SonicWALL防火墙基本配置

上海逍创网络科技有限公司地址:上海市裕德路92号江南裕德大厦207室Tel(021)54257880/51079007Fax(021)289008441-SonicWALL防火墙基本配置SonicWall网络向导配置 SonicWall规则配置 SonicWall一般规则配置 SonicWall服务器规则向导配置 SonicWall对象配置 SonicWallVPN配置 SonicWall网络向导配置首次接触SonicWALL防火墙设备，我们将电源接上，并开启电源开关，将X0口和你的电脑相连（注：请用交叉线），SonicWALL防火墙默认的IP地址为68，我们也可以通过setuptool.exe这个小工具探知SonicWALL防火墙的IP地址。如图所示：当网线和电源等都连接好之后，我们设置一下本机的IP地址，以便和SonicWALL防火墙处于同一个网段。如图所示：设置好IP地址后，我们在IE浏览器的地址栏输入SonicWALL防火墙的IP地址，防火墙将弹出网络配置向导界面点next，提示我们是否修改管理员密码，根据需要我们将密码设置为实际密码，点next，提示我们修改防火墙的时区，我们选择中国的时区。点next，提示我们设置WAN口的地址获取类型，这时候，我们需要和ISP相联系，并选择相关的类型，这里以静态地址为例：点next，输入相关的信息，IP地址、掩码、网关、DNS服务器等，如果不知道此处该如何设置，请和你的ISP联系。点next，提示我们设置LAN口的IP和掩码，我们根据自己的规划和网络的实际情况设置，此处我没有修改。点next，设置DHCPserver的相关配置，如果不开启，把勾取消即可。点next，防火墙将把前面做的设置做一个摘要，以便我们再一次确认是否设置正确，如果有和实际不符的地方，可以点back返回进行修改。按照我们前面的设置，防火墙开启了NAT模式——即在LAN内的PC访问WAN外的互连网时，将转换其IP地址为WAN口地址。点apply，设置生效。点close，回到登陆界面输入帐号密码后，点login如果登陆后没有弹出网络配置向导，我们可以先登录进去，然后点击Wizards进行配置。点next后就可以按着上面的方法接着做。当把配置做好以后，我们将防火墙的X1口接到ISP进来的网线上，将X0口接到内网交换机上。这时，我们可以找一个内网的机器，测试是否可以访问外网：SonicWall规则配置SonicWall一般规则配置这时，我们已经可以访问外网了。此时的策略是默认允许内网的所有机器可以任意的访问外网，为了符合公司的安全策略，我们如果要相关的安全策略，限制一些访问的协议。通常有两种做法：一种是先限制所有的协议，在逐步开放需要访问的协议；另一种是先开放所有的协议，在逐步禁止不能访问的协议。我们以第一种为例,选择firewall—>accessrules,选择从LAN到WAN，我们可以看到有一条默认策略是允许LAN的机器可以任意访问WAN外的任意服务，我们先将此策略修改为禁止，点此规则的编辑图标，弹出如下界面，在action出选择deny，点OK，我们可以看见已经禁止了所有的访问：这时，我们再添加允许访问的服务等，可按照IP、协议、时间、用户、带宽等做控制。我们简单的做一个允许内网中某一个IP2可以访问外网的http服务为例,点add，选择服务为http，选择源网络IP，如果例表中没有，我们可以添加选择目的网络为any，选择时间等，也可以按照默认设置，点OK我们可以看到规则已经生效，通过测试，发现可以访问。SonicWall服务器规则向导配置如果公司对外有服务器要开放，我们可以点publicserverWizard，点击后，出现如下界面点next，我们选择相关的服务，以ftp服务为例，如果有别的相关的服务，我们选择other，自己进行定义，我们点next，我们输入服务名和服务器的私有IP地址点next，我们输入服务器的公网地址，默认是WAN口地址点next，出现前面配置的摘要，如果配置没有问题，我们可以点apply点apply后，规则生效。SonicWall对象配置增强版防火墙由于增加了对象的概念，在防火墙规则中，通常，我们需要引用这些对象，具体有：地址对象、时间对象、服务对象、用户对象等四大对象。这些定义的对象还可以进一步定义成组，并且，组还可以包括组，从而构成丰富的规则控制。防火墙默认已经定义了许多有用的对象，但不一定满足我们的真实网络环境，需要根据实际需要自己定义。我们首先介绍地址对象：当我们登陆防火墙后，点networks，选择addressobjects，可以看见已经定义了许多有用的地址对象和组。我们可以自己定义不同的地址对象，将界面拖至底部，点add，在name处给我们定义的对象取个名字，以便能见名知意，在zoneassignment处，选择相应的安全区域，如LAN、WAN、DMZ等，在type出，可选择host、range、network、MAC等多种类型，在地址处，输入相关的地址或者掩码。当我们想把多个网络地址组合在一起时，我们可以定义地址组，选择addgroup，在name处取一个名字，并将我们需要的地址对象从左边移到右边框即可。当我们定义好地址对象和地址组后，我们就可以在规则里面引用这些地址对象。下面我们介绍服务对象：选择firewall，选则services，将界面拖至底部，点add，在弹出的界面中，我们可以给定义的服务取一个名字，在protocol中选择协议类型，如TCP、UDP等，在portrange处，我们填写相关的端口。点OK即添加成功。同样，我们可以将服务定义成组，以便同时引用，点addgroup，在name处取一个名字，将左边我们需要的服务移到右边框即可。下面介绍时间对象，选择system，点schedules，我们可以看到已经预定义了一些时间对象，我们也可以自己定义，点add同样取一个名字，在days处，可以选择相关的星期，在开始时间处输入开始时间，在s停止是就处输入停止时间，点add就可以在schedulelist处生成一条时间对象，可以这样生成多条时间对象。点OK后，时间对象生效，并可被规则引用。下面介绍用户对象，选择user点localuser，我们可以添加用户，点adduser，输入用户名和密码，即可，当然，我们也可以修改其所属的用户组等。选择localgroup后，点addgroup，可添加用户组，在members处可选择组的用户。这些对象通常都是我们在规则里面需要引用的对象，需要提前做好规划和配置。SonicWallVPN配置举例如下：总部：NSA3500内网地址：22,外网地址：9,24UniqueFirewallIdentifier：0006B138F分布：TZ150内网地址：54,外网地址：ADSLUniqueFirewallIdentifier：0006B345F1共享密钥：123456产品ID号：网络拓扑如下：NSA3500VPN配置1.添加TZ150内网IP地址：2.配置VPN1.点击添加AddVPN--Add2.generalname：vpn_fendianIPsecPrimaryGatewayNameorAddress：（这里输分布的外网地址，如果分布ADSL上网则输入）SharedSecret：123456LocalIKEID：0006B138FPeerIKEID(optional)：0006B3453.networkChooselocalnetworkfromlist：LANPrimarySubnetChoosedestinationnetworkfromlist：fendianIP4.proposalsExchange：AggressiveMode其余配置不要改动5.Advanced在下面两个选项前打勾EnableKeepAliveEnableWindowsNetworking(NetBIOS)Broadcast6.点击OK。NSA3500这边的VPN配置结束。TZ150VPN配置VPN-Settings--Add2．GeneralName：vpn_zongbuIPsecPrimaryGatewayNameorAddress：9SharedSecret：123456Network：3．ProposalsExchange：AggressiveMode其余配置不要改动5.Advanced在下面两个选项前打勾EnableKeepAliveEnableWindowsNetworking(NetBIOS)Broadcast点击OKVPN配置结束。曾磊