联想网御防火墙PowerV功能使用手册_5应用.docVIP

典型应用环境 三网口纯路由模式 图 51三网口纯路由模式 注意：网御3000防火墙的基本配置是有四个物理设备，其中fe1是默认的可管理设备（默认启用），地址是54。fe2一般用于HA，所以在这个图中，没有使用fe2。 需求描述： 上图是一个具有三个区段的小型网络。Internet区段的网络地址是，掩码是；DMZ区段的网络地址是，掩码是；内部网络区段的网络地址是，掩码是。 fe1的IP地址是，掩码是；fe3的IP地址是，掩码是；fe4的IP地址是，掩码是。内部网络区段主机的缺省网关指向fe1的IP地址；DMZ网络区段的主机的缺省网关指向fe3的IP地址；防火墙的缺省网关指向路由器的地址。 WWW服务器的地址是0，端口是80；MAIL服务器的地址是1，端口是25和110；FTP服务器的地址是2，端口是21。 安全策略的缺省策略是禁止。允许内部网络区段访问DMZ网络区段和Internet区段的http,smtp，pop3，ftp服务；允许Internet区段访问DMZ网络区段的服务器。其他的访问都是禁止的。 配置步骤： WEBUI 网络配置网络设备：编辑物理设备fe1，将它的IP地址配置为，掩码是。 注意：fe1默认是用于管理的设备，如果改变了它的地址，就不能用原来的地址管理了。而且默认的管理主机地址是00，如果没有事先添加其他的管理主机地址，将会导致防火墙再也不能被管理了（除非用串口登录上去添加新的管理主机地址）。其他设备默认是不启用的，所以配地址时要同时选择启用设备。 网络配置网络设备：编辑物理设备fe3，将它的IP地址配置为，掩码是。 网络配置网络设备：编辑物理设备fe4，将它的IP地址配置为，掩码是。 网络配置静态路由：添加下一跳地址是的默认路由。目的地址，掩码都是，接口选择fe4。 注意：策略配置是基于资源的，所以在配置下面的策略时，请先定义如下的资源： LOCAL_NET：网络地址，掩码 DMZ_NET：网络地址，掩码 WWW_SERVER：主机地址 0，掩码是55 MAIL_SERVER ：主机地址1，掩码是55 FTP_SERVER ：主机地址2，掩码是55 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是http，动作是允许的包过滤规则。 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是smtp，动作是允许的包过率规则。 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是pop3，动作是允许的包过滤规则。 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是ftp，动作是允许的包过滤规则。 策略配置安全规则：添加源地址是LOCAL_NET，目的地址是any，服务是any的NAT规则。 策略配置安全规则：添加源地址是any，目的地址0，服务是http，动作是允许的包过滤规则。 策略配置安全规则：添加源地址是any，目的地址1，服务是smtp，动作是允许的包过滤规则。 策略配置安全规则：添加源地址是any，目的地址1，服务是pop3，动作是允许的包过滤规则。 策略配置安全策略：添加源地址是any，目的地址2，服务是ftp，动作是允许的包过滤规则。 策略配置安全策略：添加公开地址是，对外服务是http，内部地址是WWW_SERVER，内部服务是http的端口映射规则。 策略配置安全策略：添加公开地址是，对外服务是smtp，内部地址是MAIL_SERVER，内部服务是smtp的端口映射规则。 策略配置安全策略：添加公开地址是，对外服务是pop3，内部地址是MAIL_SERVER，内部服务是pop3的端口映射规则。 策略配置安全策略：添加公开地址是，对外服务是ftp，内部地址是FTP_SERVER，内部服务是ftp的端口映射规则。 CLI acinterface set phy if fe1 ip netmask acinterface set phy if fe3 ip netmask acinterface set phy if fe4 ip netmask acroute add static dip / gateway interface fe1 三网口混合模式 图 52三网口混合模式 需求描述： 上图是一个具有三个区段的小型网络。其中内部网络区段的IP地址是到0，掩码是；DMZ网络区段的IP地址是00到50，掩码是。WWW服务器的IP地址是00，开放端口是80；MAIL服务器的IP地址是01，开放端口是25和110；FTP服务器的IP地址是02，开放端口是21。Internet区段的网络地址是，掩码是。 fe1工作在透明模式，fe3工作在透明模式，fe4工作在路由模