文档介绍:全新的天融信防火墙 NGFW400C配置
配置一台全新的天融信防火墙 NGFW40Q0配置完后,内网用户
可以通过防火墙上网,外网用户可以通过访问防火墙的外网接口地址来访问内网的 WEB服务器
,并且内网用户也可以通过 WE酿务器的外网地址进行访问。
网络说明:
防火墙外网接口地址:
防火墙内网接口地址:
核心交换机防火墙 VLAN
核心交换机用户群 A的VLAN
核心交换机用户群 B的VLAN
用户群A的默认网关:
用户群B的默认网关:
防火墙至出口的默认网关:
核心交换机至防火墙的默认网关:
内网WEB服务器地址: (通过防火墙映射成公网地址)
简单拓扑图如下:
, 1^3. 12(/30
INTERNET
'21H. 90. l'2i 12Z^0
191 25:V30
-加胡坯鲁柳24-
」血沁匸
T927T磁歎254『前
INTERNET
预设置:
这里着重介绍的是出口防火墙的配置,从上图中可以看出,防火墙位于核心交换机至
出口的中间。我们首先需通过某种方式对防火墙进行管理配置。
1、连接防火墙
首先查看防火墙的出厂随机光盘, 里面其中有个防火墙安装手册,描述了防火墙的出丿
管理用户
管理员用户名superman 管理员密码tale nt 或12345678
系统参数
设备名称TopsecOS
同一管理员最多允许登录失败次数 5
最大并发管理数目5
最大并发管理地点 5
同一用户最大登录地点 5
空闲超时3分钟
物理接口
EthO (或 LAN 口)IP :
其他接口 Shutdown
服务访问控制
WEBUI管理(通过浏览器管理防火墙):允许来自 Eth0 (或LAN 口)上的服务请求
GUI管理(通过TOPSEC管理中心):允许来自 Eth0 (或LAN 口)上的服务请求
SSH(通过SSH远程登录管理):允许来自 Eth0 (或LAN 口)上的服务请求
升级(对网络卫士防火墙进行升级):允许来自 Eth0 (或LAN 口)上的服务请求
PING( PING到网络卫士防火墙的接口 IP地址或VLAN虚接口的IP地址):允许来自Eth0 (或
LAN 口)上的服务请求
其他服务禁止
地址对象
地址段名称any
地址段范围 -
区域对象
区域对象名称area_eth0
绑定属性eth0
权限允许
日志
日志服务器IP 地址IP : .
日志服务器开放的日志服务端口 UDP的514端口
高可用性(HA关闭
从中可以看出,管理口为 ETH0 口,,我们将一台电脑直接与 ETHO接 口
相连,然后配置一个 ,然后在浏览器上访问 ,就进入
了 WEBT理界面(如出现安装证书问题,直接点继续浏览此网站),如下。
<天融信
提交
: supermsn
字匸]圖珞管理 苗口贵源甘理 吐口用尸认证 i*hn防火惓 备口內容过滤 宙匸I虎拟专岡 昇]入侵防御 色匸I高可用性 託]日志与报警
□退出丢垃
■ a IM・■ ■ ■■一 可
揉度内容过畫二 ■AT支持: 认证二
2、配置防火墙接口
将ETH1配置成外网接口,ETH2配置成内网接口,依次选择左边菜单的“网络管理”
-> “接口
在ETH1接口一行点击最后的蓝***标,如下图,进入
ETH1接口配置模式。
町U 伏态协裔速率设置
1500
启用
auto
auto
1500
启用
1500
启用
4Ut>Q
auto
ISOO
启用
auto
程ULt廿
然后输入外网地址,接口模式为“路由”,最后点“确定”,如下图。
3、路由配置
这里有两种路由要写,一