全新的天融信防火墙NGFW4000的配置分析.doc

全新的天融信防火墙NGFW4000_配置 配置一台全新的天融信防火墙NGFW4000，配置完后，内网用户/24和/24可以通过防火墙上网，外网用户可以通过访问防火墙的外网接口地址来访问内网的WEB服务器00，并且内网用户也可以通过WEB服务器的外网地址进行访问。网络说明： 防火墙外网接口地址：21/30 防火墙内网接口地址：53/30 核心交换机防火墙VLAN：54/30 核心交换机用户群A的VLAN：/24 核心交换机用户群B的VLAN：/24 用户群A的默认网关：54 用户群B的默认网关：54 防火墙至出口的默认网关：22/30 核心交换机至防火墙的默认网关：53 内网WEB服务器地址：00/32（通过防火墙映射成公网地址） 简单拓扑图如下： 这里着重介绍的是出口防火墙的配置，从上图中可以看出，防火墙位于核心交换机至INTERNET出口的中间。我们首先需通过某种方式对防火墙进行管理配置。 1、连接防火墙 首先查看防火墙的出厂随机光盘，里面其中有个防火墙安装手册，描述了防火墙的出厂预设置： 管理用户 管理员用户名 superman管理员密码 talent 系统参数 设备名称 TopsecOS 同一管理员最多允许登录失败次数 5 最大并发管理数目 5 最大并发管理地点 5 同一用户最大登录地点 5 空闲超时 3 分钟 物理接口 Eth0（或LAN 口） IP：54/24 其他接口 Shutdown 服务访问控制 WEBUI 管理（通过浏览器管理防火墙）：允许来自Eth0（或LAN 口）上的服务请求 GUI 管理（通过TOPSEC 管理中心）：允许来自Eth0（或LAN 口）上的服务请求 SSH（通过SSH 远程登录管理）：允许来自Eth0（或LAN 口）上的服务请求 升级（对网络卫士防火墙进行升级）：允许来自Eth0（或LAN 口）上的服务请求 PING（PING 到网络卫士防火墙的接口IP 地址或VLAN虚接口的IP 地址）：允许来自Eth0（或LAN 口）上的服务请求 其他服务 禁止 地址对象 地址段名称 any 地址段范围 – 55 区域对象 区域对象名称 area_eth0 绑定属性 eth0 权限 允许 日志 日志服务器IP 地址 IP：192.168. 1.253 日志服务器开放的日志服务端口 UDP 的514 端口 高可用性（HA）关闭 从中可以看出，管理口为ETH0口，地址为54，我们将一台电脑直接与ETHO接口相连，然后配置一个192.168.1段的地址，然后在浏览器上访问54，就进入了WEB管理界面（如出现安装证书问题，直接点继续浏览此网站），如下。 2、配置防火墙接口 将ETH1配置成外网接口，ETH2配置成内网接口，依次选择左边菜单的“网络管理”-“接口”，在ETH1接口一行点击最后的蓝色图标，如下图，进入ETH1接口配置模式。 然后输入外网地址，接口模式为“路由”，最后点“确定”，如下图。 同理，将ETH2接口地址设置成内网地址： 3、路由配置 这里有两种路由要写，一是至外网出口的默认路由，下一跳为22，还有一种是至内网核心交换机的回程路由，共有两条，下一跳都是指向54。 依次选择左边菜单的“网络管理”-“路由”，然后点击“添加”，添加一条至外网的默认路由，如下。 再依次添加两条回程路由： 这样，出去的路由有了，回去的路由也有了。 4、访问控制 默认防火墙是阻止所有经过的包，所以需对访问控制项进行设置。 点击菜单的“防火墙”-“访问控制”，点击“添加”按扭，如下图就出现了添加窗口，在源窗口和目的窗口均选择“ANY[范围]”，“服务”不选（包含所有服务），“选项”默认，直接点击确定。这样，就允许所有的数据经过防火墙了。当然，可以通过详细的设置来控制不同网段的电脑，这里就不在叙述了。 5、配置地址转换（NAT） 首先新建“区域”，选择菜单的“资源管理”-“区域”，点击添加，将内、外网的区域新建好。 下来配置源地址转换，选择“防火墙”-“地址转换”，点击添加，选择“源地址”转换，在源选项上，将“高级”的钩打上，然后将“neiwang”移至“已选源AREA”，如下图： 在目标选项上，将“高级”的钩打上，然后将“waiwang”移至“已选目的AREA”，如下图： 在“服务”选项上，不选择任何服务，这样就表示包含所有服务。 在“源地址转换为：”选项中，选择“ETH1[属性]”，如下图。 配置到此，内网用户已经可以通过防火墙上INTERNET了。接下来配置目的地址转换，让外网的用户可以访问内网的WEB服务器00。 6、内网WEB服务器映射 选择菜单“资源管理”-“地址”，选择添加，将00添加至地址栏中，命名为www-server，如下图。 然后选择“防火墙”-“地址转换”，选择添加，弹出对话框