【文章內容簡介】 31 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 32 ******************************************************************************* ：若 ISP 網(wǎng)段在自定義 ISP 信息中丌存在，可以操作導出 ISP 信息文件，進而進行自定義網(wǎng)段再導入文件即可。 ******************************************************************************* 6. 點擊【對象】 ?【地址】，定義內網(wǎng)網(wǎng)段。 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 33 7. 點擊【安全】 ?【 NAT】，在源 NAT 中配 置源地址轉換規(guī)則。類型選擇為 BY ROUTE。 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 34 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 35 透明模式配置 trunk 模式下 ? 需求說明： 用戶有兩個內網(wǎng)網(wǎng)段及一個公網(wǎng)出口，現(xiàn)需要在防火墻上搭建 trunk 環(huán)境，透明接入并進行內網(wǎng)用戶互通，實現(xiàn)上網(wǎng)。 ? 組網(wǎng)結構： P C 2 : 1 9 2 . 1 6 8 . 2 . 2 0 0 / 2 4網(wǎng) 關 ： 1 9 2 . 1 6 8 . 2 . 2 5 4二 層 交 換 機二 層 交 換 機P C 1 : 1 9 2 . 1 6 8 . 1 . 1 0 0 / 2 4網(wǎng) 關 ： 1 9 2 . 1 6 8 . 1 . 2 5 4g e 3 : t r u n kg e 2 : t r u n kg e 1 : t r u n kv l a n 1 0P C 2 : 1 9 2 . 1 6 8 . 2 . 1 0 0 / 2 4網(wǎng) 關 ： 1 9 2 . 1 6 8 . 2 . 2 5 4v l a n 2 0P C 2 : 1 9 2 . 1 6 8 . 1 . 2 0 0 / 2 4網(wǎng) 關 ： 1 9 2 . 1 6 8 . 1 . 2 5 4v l a n 1 0v l a n 2 0t r u n kt r u n k 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 36 ? 組網(wǎng)說明： 1. 防火墻工作在 trunk 模式，接入交換機和出口路由器之前。 2. 防火墻與下面兩個交換 trunk 方式相連。 3. 交換機下聯(lián)兩臺二層交換機，分別接入用戶的兩個內網(wǎng)，內網(wǎng)為 vlan10，與vlan20。 4. 內網(wǎng)一的網(wǎng)絡號為 ，掩碼為 ；網(wǎng)關地址為。 5. 內網(wǎng)二的網(wǎng)絡號為 ，掩碼為 ；網(wǎng)關地址為。 ? 防火墻配置步驟： 1. 點擊【網(wǎng)絡】 ?【 VLAN】，添加 VLAN 2. 點擊【網(wǎng)絡】 ?【接口】，編輯接口 ge1。 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 37 接口 ge2， ge3 的配置同 ge1，此處不再重復。 3. 點擊【網(wǎng)絡】 ?【安全域】， 配置安全域。 接口 ge2， ge3 的配置同 ge1，此處不再重復。 4. 點擊【對象】 ?【地址】，自定義內網(wǎng)網(wǎng)段。 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 38 5. 點擊【安全】 ?【安全策略】，配置安全策略。 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 39 6. 測試網(wǎng)絡連通性 使用常用測試 ping， tel， ， ftp 等方法，測試網(wǎng)絡連通性。連通性成功，請進行下一步，不成功請排查一下網(wǎng)絡環(huán)境，找出問題原因之后進行改正。 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 40 多 VLAN 模式下 ? 需求說明： 用戶有兩個內網(wǎng)網(wǎng)段及一個公網(wǎng)出口，現(xiàn)需要在防火墻上搭建 VLAN 環(huán)境，透明接入并進行內網(wǎng)用戶互通，實現(xiàn)上網(wǎng)。 ? 組網(wǎng)結構： ? 組網(wǎng)說明： 1. 防火墻工作在 access 模式，接入交換機和核心交換機之間。 2. 防火墻與下面多個個交換機 access 方式相連。 3. 交換機下聯(lián)多臺二層交換機，分別接入用戶的兩個內網(wǎng)，內網(wǎng)為 vlanvlan vlan vlan40。 4. 內網(wǎng)一的網(wǎng)絡號為 ，掩碼為 ；網(wǎng)關地址為網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 41 。 5. 內網(wǎng)二的網(wǎng)絡號為 ，掩碼為 ；網(wǎng)關地址為。 6. 內網(wǎng)三的網(wǎng)絡號為 ，掩碼為 ；網(wǎng)關地址為。 7. 內網(wǎng)四的 網(wǎng)絡號為 ，掩碼為 ；網(wǎng)關地址為。 ? 防火墻配置步驟： 1. 點擊【網(wǎng)絡】 ?【 VLAN】，添加 VLAN 2. 點擊【網(wǎng)絡】 ?【接口】，編輯物理接口 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 42 其他接口配置同上，不再重復。 3. 點擊【對象】 ?【地址】，定義內網(wǎng)網(wǎng)段。 4. 點擊【安全】 ?【安全策略】，配置安全策略 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 43 5. 測試網(wǎng)絡連通性 使用常用測試 ping， tel， ， ftp 等方法，測試網(wǎng)絡連通性。連通性成功，請進行下一步，不成功請排查一下網(wǎng)絡環(huán)境，找出問題原因之后進行改正。 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 44 DNAT配置 端口映射 ? 需求說明： 用戶有兩臺內網(wǎng)服務器，在邊界防火墻上需要實現(xiàn)將內網(wǎng)服務器的服務端口映射到公網(wǎng)上，以便讓外網(wǎng)用戶進行訪問的需求。 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 45 ? 組網(wǎng)結構： g e 1 : 1 2 4 . 1 2 7 . 1 2 4 . 1 0 0 / 2 4網(wǎng) 關 : 1 2 4 . 1 2 7 . 1 2 4 . 1防 火 墻二 層 交 換 機g e 2 : 1 0 . 1 . 1 . 1 / 2 4F T P 服 務 器 : 1 0 . 1 . 1 . 1 0 0 / 2 4網(wǎng) 關 : 1 0 . 1 . 1 . 1W E B 服 務 器 : 1 0 . 1 . 1 . 2 0 0 / 2 4網(wǎng) 關 : 1 0 . 1 . 1 . 1 ? 組網(wǎng)說明： 1. 防火墻工作在路由模式，位于公網(wǎng)出口，即邊界處。 2. 用戶的公網(wǎng)地址為 ，掩碼為 。公網(wǎng)網(wǎng)關地址為。 3. 防火墻下聯(lián)二層交換機，接入內網(wǎng)的兩個服務器，分別是 FTP 服務器和 WEB服務器。防火墻內網(wǎng)地址為 ，掩碼為 。 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 46 4. FTP 服務器 IP 地址為 ，掩碼為 ，網(wǎng)關地址為 。 5. WEB 服務器 IP地址為 ，掩碼為 ，網(wǎng)關地址為 。 ? 防火墻配置步驟 ： 1. 點擊【網(wǎng)絡】 ?【接口】，配置公網(wǎng)接口及 IP 地址 2. 點擊【網(wǎng)絡】 ?【接口】， 配置內網(wǎng)接口及 IP 地址 3. 點擊【路由】 ?【靜態(tài)路由】， 配置 默認 路由 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 47 4. 點擊【網(wǎng)絡】 ?【安全域】， 綁定外網(wǎng)接口和內網(wǎng)接口的安全域 5. 點擊【對象】 ?【地址】，配置 FTP 服務器和 WEB 服務器的 地址對象 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 48 6. 點擊【網(wǎng)絡】 ?【安全域】， 配置允許訪問 FTP 服務器和 WEB 服務器的 安全策略 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 49 ******************************************************************************* ：可以在地址對象頁面先添加服務器的 IP 地址，也可以在安全策略編輯頁面時，直接添加服務器 IP 地址的地址對象。 ******************************************************************************* 7. 點擊【安全】 ?【 NAT】，在目的 NAT 中 配置目的 NAT 策略，指定服務端口，即配置端口映射。 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 50 ******************************************************************************* ：當 dmz 區(qū)的服務器有多臺需要實現(xiàn)負載均衡時，可以在【對象】 ?【地址】可以訪問的公網(wǎng) IP 地址 FTP 服務器的內網(wǎng) IP地址 FTP 服務器映射的服務端口號 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 51 中添加服務器地址，轉換后匹配 IP 地址可以選擇添加的“服務器地址”，防火墻提供 3 種方式的負載均衡：輪循、權重輪循和源地址 HASH。 ******************************************************************************* 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 52 IP 映射 ? 需求說明： 用戶有一臺內網(wǎng)服務器，在邊界防火墻上需要實現(xiàn)將內網(wǎng)服務器的單個地址映射到公網(wǎng)上，以便讓外網(wǎng)用戶進行訪問的需求。 ? 組網(wǎng)結構： 防 火 墻二 層 交 換 機g e 2 : 1 0 . 1 . 1 . 1 / 2 4服 務 器 : 1 0 . 1 . 1 . 1 0 0 / 2 4網(wǎng) 關 : 1 0 . 1 . 1 . 1g e 1 : 1 2 4 . 1 2 7 . 1 2 4 . 1 0 0 / 2 4網(wǎng) 關 : 1 2 4 . 1 2 7 . 1 2 4 . 1 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 53 ? 組網(wǎng)說明： 1. 防火墻工作在路由模式，位于公網(wǎng)出口，即邊界處。 2. 用戶的公網(wǎng)地址為 ，掩碼為 。公網(wǎng)網(wǎng)關地址為。 3. 防火墻下聯(lián)二層交換機，接入內網(wǎng)的服務器。防火墻內網(wǎng)地址為 ，掩碼為 。 4. 內網(wǎng)服務器 IP地址為 ，掩碼為 ，網(wǎng)關地址為 。 ? 防火墻配置步驟 ： 1. 點擊【網(wǎng)絡】 ?【接口】，配置公網(wǎng)接口及 IP 地址 2. 點擊【網(wǎng)絡】 ?【接口】， 配置內網(wǎng)接口及 IP 地址 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 54 3. 點擊【路由】 ?【靜態(tài)路由】， 配置 默認 路由 。 4. 點擊【網(wǎng)絡】 ?【安全域】， 綁定外網(wǎng)接口和內網(wǎng)接口的安全域。 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 55 5. 點擊【對象】 ?【地址】，配置服務器的地址對象。 6. 點擊【安全】 ?【安全策略】， 配置允許訪問 服務器的 安全策略 。 ******************************************************************************* ：可以在地址對象頁面先添加服務器的 IP 地址，也可以在安全策略編輯頁面時，網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 56 直接添加服務器 IP 地址的地址對象。 ******************************************************************************* 7. 點擊【安全】 ?【 NAT】，在目的 NAT 中 配置目的 NAT 策略，指定進行 IP 映射的服務地址。 ******************************************************************************* ：當 dmz 區(qū)的服務器有多臺需要實現(xiàn)負載均衡時，可以在【對象】 ?【地址】中添加服務器地址，轉換后匹配 IP 地址可以選擇添加的“服務器地址”，防火墻提供 3 種方式的負載均衡：輪循、權重輪循和源地址 HASH。 ******************************************************************************* 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 57 雙出口環(huán)境下端口映射 ? 需求說明： 需要從聯(lián)通口訪問內網(wǎng)服務器的數(shù)據(jù)從聯(lián)通口返回，從電信口訪問內網(wǎng)服務器的數(shù)據(jù)從電信口返回。 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 58 ? 組網(wǎng)結構： 聯(lián) 通 網(wǎng)g e 1 : 1 2 4 . 1 2 7 . 1 2 4 . 1 0 0 / 2 4網(wǎng) 關 : 1 2 4 . 1 2 7 . 1 2