网关模式配置指导

1、可实现功能当网络当中没有路由设备做出口，NGFW可以作为出口设备，起到路由、源地址转化 和目的地址转化的作用。通过本手册，可以帮助用户初始部署，接入设备即可上网的功能相关拓扑限用情况A、单出口网关部署（一个WAN 口）B、多出口网关部署（多个WAN 口）注意：不论几个WAN 口，这几个口都可以支持静态或ADSL拨号的模式。内口可以是 一个或者多个配置过程3.1.外网口设置1点击【网络配置】-【接口与区域】下eth0接口，会弹出【物理接口-编辑】对话框。 以eth0为例。网康袱技NETENTSE子接口系统监控应用分析数据中心策略甑置eO 口区域e 1 口区域ethO外网口eth1内网口日瑁接口与

2、区域 i 国接口与区域 日己虚锹专用网络*町习隧道酣置习隧道信息习证书管理网络酣置2勾选【启用】，【作为wan 口】，以上表示这个接口要启用，而且是一个外网口。点选【路由】，表示这个接口是个三层接口，可以配置IP或者设置拨号。点选【静态IP】可以设置运营商下发的公网IP和子网掩码，点选【ADSL】可以设置运营商下发的用户名和密码。 1 名称描述回ethO夕卜网口内网口服务莒理:允许访问的IP:192.168.110.239/24支持三种格式，每行一个;IP地址:192.168.1.1IP范围:192.168.1.1-192.168.1.10IP 掩码：192.168.1.1/24B eth1S

3、 eth2图接口与区域 日&虚拟专用网(VPN)冒隧道配置图隧道信息图证书管理路由图静态路由图策略路由冒QSPF路由 图路由信息日S高皱网培冒静枷RP直|ARP代理物理接口3还有四个可选选项【SSH】【PING】【WEB】【SNMP】，这四个选项表示可以通过什么方 式登陆设备的这个接口来管理设备，按需求选择，一遍只勾选前三个。【允许访问的IP】表示允许那些地址通过以上三种方式从这个接口登陆来访问设备。默 认为所有IP都可以注意：当有多个外网口时，每个外网口都按照以上步骤进行设置。3.2.内网口配置内网口设置大体上都和外网口设置相同，其中需要注意几点：1不要勾选【作为WAN 口2内网口一般都是点

4、选【静态IP】，设置一个相应的内网地址,也就是内网网关3外网口可以禁止用户登陆管理，但是内网口一般需要开放管理权限4内网口也可以设置多个，每个内网口的设置要求都是相同的23.3. SNAT 设置网关模式下，除了内外网口的设置以外，还需要SNAT设置。这个和网康ICG产品的 网关模式部署不同，ICG是默认就设置好的。SNAT就是源地址映射，允许地址可以上网，1点击【策略配置】-【地址转换】-【新建】-【源地址转换】，如下图邕安全策略 3地址转换 IDOS防护 邕,流量营理日臼对象配置A冒地址对象 艺地址蛆对象L冒服驾对象 .冒服驾蛆对象 .闰自定受应用对象 A邕应用过滤对象 -图应用蛆对象 L苜

5、时间调度对象 .邕运营商地址对象 j白动作配置:图防病毒配置L邕太侵防御配置 L邕网址过滤配置 地址转化r名称类型描述/源IF地址出接匚0Snat源地址转换甘倾10.1ethO2化配置面板如下图。名称，描述随便写，优先级默认，然后点击策略选项的【原冶数据包】勾选【源地址臂【出接口】。如下图。,P）双向地址转旗i|+,新建耳删琛1富复制|旧启用 物禁用|上移 下移qadrnih 2013-03-28 14:20:473然后点击【转换后数据包】，勾选【源地址转换为出接口地址】，如下图。4勾选好策略选项后，看一下策略内容,然后点击策略内容里面源地址属于后面的【选 择地址】按钮，弹出下面设置面板，在这

6、里点击【新建】-【地址对象】。把内网网段设置进 去，注意子网掩码的设置不要错。如下图。 4 mwNETENTSEC选驿地址增址对象名称成员1,2192.168.1.0/2410.110.10.10.0/24回10,1010.10.10.0/24110.239192.168.110.239回VPNii/172.16.0.0/24nn n n n/n（+）新建1新建狙h新建ISP组名称:描述:【P地址:源地址映射醯包；）转换为出接口地址192.168.1.0“ip 地址/掩码 192.168.1.0/24内网地址源地址屋十选择地圳:且通过5设置好源地址后点击策略内容的【选择接口】按钮，勾选之前设置

7、的内网口，如下图。6设置好后，源地址转换面板如下图。确定之后就设置好源地址转换了。网康酒技NETENTSEC3.4.安全策略设置1设置好源地址转换后还要设置安全策略。点击【策略配置】-【安全策略】-【新建】，如下图。W安全策略 冒地址转换 .图DOS防护 .冒蒲星管理mm对象配置.图地址对象图地址组对象.冒服务对象.冒服务组对象.图自定义应用对象.图应用过滤对象图应用蛆对象冒时间调度对象.图运营商地址对象 洎动作配置.图防病毒配置冒入侵防御配置I旺)新建0册除 国复制| (g)启用 励禁用|上移.下移：称描述随便填写，优先级默认。分别点击策略条件的【源】勾选2打开安全策略配置艇名【源地址】，点

8、击【目的】购选【目的地址】，点击【动作】勾选【动作：允许或阻止】，勾选好 后，策略内容如下图。3点击策略内容的指定源地址后面的【选择地址】，选择之前设置的内网地址。如下图。4然后点击策略内容指定目的地址后面的【选择地址】，在弹出的地址对象设置框里面点击【新建】，新建一个包含所有的IP地址对象，添加方法如下图，注意地址的点写方法，只能 这么填写。5添加好源地址与目的地址之后，策略内容如下图。确定之后就添加完成了安全策略。 / 3.5.路由设置设置好源地址转换，安全策略之后，就剩下最后一步，添加默认路由了。1点击【网络配置】-【路由】-【静态路由】-【新建】如下图。新建一条静态路由。注意 目的IP那里只有如图上