【网康进阶之NGFW】网关模式配置指导

1.可实现功能

当网络当中没有路由设备做出口，NGFW可以作为出口设备，起到路由、源地址转化和目的地址转化的作用。通过本手册，可以帮助用户初始部署，接入设备即可上网的功能

2.相关拓扑使用情况

A、单出口网关部署（一个WAN口）

B、多出口网关部署（多个WAN口）

注意：不论几个WAN口，这几个口都可以支持静态或ADSL拨号的模式。内口可以是一个或者多个

3.配置过程

3.1.外网口设置

1>点击【网络配置】-【接口与区域】下eth0接口，会弹出【物理接口-编辑】对话框。

以eth0为例。

2>勾选【启用】，【作为wan口】，以上表示这个接口要启用，而且是一个外网口。

点选【路由】，表示这个接口是个三层接口，可以配置IP或者设置拨号。

点选【静态IP】可以设置运营商下发的公网IP和子网掩码，点选【ADSL】可以设置运营商下发的用户名和密码。

3>还有四个可选选项【SSH】【PING】【WEB】【SNMP】,这四个选项表示可以通过什么方

式登陆设备的这个接口来管理设备，按需求选择，一遍只勾选前三个。

【允许访问的IP】表示允许那些地址通过以上三种方式从这个接口登陆来访问设备。默认为所有IP都可以

注意：当有多个外网口时，每个外网口都按照以上步骤进行设置。

3.2.内网口配置

内网口设置大体上都和外网口设置相同，其中需要注意几点：

1>不要勾选【作为WAN口】

2>内网口一般都是点选[【静态IP】，设置一个相应的内网地址,也就是内网网关

3>外网口可以禁止用户登陆管理，但是内网口一般需要开放管理权限

4>内网口也可以设置多个，每个内网口的设置要求都是相同的

3.3.SNAT设置

网关模式下，除了内外网口的设置以外，还需要SNAT设置。这个和网康ICG产品的网关模式部署不同，ICG是默认就设置好的。SNAT就是源地址映射，允许地址可以上网，

1>点击【策略配置】-【地址转换】-【新建】-【源地址转换】，如下图

2>源地址转化配置面板如下图。名称，描述随便写，优先级默认，然后点击策略选项

的【原始数据包】勾选【源地址】，【出接口】。如下图。

3>然后点击【转换后数据包】，勾选【源地址转换为出接口地址】，如下图。

4>勾选好策略选项后，看一下策略内容，然后点击策略内容里面源地址属于后面的【选

择地址】按钮，弹出下面设置面板，在这里点击【新建】-【地址对象】。把内网网段设置进去，注意子网掩码的设置不要错。如下图。

5>设置好源地址后点击策略内容的【选择接口】按钮，勾选之前设置的内网口，如下图。

6>设置好后，源地址转换面板如下图。确定之后就设置好源地址转换了。

3.4.安全策略设置

1>设置好源地址转换后还要设置安全策略。

点击【策略配置】-【安全策略】-【新建】，如下图。

2>打开安全策略配置面板。名称描述随便填写，优先级默认。分别点击策略条件的【源】勾选【源地址】，点击【目的】勾选【目的地址】，点击【动作】勾选【动作：允许或阻止】，勾选好后，策略内容如下图。

3>点击策略内容的指定源地址后面的【选择地址】，选择之前设置的内网地址。如下图。

4>然后点击策略内容指定目的地址后面的【选择地址】，在弹出的地址对象设置框里面点击【新建】，新建一个包含所有的IP地址对象，添加方法如下图，注意地址的点写方法，只能这么填写。

5>添加好源地址与目的地址之后，策略内容如下图。确定之后就添加完成了安全策略。

3.5.路由设置

设置好源地址转换，安全策略之后，就剩下最后一步，添加默认路由了。

1>点击【网络配置】-【路由】-【静态路由】-【新建】如下图。新建一条静态路由。注意

目的IP那里只有如图上一种设置方法，下一跳IP那里设置为外网口的下一条。管理距离默认。如下图。添加完后点击确定即可

以上为NGFW网关部署的全部步骤，配置完成后可以满足客户上网的基本需求。