文档介绍：配置一台全新的天融信防火墙 NGFW4000 ,配置完后,内网用户 和 4 可以通过防火墙上网,外网用户可以通过访问防火墙的外网接口地址来访问内网的 WEB 服务器 ,并且内网用户也可以通过 WEB 服务器的外网地址进行访问。网络说明: 防火墙外网接口地址: 防火墙内网接口地址: 核心交换机防火墙 VLAN : 核心交换机用户群 A的 VLAN : 核心交换机用户群 B的 VLAN : 用户群 A 的默认网关: 用户群 B 的默认网关: 防火墙至出口的默认网关: 核心交换机至防火墙的默认网关: 内网 WEB 服务器地址: (通过防火墙映射成公网地址) 简单拓扑图如下: 这里着重介绍的是出口防火墙的配置,从上图中可以看出,防火墙位于核心交换机至 INTERNE T 出口的中间。我们首先需通过某种方式对防火墙进行管理配置。 1 、连接防火墙首先查看防火墙的出厂随机光盘, 里面其中有个防火墙安装手册, 描述了防火墙的出厂预设置: 管理用户管理员用户名 superman 管理员密码 talent 或 12345678 系统参数设备名称 TopsecOS 同一管理员最多允许登录失败次数 5 最大并发管理数目 5 最大并发管理地点 5 同一用户最大登录地点 5 空闲超时 3 分钟物理接口 Eth0 (或 LAN 口) IP: 其他接口 Shutdown 服务访问控制 WEBUI 管理(通过浏览器管理防火墙):允许来自 Eth0 (或 LAN 口)上的服务请求 GUI 管理(通过 TOPSEC 管理中心):允许来自 Eth0 (或 LAN 口)上的服务请求 SSH (通过 SSH 远程登录管理):允许来自 Eth0 (或 LAN 口)上的服务请求升级(对网络卫士防火墙进行升级):允许来自 Eth0 (或 LAN 口)上的服务请求 PING ( PING 到网络卫士防火墙的接口 IP 地址或 VLAN 虚接口的 IP 地址): 允许来自 Eth0 (或 LAN 口)上的服务请求其他服务禁止地址对象地址段名称 any 地址段范围 – 区域对象区域对象名称 area_eth0 绑定属性 eth0 权限允许日志日志服务器 IP 地址 IP: . 日志服务器开放的日志服务端口 UDP 的 514 端口高可用性( HA) 关闭从中可以看出, 管理口为 ETH0 口, 地址为 , 我们将一台电脑直接与 ETHO 接口相连, 然后配置一个 段的地址, 然后在浏览器上访问 , 就进入了 WEB 管理界面(如出现安装证书问题,直接点继续浏览此网站),如下。 2 、配置防火墙接口将 ETH1 配置成外网接口, ETH2 配置成内网接口, 依次选择左边菜单的“网络管理”->“接口”, 在 ETH1 接口一行点击最后的蓝***标,如下图,进入 ETH1 接口配置模式。然后输入外网地址,接口模式为“路由”,最后点“确定”,如下图。同理,将 ETH2 接口地址设置成内网地址: 3 、路由配置这里有两种路由要写,一是至外网出口的默认路由,下一跳为 ,还有一种是至内网核心交换机的回程路由,共有两条,下一跳都是指向 。依次选择左边菜单的“网络管理”->“路由”,然后点击“添加”,添加一条至外网的默认路由,如下。再依次添加两条回程路由: 这样,出去的路由有了,回去的路由也有了。 4 、访问控制默认防火墙是阻止所有经过的包,所以需对访问控制项进行设置。点击菜单的“防火墙”->“访问控制”,点击“添加”按扭,如下图就出现了添加窗口,在源窗口和目的窗口均选择“ ANY[ 范围]”,“服务”不选( 包含所有服务),“选项”默认, 直接点击确定。这样,就允许所有的数据经过防火墙了。当然,可以通过详细的设置来控制不同网段的电脑,这里就不在叙述了。 5 、配置地址转换( NAT ) 首先新建“区域”,选择菜单的“资源管理”->“区域”,点击添加,将内、外网的区域新建好。下来配置源地址转换,选择“防火墙”->“地址转换”,点击添加,选择“源地址”转换,在源选项上,将“高级”的钩