 ISP 链路负载均衡-安全策略-电信图2-38 ISP 链路负载均衡-安全策略-图2-39 ISP 链路负载均衡-安全策略-DMZ图2-40 ISP 链路负载均衡-安全策略列表步骤 4 应用配置。单击页面右上方的，使配置生效。选择菜单 系统 系统控制 系统控制，单击【应用配置】按钮，使配置生效。-结束2.3 非对称路由在一般模式中，如

44、果连接请求始发于一台设备，连接应答却通过另一台设备返回，那么这个数据包就会被丢弃，也不能进行安全检测。而非对称路由支持功能可使数据包在这种情况下不会被丢弃，并且可以进行安全检测。非对称路由支持是指当设备（启动非对称路由支持功能）收到一个数据包，却没有这个数据包的连接信息时，它会自动查找非对称路由组中其他设备的连接信息，从而判断是否为数据包提供转发功能，并将数据包交给相关设备进行转发。只有点到点虚拟线部署的两台 NF 才能配置非对称路由支持功能。且在配置两台 NF 的虚拟线时，保证 NF 间相应的 IN 口和 OUT 口的方向一致。应用场景如图 2-41 所示，内网用户 A/B 通过不同路由器电

45、信网络或网络，NF 以虚拟线模式接入链路，两台 NF 间连接流量数据线。现通过配置 NF，实现以下需求：上述安全策略中所勾选的服务均为：dnst、dnsu、httpt以及httpst。1.户2.允许 IP 范围 /240/24 及 /240/24 的内网用Web 应用。在不改变数据包原有的基础上，对非对称路由数据包进行转发。图2-41 非对称路由模式部署拓扑图配置思路NF1 配置1.2.配置 NF1 的接口与虚拟线。配置 NF1 的网络对象和安全策略。允许内网用户 AWeb 应用。3.配置 NF1 的非对称路由支持。将 NF1 作为主机工作在主机处理模式下。应用 NF1 配置。4.NF2 配置

46、配置 NF2 的接口与虚拟线。配置 NF2 的网络对象和安全策略。允许内网用户 BWeb 应用。配置 NF2 的非对称路由支持。将 NF2 作为从机工作在主机处理模式下。应用 NF2 配置。配置步骤以操作员 weboper 登录，进行如下配置：NF1 配置步骤 1配置 NF1 接口与虚拟线。a.选择菜单 网络 接口 接口，分别编辑接口 G1/1、G1/2 和 G1/3，如图 2-42 所示。图2-42 NF1 的非对称路由 - 编辑接口b.选择菜单 网络 虚拟线 虚拟线，新建名称为 Vwire 的虚拟线，配置如图 2-43所示。图2-43 NF1 的非对称路由 - 新建虚拟线步骤 2配置 NF

47、1 网络对象和安全策略。a.选择菜单 对象 网络 IP 池，新建名称为内网用户 A 的 IP 池，配置如图 2-44所示。图2-44 NF1 的非对称路由 - 新建 IP 池b.选择菜单 策略 安全策略 安全策略，新建内网用户 A配置如图 2-45 所示。其中，应用处勾选需要的 Web 应用，服务处勾选 httpt、httpst、dnst和 dnsu。的安全策略，图2-45 NF1 的非对称路由 - 新建安全策略步骤 3 配置 NF1 非对称路由支持。选择菜单 网络 高可用性 非对称路由支持，配置 NF1 的非对称路由支持，配置如图 2-46 所示。图2-46 NF1 的非对称路由支持步骤 4

48、应用配置。单击页面右上方的选择菜单 系统 系统控制，使配置生效。 系统控制，单击【应用配置】按钮，使配置生效。NF2 配置步骤 1配置 NF2 接口与虚拟线。a.选择菜单 网络 接口 接口，分别编辑接口 G1/1、G1/2 和 G1/3，如图 2-47 所示。图2-47 NF2 的非对称路由 - 编辑接口b.选择菜单 网络 虚拟线 虚拟线，新建名称为 Vwire 的虚拟线，配置如图 2-48所示。图2-48 NF2 的非对称路由 - 新建虚拟线步骤 2配置 NF2 网络对象和安全策略。a.选择菜单 对象 网络 IP 池，新建名称为内网用户 B 的 IP 池，配置如图 2-49所示。图2-49

49、NF2 的非对称路由 - 新建 IP 池b.选择菜单 策略 安全策略 安全策略，新建内网用户 B配置如图 2-50 所示。其中，应用处勾选需要的 Web 应用，服务处勾选 httpt、httpst、dnst和 dnsu。的安全策略，图2-50 NF2 的非对称路由 - 新建安全策略步骤 3 配置 NF2 非对称路由支持。选择菜单 网络 高可用性 非对称路由支持，配置 NF2 的非对称路由支持，配置如图 2-51 所示。图2-51 NF2 的非对称路由支持步骤 4 应用配置。单击页面右上方的选择菜单 系统 系统控制，使配置生效。 系统控制，单击【应用配置】按钮，使配置生效。-结束3混合部署混合部

50、署是透明部署和路由部署两种部署方式的混合。即 NF 设备的某些接口工作在二层，实现数据转发功能；同时某些接口工作在三层，实现数据路由功能。应用场景如图 3-1 所示，NF 部署在网络边界，处于、内网和 DMZ 区交界处。G1/1、G1/2和 G1/3 为三层接口，且 G1/1 下配置子接口形成内网单臂路由区，实现内网单臂路由区、区、DMZ 区的三层路由交换；G1/4 和 G2/1 为二层接口，但属于同一 VLAN，实现员工 1 区和员工 2 区之间的以及 VLAN 与其他区域的数据路由。要求：1.运维部（VLAN 10，IP 范围 /24）通过单臂路由服务器（VLAN20，IP 范围 /24）

51、，但只允许net 应用；并配置用户认证策略，要求运维部对进行时需进行登陆认证。2.员工 1 区和员工 2 区通过 2 层接入，彼此间可以互相，并且可以对服务器进行应用。3.4.5.员工 1 区和员工 2 区的用户可以DMZ 区将 IP 地址 Web 应用，但需要进行用户认证。，对提供 Web 服务。于所有都必须进行一定程度的安全防护和用户日志。图3-1 混合（二/三层）部署配置思路1.2.配置安全区、接口。配置网络对象及 NAT 策略。 配置源 NAT 策略，允许员工安全区。 配置目的 NAT 策略，将 DMZ 区 IP 地址 配置安全模板及安全策略。到。3. 运维部对服务器的net 应用，并

52、防护。日志。同时，开启 IPS、URL 过滤、内容过滤以及 员工 1 区和员工 2 区互相安全防护。，日志。同时，开启内容过滤和防日志。同时，开启 IPS、URL 过滤、内 员工区容过滤以及服务器区，并防护。4.配置用户对象及认证策略。 运维部对 员工安全区应用配置。进行时进行用户认证。时进行用户认证。5.配置步骤以操作员 weboper 登录，进行如下配置：配置安全区和接口。步骤 1a.选择菜单 网络 安全区，分别配置二、三层混合部署需要用到的 layer2 和 layer3两种类型的安全区。layer2 安全区：员工 1 区和员工 2 区layer3 安全区： 员工安全区（包括员工 1 区

53、和员工 2 区）管理安全区（包括运维部和服务区） DMZ 区（使用系统 DMZ 区）区（使用系统 Extranet 区）图3-2 混合部署 安全区配置列表b.选择菜单 网络 接口 接口，分别配置二、三层混合部署需要用到 4 种类型接口。 三层接口：G1/1、G1/2、G1/3 三层子接口：运维部和服务区采用单臂路由模式与 NF 设备连接，故 G1/1下还需要配置两个三层子接口 G1/1.10 和 G1/1.20DMZ 区和区分别使用系统预定义的安全区 DMZ 和Extranet 即可。 二层接口：G1/4、G2/1 VLAN 接口：员工 1 区和员工 2 区通过该 VLAN 接口与路由、区进行

54、数据图3-3 混合部署 接口配置列表步骤 2 配置网络对象及 NAT 策略。a.选择菜单 对象 网络 子网/节点，分别配置二、三层混合部署需要用到的子网对象和节点对象。 子网对像：运维部和服务器 节点对象：SNAT、DMZ 服务器和 DMZ 服务器IP接口 G1/1 下将配置两个三层子接口分别连接运维部和 服务区，进行数据路由时需要的是两个三层子接口的 IP 地址，故 G1/1 的 IP 地址设置为 /0 即可。三层子接口名称 名规则为“父接口.VLAN ID”。因为接口 G1/4 和 G2/1 将作为一个 VLAN 与 服务区、 区进行数据路由，故配置相同的 VLAN ID 号，使其属于同一

55、个 VLAN。VLAN 接口名称 名规则为“VLAN.VLAN ID”。图3-4 混合部署 子网对象图3-5 混合部署 节点对象b.选择菜单 策略 NAT 。源 NAT，新建一条源 NAT 策略，使员工安全区能够图3-6 混合部署 源NAT 策略c.选择菜单 策略 NAT 目的 NAT，新建一条目的 NAT 策略，将 DMZ 区。到图3-7 混合部署 目的 NAT 策略步骤 3 配置安全模板及安全策略。a.选择菜单 对象 安全模板，分别新建策略。检测、URL 过滤、防和内容过滤新建安全模板的详细步骤请参见 B 安全模板。选择菜单 策略 安全策略 安全策略，新建四条安全策略，分别满足运维部访b.

56、问服务器、员工 1 区服务器。员工 2 区、员工 2 区员工 1 区以及员工区图3-8 混合部署 安全策略（运维部）图3-9 混合部署 安全策略（员工 1 区员工 2 区）图3-10 混合部署 安全策略（员工 2 区员工 1 区）图3-11 混合部署 安全策略（员工区）安全策略部署完成后的策略列表如图 3-12 所示。图3-12 混合部署 - 安全策略列表步骤 4 配置用户对象和认证策略。a.选择菜单 对象 用户 域/用户，分别配置域对象和用户对象。 域对象：运维和员工上网 用户对象：运维 1 和员工 1图3-13 混合部署 域对象图3-14 混合部署 用户对象（运维 1）图3-15 混合部署

57、 用户对象（员工 1）b.选择菜单 策略 员工区 运维部用户认证 认证策略，分别新建两条用户认证策略。时进行用户认证时进行用户认证图3-16 混合部署 认证策略（员工安全区）图3-17 混合部署 认证策略（运维部）配置完成的用户认证策略列表如图 3-18 所示。图3-18 混合部署 - 认证策略列表步骤 5 应用配置。单击页面右上方的，使配置生效。选择菜单 系统 系统控制 系统控制，单击【应用配置】按钮，使配置生效。-结束4HA 部署NF 的高可用性的典型部署方式包括：虚拟线主备、路由主备和路由主主三种方式。4.1 虚拟线主备虚拟线主备是 NF 高可用性部署中的一种典型部署模式。主、备墙以虚拟

58、线模式接入网络，实现主备冗余。应用场景如图 4-1 所示，主、备墙以虚拟线模式部署在网关路由器与下游交换机之间，彼此之间连接心跳线，路由器和交换机与主、备墙连接的接口属于同一 VLAN。要求：1.2.3.两台 NF 设备实现虚拟线主备，同步配置策略和会话。内网中的任何用户均可。所有 Web 应用，并对所有内网以及对敏感关键字进行过滤）和日志内网用户时，允许进行安全防。护（检测、URL 过滤、防图4-1 HA 虚拟线主备配置思路1.2.3.配置主墙接口、虚拟线和对象。配置主墙高可用性。配置主墙安全模板和安全策略，允许所有的 Web 应用，并实现对内网的安全防护及日志。.应用主墙配置。配置备墙接口

59、、虚拟线和对象。配置备墙高可用性。配置备墙安全模板和安全策略，允许所有的 Web 应用，并实现对内网的安全防护及日志。8.应用备墙配置。配置步骤以操作员 weboper 登录，进行如下配置：步骤 1配置主墙接口、虚拟线。a.选择菜单 网络 接口 接口，配置主墙中需要用到的接口：G1/1、G1/2 和 G1/3， G1/1 和 G1/2 为虚拟线接口，G1/3 为三层接口。图4-2 虚拟线主备 主墙接口配置b.选择菜单 网络 虚拟线 虚拟线，配置主墙虚拟线。图4-3 虚拟线主备 主墙虚拟线配置步骤 2 配置主墙高可用性。主墙与备墙要实现虚拟线主备的高可用性，需要完成以下两个方面的配置。基本配置选

60、择菜单 网络 高可用性设置 基本配置，配置主墙高可用性的基本配置。图4-4 虚拟线主备 主墙高可用性基本参数虚拟线配置选择菜单 网络 高可用性设置 虚拟线配置，配置主墙虚拟线参数。单击【对端本地】按钮，将对端配置策略同步到本地；单击【本地对端】按钮，将本地配置策略同步到对端。开启“同步会话”，同步主墙、备墙会话。主墙 G1/3 接口为心跳口，G1/3 接口的IP 地址为 。对端 IP 地址：主墙和备墙的心跳口必须处于同一网段。备墙 G1/3 接口为心跳口，IP 地址为 00。图4-5 虚拟线主备 主墙高可用性虚拟线参数步骤 3 配置主墙安全模板和安全策略。安全模板的详细配置步骤请参见 B 安全