全新的天融信防火墻NGFW的配置

1、1全新的天融信防火墻 NGFW400C 配置配置一臺全新的天融信防火墻NGFW40Q0配置完后，內(nèi)網(wǎng)用戶/24和10.1020/24可以通過防火墻上網(wǎng)，外網(wǎng)用戶可以通過訪問防火墻的外網(wǎng)接口地址來訪問內(nèi)網(wǎng)的WEB服務(wù)器00，并且內(nèi)網(wǎng)用戶也可以通過WE釀務(wù)器的外網(wǎng)地址進(jìn)行訪問。網(wǎng)絡(luò)說明：防火墻外網(wǎng)接口地址：21/30防火墻內(nèi)網(wǎng)接口地址：53/30核心交換機(jī)防火墻VLAN 54/30核心交換機(jī)用戶群A的VLAN /24核心交換機(jī)用戶群B的VLAN /24用戶群A

2、的默認(rèn)網(wǎng)關(guān)：54用戶群B的默認(rèn)網(wǎng)關(guān)：54防火墻至出口的默認(rèn)網(wǎng)關(guān)：22/30核心交換機(jī)至防火墻的默認(rèn)網(wǎng)關(guān)：53內(nèi)網(wǎng)WEB服務(wù)器地址：00/32（通過防火墻映射成公網(wǎng)地址）簡單拓?fù)鋱D如下：2這里著重介紹的是出口防火墻的配置，從上圖中可以看出，防火墻位于核心交換機(jī)至出口的中間。我們首先需通過某種方式對防火墻進(jìn)行管理配置。1、連接防火墻首先查看防火墻的出廠隨機(jī)光盤，里面其中有個(gè)防火墻安裝手冊，描述了防火墻的出丿管理用戶管理員用戶名superman管理員密碼tale nt或12345678系統(tǒng)參數(shù)設(shè)備名稱

3、TopsecOS同一管理員最多允許登錄失敗次數(shù)5最大并發(fā)管理數(shù)目5最大并發(fā)管理地點(diǎn)5INTERNET預(yù)設(shè)置:218.90, 13. 12(/30INTERNET21H. 90. l2i 12Z019125：V30-加胡坯魯柳 24-血沁匸T927T磁歎254前3同一用戶最大登錄地點(diǎn)5空閑超時(shí)3分鐘物理接口EthO（或LAN口）IP:54/24其他接口Shutdown服務(wù)訪問控制WEBUI管理（通過瀏覽器管理防火墻）：允許來自Eth0（或LAN口）上的服務(wù)請求GUI管理（通過TOPSEC管理中心）：允許來自Eth0（或LAN口）上的服務(wù)請求SSH（通過SSH遠(yuǎn)程登錄管理）：

4、允許來自Eth0（或LAN口）上的服務(wù)請求升級（對網(wǎng)絡(luò)衛(wèi)士防火墻進(jìn)行升級）：允許來自Eth0（或LAN口）上的服務(wù)請求PING（ PING到網(wǎng)絡(luò)衛(wèi)士防火墻的接口IP地址或VLAN虛接口的IP地址）：允許來自Eth0（或LAN口）上的服務(wù)請求其他服務(wù)禁止地址對象地址段名稱any地址段范圍-55區(qū)域?qū)ο髤^(qū)域?qū)ο竺Qarea_eth0綁定屬性eth0權(quán)限允許日志日志服務(wù)器IP地址IP:192.168. 1.253日志服務(wù)器開放的日志服務(wù)端口UDP的514端口高可用性（HA關(guān)閉從中可以看出，管理口為ETH0口，地址為54，我們將一臺電腦直接

5、與ETHO接 口相連，然后配置一個(gè)192.168.1段的地址，然后在瀏覽器上訪問54，就進(jìn)入了WEBT理界面（如出現(xiàn)安裝證書問題，直接點(diǎn)繼續(xù)瀏覽此網(wǎng)站），如下。4“接口在ETH1接口一行點(diǎn)擊最后的藍(lán)色圖標(biāo)，如下圖，進(jìn)入ETH1接口配置模式。町U伏態(tài)協(xié)裔速率設(shè)置1500啟用autoauto1500啟用1500啟用4UtQautoISOO啟用auto程ULt廿然后輸入外網(wǎng)地址，接口模式為“路由”，最后點(diǎn)“確定”，如下圖。53、路由配置這里有兩種路由要寫，一是至外網(wǎng)出口的默認(rèn)路由，下一跳為22，還有一種是至內(nèi)網(wǎng)核心交換機(jī)的回程路由，共有兩條

6、，下一跳都是指向54。依次選擇左邊菜單的“網(wǎng)絡(luò)管理”-“路由”，然后點(diǎn)擊“添加”，添加一條至外網(wǎng)的默認(rèn)路 由，如下。6再依次添加兩條回程路由:這樣，出去的路由有了，回去的路由也有了。4、訪問控制7默認(rèn)防火墻是阻止所有經(jīng)過的包，所以需對訪問控制項(xiàng)進(jìn)行設(shè)置。點(diǎn)擊菜單的“防火墻”-“訪問控制”，點(diǎn)擊“添加”按扭，如下圖就出現(xiàn)了添加窗口，在源 窗口和目的窗口均選擇“ANY范圍”，“服務(wù)”不選（包含所有服務(wù)），“選項(xiàng)”默認(rèn)，直接點(diǎn)擊 確定。這樣，就允許所有的數(shù)據(jù)經(jīng)過防火墻了。當(dāng)然，可以通過詳細(xì)的設(shè)置來控制不同網(wǎng)段的電腦， 這里就不在敘述了。miPFITIP范圍105 HE血】vla

7、n_101手網(wǎng)RPtpjEi訪同權(quán)限：用允許拒絕啟用規(guī)則；破啟用 歐認(rèn)宕用規(guī)則，不選為暫不生如|確定|取消|5、配置地址轉(zhuǎn)換（NAT目的選項(xiàng)選餐瀝比址:排庫 己選瘵首先 新 建“區(qū)域”，選擇 菜 單的 “ 資源管理” 好。-“區(qū)域”，點(diǎn)擊添加，將內(nèi)、外網(wǎng)的區(qū)域新建mana? e-hcst主機(jī)WXWF-tlQSt主機(jī)h3c-s5EOO主機(jī)26主機(jī)廠敝選釋具忖癸型的癇any 祖 住機(jī)rievF-ww-host主機(jī)8F來配置源地址轉(zhuǎn)換，選擇“防火墻”-“地址轉(zhuǎn)換”，點(diǎn)擊添加，選擇“源地址”轉(zhuǎn)換，在源 選 項(xiàng) 上 ， 將 “ 高 級 ” 的 鉤 打 上 ， 然 后 將 “n e i w a n g”

8、移 至 “ 已 選 源A R E A, 如 下 圖 :Jth2elhl譏hO_ladslipsecO_J區(qū)域確定| 取涓彼選Ji性區(qū)域確定取消被選屈性91 1述擇源KfiIR;IpptpaieJL-neLuranglanyping1 neiwang|waiwang選澤源誦口：排序已選源誦:3003 (TCF:0O33J test(TCF:SOOO)z在目標(biāo)選項(xiàng)上，將“高級”的鉤打上，然后將“waiwang移至“已選目的AREA，如下圖:10在“服務(wù)”選項(xiàng)上，不選擇任何服務(wù)，這樣就表示包含所有服務(wù)。在“源地址轉(zhuǎn)換為：”選項(xiàng)中，選擇“ETH1屬性”，如下圖。1A址轉(zhuǎn)H袈JII金源轉(zhuǎn)按目的轉(zhuǎn)換雙可轉(zhuǎn)

9、換廠不作轉(zhuǎn)換憑目的服筈選擇服務(wù)：排序已選服務(wù)：啟用規(guī)則:M秋認(rèn)啟用規(guī)則，不選為不生效瀝端口不厳轉(zhuǎn)換:【湄端口固定】115033仃CF;E0S31 test (TCP; 3000 3043 (TCP:S043) 7001(TCP:7001) 5001 (TCP：ED01) IP (ETH:0 x0800 ARP (ETH:0 x0806) LOOT (IF:36) PU? (ETH: 0 x0200) PUKAT (ETH:00201) K25 (ETH:Ote0805) HPQ (ElHiOxOStf)文腹地址轉(zhuǎn)換為：I ethl厲性二源端口不散轉(zhuǎn)按:廠噸端口固定X默認(rèn)啟用規(guī)則不選為不生效配置

10、到此，內(nèi)網(wǎng)用戶已經(jīng)可以通過防火墻上INTERNET了。接下來配置目的地址轉(zhuǎn)換，讓外網(wǎng)的用戶可以訪問內(nèi)網(wǎng)的WE釀務(wù)器00。6、內(nèi)網(wǎng)WEB服務(wù)器映射12選擇菜單“資源管理”-“地址”，選擇添加，將00添加至地址欄中，命名為www-server，如下圖。然后選擇“防火墻”-“地址轉(zhuǎn)換”，選擇添加，彈出對話框，然后選擇“目的轉(zhuǎn)換”選項(xiàng), 在“源”選項(xiàng)上，選擇“ANY:廣源轉(zhuǎn)換 存目的轉(zhuǎn)按廠取商轉(zhuǎn)換不作轉(zhuǎn)換目的謹(jǐn)擇源!manage-host主機(jī)wurhost主機(jī)h3c-s5500住機(jī) 対主機(jī)、. _ _-.J王機(jī)n&iflr ww-h o si主機(jī)PPTPIP

11、池國10E范圉vl an_ 10 L千網(wǎng)廠高級選擇苴他類型的詬any 耙排序13在“目的”選項(xiàng)上，選擇“ETH1:廣源轉(zhuǎn)換 存目的轉(zhuǎn)換 廣孜向轉(zhuǎn)按不作轉(zhuǎn)換_滙 l 陰 F 服貉陡擇目雷排目服務(wù)”選項(xiàng)不選，“目的地址轉(zhuǎn)換為”選擇剛才新建的“www -server”地址，“目的端口轉(zhuǎn) 換為”選擇“不轉(zhuǎn)換”，如下。98765432hhhhhhhh R- 6 6 6 6-61 1僅屬屬眉屬屬屬rLrL rLrLrLrL rLrL rLrL rLrL L L;_ u _ : _ : _Lt Lt Lt-1 Tn TH TH TH THethladsl 屬 性 ipsecO 眞 ipsec1USipsec2 屬 ipsec3屬1van屬性lan屆性ssn屬性athOathl高級說擇苴也類型的目的- - -TJ ml14廣再轉(zhuǎn)換 恃目的轄換廣致向轉(zhuǎn)勲 廣不作轉(zhuǎn)拗遊目的服務(wù)刪眼務(wù):排序80B3 (TCP:8083) test (TCP:8000)9043 (TCP=9043)7001 (TCP:7001) 5001 (TCF：50ai)IF CETJi: 0 x0000)-1叼ARF (ETH:OxQS06)LOOP (IP:96)PUP (ETH:0 x0200) )FU