ssg5防火墙快速布置说明_完整版.docVIP

SSG5防火墙 快速布置说明 配置准备知识 SSG5的面板端口标识 其中，控制台用于PC对SSG5进行命令行配置；0/0-0/6端口可连接其它以太网设备，如PC、MODEM、路由器等，也可通过这些端口使用TELNET或WEB方式对SSG5进行配置。 区域规划 防火墙对不同作用的端口进行划分安全区域，并在不同的安全区域中执行严格的安全策略以实现访问控制和安全防护。 SSG5设备上的端口可以灵活划分安全区域，通常会有三个区域： 外部不可信区域,命名为：untrust； 内部安全区域1，命名为：trust； 内部安全区域2，命名为：trust2； 端口划分 SSG5默认出厂时对端口的定义 桥接组 (bgroup) 相当二层交换机，可允许桥接组里的端口之间进行数量交换。在缺省情况下，ethernet0/2 - ethernet0/6 接口 ( 在设备上标记为端口 0/2 - 0/6) 被组合为 bgroup0 接口，其 IP 地址为 /24，且被绑定到 Trust 安全区域。SSG5最多可配置四个 bgroup。 如果要将以太网接口设置在 bgroup 中，必须先确保以太网接口处于Null 安全区段。取消设置 bgroup 中的以太网接口会将接口置于 Null 安全区段中。将以太网接口分配到 Null 安全区段后，即可将其绑定到某一安全区段并分配不同的 IP 地址。 端口规划明细： ethernet 0/0端口指定为外部不可信区域untrust，用于连接外部电信互联网线路，可连接的类型有ADSL和光纤互联网连接等。 ethernet 0/1保留为DMZ区域； ethernet 0/2- ethernet 0/3端口作为桥接组，命名为bgroup0，指定为内部安全区域1 trust，用于连接安全区域1的PC或交换机； ethernet 0/4- ethernet 0/6端口作为桥接组，命名为bgroup1，指定为内部安全区域2 trust2，用于连接安全区域2的PC或交换机； 策略配置 安全策略用于控制各区域之间的访问， SSG5防火墙上的策略需要配置： Trust区域(Untrust区域，所有源地址到所有目标地地，允许； Trust2区域(Untrust区域，所有源地址到所有目标地地，允许； 通过以上2条策略可以使两个内部安全区域Trust、Trust2都可以访问Untrust区域，这样便可以使内部安全区域都可以访问互联网。对于其它的策略可根据实际要求后期进行增加。 配置举例： 应用场景 场景1：营业点采用光纤固定IP地址 某某营业点通过我公司采购一台全新的SSG5设备，并通过物流发送到营业点IT管理人员，现在IT管理人员需要对SSG5进行简单的配置，以便总部IT管理人员对设备进行远程配置。 配置要求： 营业点通过光纤互联网线路连接互联网，电信提供的IP地址信息为：IP地址，掩码：48网关：； 内部划分两个区域trust、trust2，IP地址分别为：/24、/24； ethernet 0/2- ethernet 0/3端口作为桥接组，命名为bgroup0，指定为内部安全区域1 trust，用于连接安全区域1的PC或交换机； ethernet 0/4- ethernet 0/6端口作为桥接组，命名为bgroup1，指定为内部安全区域2 trust2，用于连接安全区域2的PC或交换机； 内部两个区域可以访问互联网； 场景2：营业点采用ADSL PPPOE拨号 某某营业点通过我公司采购一台全新的SSG5设备，并通过物流发送到营业点IT管理人员，现在IT管理人员需要对SSG5进行简单的配置，以便总部IT管理人员对设备进行远程配置。 配置要求： 营业点通过ADSL采用PPPOE拨号连接互联网，电信提供的赂号信息为：用户名：vavic@163.gd，密码：； 内部划分两个区域trust、trust2，IP地址分别为：/24、/24s； ethernet 0/2- ethernet 0/3端口作为桥接组，命名为bgroup0，指定为内部安全区域1 trust，用于连接安全区域1的PC或交换机； ethernet 0/4- ethernet 0/6端口作为桥接组，命名为bgroup1，指定为内部安全区域2 trust2，用于连接安全区域2的PC或交换机； 内部两个区域可以访问互联网； 详细配置过程： 设备连接 ethernet 0/0端口指定为外部不可信区域untrust，用于连接外部电信互联网线路，可连接的类型有ADSL和光纤互联网连接等。 ethernet 0/1保留为DMZ区域； ethernet 0/2- ethernet 0/3端口作为桥接组，命名为bgroup0，指定为内部安全区域1 trust，用于连接安全区域1的PC或交换机； e