网神SecGate3600nsg系类utm产品基本配置.docxVIP

一、设备出厂默认配置 1、设备接口出厂默认 IP 地址： 接口名称 接口名称 IP 地址 IP 赋值方式 安全区域 GE1（PortA） 6/ 静态 LAN GE2（PortB） 无 DHCP WAN GE3（PortC） / 静态 DMZ 2、Web 管理员账号与密码 账号 账号 密码 admin admin 3、CLI 命令行（SSH、串口、Telnet 方式） 密码 密码 admin 二、首次设备管理 1、使用 Web UI 管理 NSG 设备 连接示意与管理过程 （1）使用网线接入 NSG 设备的 GE1 接口，并连接管理终端（PC）设备。 （1）使用网线接入 NSG 设备的 GE1 接口，并连接管理终端（PC）设备。 （2）将管理终端（PC）网卡设置为自动获取 IP 地址。NSG 将自动分配管理端 IP 地址。 （3）打开 IE 或其他浏览器，在地址栏中输入设备缺省管理地址： 6。（4） 出现 NSG 管理界面，输入账号：admin；密码：admin 注意：NSG 设备 WEB 管理最低要求浏览器版本为 IE7。 三、配置防火墙功能 购买 NSG 产品后，我们需要将 NSG 根据网络环境拓扑，部署于网络中，此时我们需要配置 NSG 的防火墙功能，使得新增 NSG 设备后的网络链路访问畅通。 1、根据拓扑配置 NSG，要求从 LAN 区域主机可访问互联网。 配置步骤如下： 配置 LAN（局域网）区域网络接口 进入“网络”→“接口”页面，选择所要作为 LAN（局域网）区域的接口，进行编 辑： 区域：选择“LAN”区域 IP 赋值方式：选择“静态”方式 IP 地址：根据网络拓扑配置 LAN 接口 IP 地址 子网掩码：根据网络环境配置 主/从 DNS：请根据实际配置 配置 WAN（互联网）区域网络接口 进入“网络”→“接口”页面，选择所要作为 WAN（互联网接口）区域的接口，进行编辑： 区域：选择“WAN”区域 IP 赋值方式：选择“静态”方式 IP 地址：根据网络拓扑配置WAN 接口 IP 地址 子网掩码：根据网络环境配置 主/从 DNS：请根据实际配置 网关名称：定义出口下一跳网关的名称 IP 地址：填写 WAN 接口的下一条网关地址，如拓扑 配置防火墙规则 通过上面两个步骤的配置，已经根据网络环境拓扑，配置完成NSG 接口信息。此时网络流量还不允许通过 NSG 设备，需要继续配置防火墙规则。 NSG 出厂默认存在两条 LAN-WAN（内到外）的防火墙访问规则，默认规则不能删除 与关闭。如下图： 序号为 1 的规则，任意全通的 LAN-WAN（内到外）访问规则，此规则出厂缺省为丢弃动作。 序号为 2 的规则，带有身份验证的 LAN-WAN（内到外）访问规则，此规则出厂缺省为允许动作。 根据网络拓扑，如果要使得内网 LAN 区域的主机访问互联网 WAN 区域，需要将默认的序号为 1 的规则配置为允许动作，并且应用NAT 策略。如下图操作： 进入“防火墙”→“规则”页面，选择所要编辑的ID 号为 1 的规则： 关于应用 NAT 规则：NSG 出厂缺省带有 MASQ 的 NAT 策略，此策略的作用为，将内网接口地址，转换为公网接口地址。 通过以上三个步骤的配置，从内网 LAN 区域的主机即可访问互联网资源。 注释：关于防火墙规则的匹配顺序说明 NSG 出厂默认存在两条 LAN-WAN（内到外）的防火墙访问规则 如只有这两条规则时，则从 ID 号为 1 的开始匹配。 当存在自定义添加的规则时，则由上到下依次匹配自定义规则。 四、服务映射 1、 根据拓扑配置 NSG，要求对 DMZ 区域的 WEB 服务器做服务映射 配置步骤如下： 配置虚拟主机规则： 进入“防火墙”→“虚拟主机”页面，点击“添加”按钮，创建服务映射规则： 名称：定义虚拟主机的规则名称 外部 IP：WAN 接口 IP（既互联网所访问地址） 映射 IP：为网络拓扑中的 WEB 服务器地址 物理区域：根据所映射服务所在区域选择，如拓扑选择DMZ 区域 协议：根据实际需求选择 TCP 或 UDP 端口类型：单个端口映射请选择“单一端口“，如有端口范围，请选择“端口范围” 外部端口：既互联网访问地址的服务端口 映射端口：既所有映射的服务端口，如拓扑中的WEB 服务器端口为 8080 配置防火墙规则： 进入“防火墙”→“规则”页面，点击“添加”按钮，创建 WAN-DMZ 区域的访问规则： 配置 WAN-DMZ 防火墙访问规则时，源区域为 ANY，目的区域为虚拟主机规则所映 射的服务器，当如上图选择虚拟主机规则后，该防火墙规则服务将自动更改为服务映射所定义的端口服务。 通过以上配置，根据拓扑从互联网访问 ：8080，此时将会自动连接至 DMZ 区域的 WEB 服务器。