网神SecGate3600 NSG系类UTM产品基本配置.docxVIP

一、设备出厂默认配置1、设备接口出厂默认IP地址：接口名称IP地址IP赋值方式安全区域GE1（PortA）6/静态LANGE2（PortB）无DHCPWANGE3（PortC）/静态DMZ2、Web管理员账号与密码账号密码adminadmin3、CLI命令行（SSH、串口、Telnet方式）密码admin二、首次设备管理1、使用Web UI管理NSG设备连接示意与管理过程NSG管理接口GE1：6/24管理终端网卡模式为：自动获取IP地址（1）使用网线接入NSG设备的GE1接口，并连接管理终端（PC）设备。（2）将管理终端（PC）网卡设置为自动获取IP地址。NSG将自动分配管理端IP地址。（3）打开IE或其他浏览器，在地址栏中输入设备缺省管理地址：66。（4）出现NSG管理界面，输入账号：admin；密码：admin注意：NSG设备WEB管理最低要求浏览器版本为IE7。三、配置防火墙功能购买NSG产品后，我们需要将NSG根据网络环境拓扑，部署于网络中，此时我们需要配置NSG的防火墙功能，使得新增NSG设备后的网络链路访问畅通。1、根据拓扑配置NSG，要求从LAN区域主机可访问互联网。WAN 区域LAN 区域LAN区域接口：/24WAN：/24WAN接口网关： /24配置步骤如下：（1）配置LAN（局域网）区域网络接口 进入“网络”→“接口”页面，选择所要作为LAN（局域网）区域的接口，进行编辑：区域：选择“LAN”区域IP赋值方式：选择“静态”方式IP地址：根据网络拓扑配置LAN接口IP地址子网掩码：根据网络环境配置主/从DNS：请根据实际配置（2）配置WAN（互联网）区域网络接口进入“网络”→“接口”页面，选择所要作为WAN（互联网接口）区域的接口，进行编辑：区域：选择“WAN”区域IP赋值方式：选择“静态”方式IP地址：根据网络拓扑配置WAN接口IP地址子网掩码：根据网络环境配置主/从DNS：请根据实际配置网关名称：定义出口下一跳网关的名称IP地址：填写WAN接口的下一条网关地址，如拓扑（3）配置防火墙规则通过上面两个步骤的配置，已经根据网络环境拓扑，配置完成NSG接口信息。此时网络流量还不允许通过NSG设备，需要继续配置防火墙规则。NSG出厂默认存在两条LAN-WAN（内到外）的防火墙访问规则，默认规则不能删除与关闭。如下图：序号为1的规则，任意全通的LAN-WAN（内到外）访问规则，此规则出厂缺省为丢弃动作。序号为2的规则，带有身份验证的LAN-WAN（内到外）访问规则，此规则出厂缺省为允许动作。根据网络拓扑，如果要使得内网LAN区域的主机访问互联网WAN区域，需要将默认的序号为1的规则配置为允许动作，并且应用NAT策略。如下图操作：进入“防火墙”→“规则”页面，选择所要编辑的ID号为1的规则：关于应用NAT规则：NSG出厂缺省带有MASQ的NAT策略，此策略的作用为，将内网接口地址，转换为公网接口地址。通过以上三个步骤的配置，从内网LAN区域的主机即可访问互联网资源。注释：关于防火墙规则的匹配顺序说明NSG出厂默认存在两条LAN-WAN（内到外）的防火墙访问规则如只有这两条规则时，则从ID号为1的开始匹配。当存在自定义添加的规则时，则由上到下依次匹配自定义规则。四、服务映射根据拓扑配置NSG，要求对DMZ区域的WEB服务器做服务映射WAN 区域LAN 区域DMZ 区域WEB服务器WAN区域接口：WEB服务器：:8080配置步骤如下：（1）配置虚拟主机规则： 进入“防火墙”→“虚拟主机”页面，点击“添加”按钮，创建服务映射规则：名称：定义虚拟主机的规则名称外部IP：WAN接口IP（既互联网所访问地址）映射IP：为网络拓扑中的WEB服务器地址物理区域：根据所映射服务所在区域选择，如拓扑选择DMZ区域协议：根据实际需求选择TCP或UDP端口类型：单个端口映射请选择“单一端口“，如有端口范围，请选择“端口范围”外部端口：既互联网访问地址的服务端口映射端口：既所有映射的服务端口，如拓扑中的WEB服务器端口为8080（2）配置防火墙规则：进入“防火墙”→“规则”页面，点击“添加”按钮，创建WAN-DMZ区域的访问规则：配置WAN-DMZ防火墙访问规则时，源区域为ANY，目的区域为虚拟主机规则所映射的服务器，当如上图选择虚拟主机规则后，该防火墙规则服务将自动更改为服务映射所定义的端口服务。通过以上配置，根据拓扑从互联网访问：8080，此时将会自动连接至DMZ区域的WEB服务器。注释：关于服务映射注意事项说明需要映射的端口范围时，请注意排除设备管理端口所映射的服务器为80端口或443端口时，请注意更改NSG管理端口，NSG管理默认管理端口为HTTP80、HTTPS443，更改方式如下：进入“系统”→“管理”页面，点击“系统管理端口”页