安氏(linktrust)防火墙简明配置手册.docVIP

安氏领信防火墙 安氏防火墙404 部署在互联网边界，将网络分为4部分，互联网，办公内网，财务网段，商户网段。 后三部分都要通过nat转换访问互联网。 安氏领信防火墙采用web页面管理和超级终端管理两种形式 Web页面管理 第一次安装，用交叉线直接与if0口直接相连接,连接的管理主机的网卡地址要配置成，掩码是，主机ie版本要5.0以上， 在ie中输入54:9898 系统会出现如下界面 选择是， 在填写用户名和密码，默认用户名为admin密码为admin12 登录系统后，首先要在系统－防火墙管理－管理主机 新增一个IP地址，目的是增加一个任意管理地址，方便后面的配置工作， 系统－配置管理，这里可以保存，上传，下载配置文件，在做大的配置改动之前都要进行配置保存。页面右上角的保存键只是保存当前配置。 网络－安全域，由于系统默认只有三个安全域，因此要新增一个安全域，所以我们定义一个商户安全域，此操作也可以在修改了所有接口IP地址之后再新增 并把if3添加到这个安全域中 如下图所示 下面我们开始配置网络接口，要清楚的知道if0，if1，if2，if3这四个接口的具体IP地址以及相应的子网掩码 配置好所有接口地址后，在网络－路由中要添加缺省路由 另外因为用户要暂时保留这个网段，如果192段地址不用后可以将有关192段地址的路由删除掉，同时对网络进行新的规划了10个VLAN，现在两套网络并行直至完全切换,并要配置相应的回指路由,新增 网络-DNS,新增DNS 有关DHCP的说明，高端的404防火墙不支持DHCP服务，只支持DHCP中继，当时224防火墙支持DHCP服务。 NAT－动态NAT，新增NAT转换策略 如下 另外目前办公网中的9作为前置机是需要发布到互联网上的，因此我们做了端口NAT 在配置策略之前要配置地址对象，服务对象 定义服务对象组 点击修改，可以在这个对象组里添加地址对象 服务对象和服务对象组同里 日志统计－日志策略里定义日志记录策略。 最后配置访问策略 策略－策略设置－新增 注意：策略是从上向下进行匹配的，如果有包含关系的时候，以前面的策略为准。另外系统默认策略是禁止的，因此我们多数情况只需要添加允许策略即可。 pptp VPN-选项 设置VPN拨号用户，可以根据需要添加用户名和该用户的密码。 有关PPTP VPN的策略 客户端的配置见手册 另外的224防火墙部署在POS和双机服务器组之前，采用透明模式，不允许内部访问外网。 登录方式同上 但是在配置上略有不同 系统－网桥设置 修改，启用桥设置 再次点击修改，配置网桥接口设置，将if1，if2加入这个网桥内。 网络－接口，只在if1接口配置一个用于管理的地址，，而if2地址为，配置好后如下图： 策略－策略设置，只允许外部用户访问服务器 无论做任何改动和操作，之后都要保存并应用。 注意在部署透明模式的最后，要通过超级终端登录，关闭一个服务，如果不关闭可能无法通过网页进行管理。 模式9600 用户名，密码默认同上 在出现＃后输入 antidos set synflood 0 save apply 简单的交换机配置见附件h3c.txt