【网康进阶NGFW】网关模式配置指导.docVIP

可实现功能 当网络中间没有路由设备做出口，NGFW可以作为出口设备，起到路由、源地址转变 和目的地址转变的作用。经过本手册，可以帮助用户初始部署，接入设备即可上网的功能 2.相关拓扑使用状况 A、单出口网关部署（一个WAN口） B、多出口网关部署（多个WAN口） 注意：不论几个WAN口，这几个口都可以支持静态或ADSL拨号的模式。内口可以是 一个也很多个 3. 配置过程 3.1. 外网口设置 1点击【网络配置】 -【接口与地域】下 eth0接口，会弹出【物理接口 -编写】对话框。 以eth0 为例。 2勾选【启用】，【作为wan口】，以上表示这个接口要启用，并且是一个外网口。 点选【路由】，表示这个接口是个三层接口，可以配置IP也许设置拨号。 点选【静态IP】可以设置运营商下发的公网IP和子网掩码，点选【ADSL】可以设置运 营商下发的用户名和密码。 3还有四个可选选项【SSH】【PING】【WEB】【SNMP】,这四个选项表示可以经过什么方 式登陆设备的这个接口来管理设备，按需求选择，一遍只勾选前三个。 【同意接见的IP】表示同意那些地址经过以上三种方式从这个接口登陆来接见设备。默以为所有IP都可以 注意：当有多个外网口时，每个外网口都依据以上步骤进行设置。 3.2.内网口配置 内网口设置大体上都和外网口设置同样，此中需要注意几点： 1不要勾选【作为WAN口】 2内网口一般都是点选[【静态IP】，设置一个相应的内网地址,也就是内网网关 3外网口可以严禁用户登陆管理，但是内网口一般需要开放管理权限 4内网口也可以设置多个，每个内网口的设置要求都是同样的 3.3.SNAT设置 网关模式下，除了内外网口的设置之外，还需要SNAT设置。这个和网康ICG产品的 网关模式部署不同样，ICG是默认就设置好的。SNAT就是源地址照射，同意地址可以上网， 1点击【策略配置】-【地址变换】-【新建】-【源地址变换】，以下列图 2源地址转变配置面板以下列图。名称，描述任意写，优先级默认，尔后点击策略选项的【原始数据包】勾选【源地址】，【出接口】。以下列图。 3尔后点击【变换后数据包】，勾选【源地址变换为出接口地址】，以下列图。 4勾选好策略选项后，看一下策略内容，尔后点击策略内容里面源地址属于后边的【选择地址】按钮，弹出下边设置面板，在这里点击【新建】-【地址对象】。把内网网段设置进 去，注意子网掩码的设置不要错  。以下列图。 5设置好源地址后点击策略内容的【选择接口】按钮，勾选从前设置的内网口，以下列图。 6设置好后，源地址变换面板以下列图。确立此后就设置好源地址变换了。 3.4.安全策略设置 1设置好源地址变换后还要设置安全策略。 点击【策略配置】-【安全策略】-【新建】，以下列图。 2打开安全策略配置面板。名称描述任意填写，优先级默认。分别点击策略条件的【源】勾选 【源地址】，点击【目的】勾选【目的地址】，点击【动作】勾选【动作：同意或阻拦】，勾选好后，策略内容以下列图。 3点击策略内容的指定源地址后边的【选择地址】，选择从前设置的内网地址。以下列图。 4  尔后点击策略内容指定目的地址后边的【选择地址】  ，在弹出的地址对象设置框里面点击 【新建】，新建一个包括所有的  IP地址对象，增添方法以下列图，  注意地址的点写方法，只好 这么填写。 5增添好源地址与目的地址此后，策略内容以下列图。确立此后就增添完成了安全策略。 3.5.路由设置 设置好源地址变换，安全策略此后，就剩下最后一步，增添默认路由了。 1  点击【网络配置】  -【路由】  -【静态路由】  -【新建】以下列图。新建一条静态路由。  注意 目的IP那处只如同图上一种设置方法  ，下一跳  IP那处设置为外网口的下一条。管理距离默 认。以下列图。增添完后点击确立刻可 以上为NGFW网关部署的所有步骤，配置完成后可以知足客户上网的基本需求。 序号  编写范围  编订人  提交时间  备注 李石全  3月  日