神州数码多核防火墙快速配置手册V1[1].0

多核防火墙快速配置手册
防火墙配置一：SNAT配置 (2)
防火墙配置二：DNAT配置 (5)
防火墙配置三：透明模式配置 (11)
防火墙配置四：混合模式配置 (14)
防火墙配置五：DHCP配置 (17)
防火墙配置六：DNS代理配置 (19)
防火墙配置七：DDNS配置 (21)
防火墙配置八：负载均衡配置 (24)
防火墙配置九：源路由配置 (26)
防火墙配置十：双机热备配置 (28)
防火墙配置十一：QoS配置 (32)
防火墙配置十二：Web认证配置 (36)
防火墙配置十三：会话统计和会话控制配置 (44)
防火墙配置十四：IP-MAC绑定配置 (46)
防火墙配置十五：禁用IM配置 (48)
防火墙配置十六：URL过滤配置 (50)
防火墙配置十七：网页内容过滤配置 (54)
防火墙配置十八：IPSEC VPN配置 (58)
防火墙配置十九：SSL VPN配置 (65)
防火墙配置二十：日志服务器配置 (74)
防火墙配置二十一：记录上网URL配置 (76)
防火墙配置二十二：配置管理及恢复出厂 (79)
防火墙配置二十三：软件版本升级 (82)
防火墙配置一：SNAT配置一、网络拓扑
网络拓扑
二、需求描述
配置防火墙使内网192.168.1.0/24网段可以访问internet
三、配置步骤
第一步：配置接口
首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui登录防火墙界面
输入缺省用户名admin，密码admin后点击登录，配置外网接口地址
内口网地址使用缺省192.168.1.1
第二步：添加路由
添加到外网的缺省路由，在目的路由中新建路由条目
添加下一条地址
这里的子网掩码既可以写成0也可以写
成0.0.0.0，防火墙会自动识别
第三步：添加SNAT策略
在网络/NAT/SNAT中添加源NAT策略
第四步：添加安全策略
在安全/策略中，选择好源安全域和目的安全域后，新建策略
关于SNAT ，我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。

如果是需要对于策略中每个选项有更多的配置要求可以点击高级配置进行编辑
防火墙配置二：DNAT 配置
一、网络拓扑
Web ServerA
192.168.10.2/24
二、需求描述
1、 使用外网口IP 为内网FTP Server 及WEB ServerB 做端口映射，并允许外网用户访问该
Server 的FTP 和WEB 服务，其中Web 服务对外映射的端口为TCP8000。

2、 允许内网用户通过域名访问WEB ServerB(即通过合法IP 访问）。

3、 使用合法IP 218.240.143.220为Web ServerA 做IP 映射，允许内外网用户对该Server
的Web 访问。

三、配置步骤
要求一：外网口IP 为内网FTP Server 及WEB ServerB 做端口映射并允许外网用户访问该Server 的FTP 和WEB 服务，其中Web 服务对外映射的端口为TCP8000。

第一步：配置准备工作
1、设置地址簿，在对象/地址簿中设置服务器地址
使用“IP 成员”选项定义Trust 区域的server 地址
2、 设置服务簿，防火墙出厂自带一些预定义服务，但是如果我们需要的服务在预定义中不
包含时，需要在对象/服务簿中手工定义
因为此处定义的TCP8000端口将来为HTTP 应用，所以要需要与应用类型管理，以便让防火墙知道该端口为HTTP 业务使用
第二步：创建目的NAT
配置目的NAT,为trust 区域server 映射FTP(TCP21)和HTTP(TCP80)端口
此地址即外网用户要访问的合
法IP 。

因为使用防火墙外网口IP 映射，所以此处引用防火墙中缺省定义的地址对象ipv4.ethernet0/1。

该对象表示Eth0/1接口IP
代表内网服务器的实际地址对象
webB Server
对外宣布
web 务端口为
TCP8000
第三步：放行安全策略
创建安全策略，允许untrust 区域用户访问trust 区域server 的FTP 和web 应用 关于服务项中我们这里放行的是FTP 服务和TCP8000服务
要求二：允许内网用户通过域名访问WEB ServerB(即通过合法IP 访问）。

实现这一步所需要做的就是在之前的配置基础上，增加Trust -> Trust 的安全策略
要求三：使用合法IP 218.240.143.220为Web ServerA 做IP 映射，允许内外网用户对该Server 的Web 访问。

第一步：配置准备工作
1、将服务器的实际地址使用web_serverA 来表示
使用“IP 成员”选项定义DMZ 区域的server 地址
2、将服务器的公网地址使用IP_218.240.143.220来表示
使用“IP成员”选
项定义要映射的
合法IP
第二步：配置目的NAT
创建静态NAT条目，在新建处选择IP映射
第三步：放行安全策略
1、放行untrust区域到dmz区域的安全策略，使外网可以访问dmz区域服务器
2、放行trust区域到dmz区域的安全策略，使内网机器可以公网地址访问dmz区域内的服
务器
防火墙配置三：透明模式配置
一、网络拓扑
网段A:192.168.1.1 - 192.168.1.100
网段B:192.168.1.101 - 192.168.1.200
二、需求描述
1、防火墙eth6接口和eth7接口配置为透明模式
2、eth6与eth7同属一个虚拟桥接组，eth6属于l2-trust 安全域，eth7属于l2-untrust 安全域。

3、为虚拟桥接组Vswitch1配置ip 地址以便管理防火墙
4、允许网段A ping 网段
B 及访问网段B 的WEB 服务
三、配置步骤
第一步：接口配置
将eth6接口加入二层安全域l2-trust
" DCFW-1800(config)# interface ethernet0/6 " DCFW-1800(config-if-eth0/6)# zone l2-trust
将eth7接口设置成二层安全域l2-untrust
物理接口配置为二层安全域时无法配置IP 地址 第二步：配置虚拟交换机（Vswitch ）
如果没有单独接口做管理的话，可以先使用控制线通过控制口登陆下防火墙在命令下
" DCFW-1800(config)# interface vswitchif1 " DCFW-1800(config-if-vsw1)# zone trust
" DCFW-1800(config-if-vsw1)# ip address 192.168.1.254/24 " DCFW-1800(config-if-vsw1)# manage ping
"DCFW-1800(config-if-vsw1)# manage https
当然也可以在防火墙上单独使用一个接口做管理，通过该接口登陆到防火墙在Web下进行配置
第三步：添加对象
"定义地址对象
•定义网段A (192.168.1.1 – 192.168.1.100)
•定义网段B (192.168.1.101 – 192.168.1.200)
要求允许网段A ping 网段B及访问网段B的WEB服务，在这里我们将ping和http服务建立一个服务组
选中左侧的服务对象推
送到右侧的成员组中
第四步：配置安全策略
在“安全”->“策略”中选择好“源安全域”和“目的安全域”后，新建策略
目的地址选
择网段B的地
址对象
选择网段A访
问网段B的服
务对象
防火墙配置四：混合模式配置
一、网络拓扑
IP:192.168.1.0/24
Web ServerA
二、需求描述
1、将eth0口设置成路由接口，eth1和eth2口设置成二层接口。

并设置Vswitch接口；
2、设置源NAT策略；
3、配置安全策略
三、配置步骤
第一步：设置接口
1、设置内网口地址，设置eth0口为内网口地址为192.168.1.1/24
2、设置外网口，eth6口连接外网，将eth6口设置成二层安全域l2-untrust
3、设置服务器接口，将eth7口设置成l2-dmz安全域，连接服务器。

第二步：配置Vswitch接口
由于二层安全域接口不能设置地址，需要将地址设置在网桥接口上，该网桥接口即为Vswitch
第三步：设置SNAT策略
针对内网所有地址我们在防火墙上设置源NAT，内网PC在访问外网时，数据包凡是从Vswitch接口出去的数据包都做地址转换，转换地址为Vswitch接口地址
第四步：添加路由
要创建一条到外网的缺省路由，如果内网有三层交换机的话还需要创建到内网的回指路由。

第五步：设置地址簿
在放行安全策略时，我们需要选择相应的地址和服务进行放行，所有这里首先要创建服务器的地址簿。

在创建地址簿时，如果是创建的服务器属单个ip，使用IP成员方式的话，那掩码一定要写32位
第六步：放行策略
放行策略时，首先要保证内网能够访问到外网。

应该放行内网口所属安全域到Vswitch 接口所属安全域的安全策略，应该是从trust 到
untrust
另外还要保证外网能够访问Web_server ，该服务器的网关地址设置为ISP 网关218.240.143.1 那需要放行二层安全之前的安全策略，应该是放行l2-untrust 到l2-dmz 策略
防火墙配置五：DHCP 配置
一、网络拓扑
网络拓扑
二、需求描述
1、要求内网用户能够自动获取到IP 地址以及DNS ；
2、要求内网用户获取到IP 地址后能直接访问外网
三、配置步骤
第一步：设置DHCP地址池
首先在创建DHCP前先要创建一个地址池，目的是PC获取地址时从该网段中来获取IP。

如下图设置好池名称、地址范围、网关、掩码和租约时间后点击确定即可。

另外如果需要内网PC自动获取DNS地址的话，需要在编辑下该地址池，在高级设置中填写DNS地址
第二步：设置DHCP服务
在网络/DHCP/服务中选择启用DHCP的服务接口。

选择创建的DHCP服务器地址池即可
第三步：验证
内网PC使用自动获取IP地址的方式来获取IP地址，可以看到PC已经获取到192.168.1.66的ip地址网关为192.168.1.1，DNS地址是218.240.250.101
防火墙配置六：DNS代理配置
一、网络拓扑
网络拓扑
二、需求描述
将内网用户DNS地址设置成防火墙内网口地址，内网用户可以访问网页，能够解析成功。

三、配置步骤
第一步：配置DNS服务器
在防火墙/网络/DNS中设置DNS服务器地址
第二步：配置DNS代理
在网络/DNS/代理中，设置代理服务。

域名选择
点击确定后即可，此时DNS代理地址使用的是防火墙本身的DNS地址
第三步：启用接口DNS代理
编辑内网接口eth0/0
点击高级设置，在高级设置中将DNS代理勾选
防火墙配置七：DDNS 配置
一、网络拓扑
二、需求描述
1、首先到http:/ 网站申请一个DDNS 账号，然后在该账号下申请一个动态域
2、火墙上设置DDNS 账号，并将动态域名绑定在防火墙上。

看DDNS 是否可以登录到
三、配置步骤
第一步：配置DNS 服务器
在防火墙/网络/DNS 中设置DNS 服务器地址
/名
在防服务器，并测试动态域名是否能够解析。

网络拓扑
PPPOE 拨号
第二步：配置DDNS服务
在网络/DDNS服务中，点击，创建DDNS名称test，选择服务器类型，设置DDNS的用户名和密码，然后点击确定即可。

第三步：绑定DDNS服务名称到接口
在网络/DDNS/配置中，只有把配置的DDNS服务名称绑定到接口上，当接口IP地址发生变变化时，域名才能按照DDNS参数进行更新。

第四步：验证DDNS是否运行成功
可以在命令行使用命令show ddns state test来查看DDNS运行状态，看是否运行成功。

如果Update Resutl状态为Update OK说明该DDNS账号已经登陆成功。

DCFW-1800# show ddns state test
Ddns Name: test
Interface Name: ethernet0/1
Last Update Time(s): -1159
Last Update Result: Update OK
Last Update Ip: 218.240.143.219
Next Update Time(s): 85241
可以在互联网上找一台主机，ping 看是否可以解析，解析出来地址是否正确。

从上图中可以看到，解析出来地址为外网口地址。

防火墙配置八：负载均衡配置
一、网络拓扑
网络拓扑
二、需求描述
1、要求内网访问外网时两条外网负载均衡
2、一旦其中一条链路出现故障后，可以通过另外一条链路访问外网
三、配置步骤
第一步：设置接口地址，添加安全域（略）
第二步：添加路由，选择均衡方式，设置监控地址
1、 防火墙两条外线，首先要创建两条等价的缺省路由，所谓等价指优先级相同。

我们在下图中已经创建了第一条缺省路由，网关为222.1.1.1
识别
优先级即管理距离,取值越小，优先级越高，而在有多条路由选择的时候，优先级高的路由会被优
先使用
路由权值决定负载均衡中流量转
发的比重
然后再创建一条缺省路由，网关为218.240.143.217 下图可以看到在目的路由中创建的两条缺省等价路由
2、 设置均衡方式
防火墙做负载均衡时有三种均衡方式，设置均衡方式只能在命令行下实现
DCFW-1800(config)# ecmp-route-select ? by-5-tuple Configure ECMP Hash As 5 Tuple by-src Configure ECMP Hash As Source IP
by-src-and-dst Configure ECMP Hash As Source IP and Dest IP
by-5-tuple – 基于五元组（源IP 地址、目的IP 地址、源端口、目的端口和服务类型）作哈希选路（hash ）。

by-src –基于源IP 地址作哈希选路（hash ）。

by-src-and-dst -基于源IP 地址和目的IP 地址作哈希选路（hash ）。

默认情况下，基于源IP 地址和目的IP 地址做哈希选路（hash ）。

默认防火墙使用的是by-src-and-dst 均衡方式 3、 设置监控地址
设置监控地址的目的是一旦检测到监控地址不能通讯时，则内网访问外网的数据包不再转发到该外网口，只将数据包从另外一条外线转发 目前2.5R5及之前版本只能在命令行下设置监控地址 track "track-for-eth0/1" ip 218.240.143.217 interface ethernet0/1 track "track-for-eth0/2" ip 222.1.1.1 interface ethernet0/2
注：以上命令只是设置监控对象，监控对象名称为track-for-eth0/1，监控地址是218.240.143.217，监控数据包出接口为e0/1接口
interface ethernet0/1 zone "untrust"
ip address 218.240.143.219 255.255.255.248 monitor track "track-for-eth0/1“
注：以上命令为在接口模式下调用创建的监控对象
第三步：设置源NAT 策略（略）
第四步：设置安全策略（略）
防火墙配置九：源路由配置
一、网络拓扑
网络拓扑
内网：192.168.0.0/16
二、需求描述
1、针对内网用户192.168.1.0/24在访问外网时通过eth0/1的外网线路，内网用户192.168.2.0/24在访问外网时通eth0/2的外网线路。

三、配置步骤
第一步：设置接口地址，添加安全域（略）
第二步：添加源路由
在网络/路由/源路由中，新增一条源路由，设置内网网段192.168.1.0/24从下一条网关218.240.143.217访问外网
同样的方法设置192.168.2.0从
222.1.1.1访问外网
第三步：设置源NAT策略（略）
第四步：设置安全策略（略）
防火墙配置十：双机热备配置
一、网络拓扑
Interne
二、需求描述
将主备设备出现故障后，备用设备能马上顶替主设备转发报文
三、配置步骤
第一步：防火墙上添加监控对象
用户可以为设备指定监测对象，监控设备的工作状态。

一旦发现设备不能正常工作，即采取相应措施。

目前设备监控对象只能在命令行实现
在A墙上CLI下全局配置监控对象
"hostname(config)# track judy
"hostname(config-trackip)# interface ethernet0/0 weight 255
" hostname(config-trackip)# interface ethernet0/1 weight 255 " hostname(config-trackip)# exit " hostname(config)#
第二步：防火墙的HA 组列表配置
首先在A 防火墙上在系统/HA/组列表中点击新建
对于组列表中的参数我们只要填写组ID 为0，设置一个优先级，选择监控地址即可。

其他参数可以使用系统默认值
指定失去心跳的警戒值，即如果设备没有收到对方设备的该命令指定个数的Hello 报文，就判断对方无心跳。

设备完A 防火墙的组列表后，同样在B 防火墙上设置组列表，除优先级设置不同外，其他参数要与A 墙参数一致。

其中优先级不同的原因是在初始设置时两台墙一定要设置不同的优先级，数字越小优先级越高。

优先级高的防火墙将被选举为主设备。

第三步：防火墙HA 基本配置
在A 防火墙系统/HA/基本配置中设置HA 连接接口即心跳接口、HA 连接接口IP 即心跳地址和HA 簇
指定HA 的接口，最多可以指定两个
HA
接口
HA 接口互联地址
在A 墙上设置完HA 基本配置后，在B 墙上设置相同的心跳接口和HA 簇，心跳地址要设置成与A 墙同网段的心跳地址。

命令行下配置如下：
" hostname(config)# ha link interface ethernet0/4 " hostname(config)# ha link ip 1.1.1.2/24 " hostname(config)# ha cluster 1 第四步：配置接口管理地址
处于热备的两台防火墙的配置是相同的，包括设备的接口地址，此时只有一台防火墙处于主状态，所有我们在通过接口地址去管理防火墙时此时只能登陆处于主状态的防火墙。

如果我们要同时管理处于主备状态两台防火墙的话，需要在接口下设置管理地址 首先我们在A 墙上设置内网接口管理地址为192.168.1.91/24
命令行下命令如下：
"hostname(config)# interface ethernet0/0
"hostname(config-if-eth0/1)# manage ip 192.168.1.91
然后在防火墙B上设置接口的管理地址
命令行下命令如下：
"hostname(config)# interface ethernet0/0
"hostname(config-if-eth0/1)# manage ip 192.168.1.92
第五步：将主设备配置同步到备份设备
将两台墙连接入网络中并使用网线将两台防火墙的心跳接口eth0/4连接起来，在主设备上执行以下命令
hostname(config)# exec ha sync configuration
此时主设备的配置便会同步到备份设备
防火墙配置十一：QoS配置一、网络拓扑
网络拓扑
二、需求描述
防火墙出口带宽为100Mbps，内网最多有200台PC。

1、要求P2P的总流量不能超过50Mbps
2、每个用户的上、下行最大带宽均不能超过400kbps
三、配置步骤
其中第一步到第三步实现要求一，第四步到第七步实现要求二。

第一步：在QoS中创建一个class，将P2P协议将入到该class
首先在网络/QoS/类别中，将P2P的协议类型加入到一个分组中，分组名称“P2P”
1
2
第二步：创建QoS Profile,在Profile里做出对P2P流量的限制
在网络/QoS/Profile中，设置一个app-qos-profile名称为limit-p2p-50M，然后将之前创建好的“P2P”class加入到右边成员中点击确定。

然后重新编辑该profile 分组，在针对“
P2P ”class 设置带宽限制
针对P2P 的协议限制带宽到50M
这表示传输速率上限为50Mbps
第三步：将P2P 限流Profile 绑定到广域网入接口eth0/1上
将之前创建的“limit-p2p-50M ”profile 绑定到外网接口的入方向上，就可以实现限制内网下载P2P 到50M 的流量。

第四步：使用内网IP 地址范围创建QoS Class
首先将限制带宽的内网地址设置一个class ，名称为“ip-range
”
，
地址范围为192.168.1.1-192.168.1.200
第五步：创建QoS Profile ，并将创建好的IP 范围Class 加入其中
创建一个名称为“per-ip-bw-limit ”的profile ，创建profile 时选择ip-qos-profile ，然后将之前创建的“ip-range ”class 拉到右边的成员栏中点击确定
第六步：编辑QoS Class，对每IP的带宽做出限制
重新编辑peofile“per-ip-bw-limit”然后针对“ip-range”的class做限速，限制每ip带宽为400K，开启弹性QoS后能达到的最大带宽为800K
第七步：将QoS Profile绑定到外网接口
将创建的“per-ip-bw-limit”的profilre绑定到接口上，一般来说ip-qos要绑定在接口的第二级别上，我们在外网上出入方向上都绑定该profile，即针对ip-range内的PC上下行都限制到400K。

防火墙配置十二：Web 认证配置
一、网络拓扑
192.168.1.0/24
二、需求描述
内网用户首次访问Internet 时需要通过WEB 认证才能上网。

且内网用户划分为两个用户组usergroup1和usergroup2,其中usergroup1组中的用户在通过认证后仅能浏览web 页面，usergroup2组中的用户通过认证后仅能使用使用ftp 。

三、配置步骤
第一步：开启web 认证功能
防火墙Web 认证功能默认是关闭状态，需要手工在系统/管理/管理接口中将其开启，Web 认证有http 和https 两种模式。

认证成功后，系统会在超时时
间结束前对认证成功页面进行
自动刷新，确认登录信息
指定认证服务器的HTTP端
口号。

取值范围是1到65535。

默认值是8080
防火墙支持HTTP 和HTTPS
两种认证模式。

HTTP 模式更
为快捷，而HTTPS 模式更为
安全。

本例这里使HTTPS模
式。

第二步：创建AAA认证服务器
在开启防火墙认证功能后，需要在对象/AAA
服务器中设置一个认证服务器，防火墙能够支持本地认证、Radius认证、Active-Directory和LDAP认证。

在本实验中我们使用防火墙的本地认证，在此我们选择认证类型为本地
第三步：创建用户及用户组，并将用户划归不同用户组
既然要做认证，需要在防火墙的对象/用户组中设置用户组，在本实验中我们设置了usergroup1和usergroup2两个用户组
然后在对象/用户首先在在本地服务器中选择之创建好的local-aaa-server 认证服务器，在该服务器下创建user1用户，并将该用户设置到usergroup1用户组中，同样的方法创建user2用户，并将user2用户设置到usergroup2组中
指定创建的用户属于之前创建的本地认证服务器
第四步：创建角色
创建好用户和用户组后，下面在对象/角色/管理中设置两个角色，名称分别为role-permit-web 和role-permit-ftp
定义角色名称，后面将把角色与用
户组相映射
第五步：创建角色映射规则，将用户组与角色相对应
在对象/角色/角色映射中，将用户组和角色设置角色映射关系名称为role-map1，将usergroup1用户组和role-permit-web 做好对应关系，同样的方法将usergroup2和role-permit-ftp 做好对应关系。

第六步：将角色映射规则与AAA 服务器绑定
在对象/AAA 服务器中，将角色映射关系role-map1绑定到创建的AAA 服务器loca-aaa-server 中
将角色映射绑定与
AAA服务器绑定
第七步：创建安全策略不同角色的用户放行不同服务
在安全/策略中设置内网到外网的安全策略，首先在该方向安全策略的第一条设置一个方形DNS服务的策略，放行该策略的目的是当我们在IE栏中输入某个网站名后，客户端PC能够正常对该网站做出解析，然后可以从定向到认证页面
个
在内网到外网的安全策略的第二条我们针对未通过认证的用户UNKNOWN，设置认证的策略，认证服务器选择创建的local-aaa-server。

指定使用此AAA 服务器中的用户进行认证
在内网到外网的第三条安全策略中，我们针对认证过的用户放行相应的服务，针对角色role-permit-web 我们只放行http 服务
针对通过认证后的用户，属于role-permit-ftp 角色的只放行ftp 服务
最后我们看下在安全/策略中我们设置了几条策略，在这里我们设置了四条策略，第一条策略我们只放行DNS服务，第二条策略我们针对未通过认证的用户设置认证的安全策略，第三条策略和第四条策略我们针对不同角色用户放行不同的服务项。

第八步：用户验证
内网用户打开IE后输入某网站后可以看到页面马上重定向到认证页面，我们输入user2的用户名和密码认证通过后，当我们访问某ftp时可以访问成功，当我们访问web界面时看到未能打开网页
当访问
1
使用用户登
防火墙配置十三：会话统计和会话控制配置一、网络拓扑
网络拓扑
二、需求描述
1、要求针对内网PC统计ip会话的个数
2、要求能够针对服务统计出每种服务的会话个数
3、要求针对内网每ip限制会话数到300条
三、配置步骤
第一步：启用trust安全域IP会话统计
在安全/会话控制/IP会话中针对内网安全域trust启用会话统计，启用后在IP会话统计栏可以看到内网在线ip的流量和会话数
第二步：启用和统计服务会话统计
要统计服务会话，首先要将外网口所属安全域启用应用程序识别。

在网络/安全域中将untrust 安全域勾选应用程序识别
在安全/会话控制/服务会话中，启用基于服务的会话统计并应用。

启用后在服务会话栏中可以看到每种服务项的流量和会话数目。

第三步：针对内网ip启用会话限制功能
在安全/会话控制/会话限制中,针对内网安全域trust，源地址为内网所有ip 每ip我们限制会话最大值为500条。

在下面的会话限制列表中我们可以看到已经将会话限制规则设置成功。

设置完会话限制后，我们再对比下设置会话限制前后的会话数目，从下图中相信您一眼就可以看到那张图是限制前那张是限制后的抓图。

防火墙配置十四：IP-MAC绑定配置一、网络拓扑
网络拓扑
二、需求描述
1、手工将内网某ip和mac绑定在防火墙上；
2、设置防火墙自动扫描内网某ip网段，然后将扫描的arp信息全部做绑定
三、配置步骤
第一步：手工绑定IP-MAC信息
在安全/IP-MAC/静态绑定中，在右边的arp列表中我们可以看到防火墙自学习的arp信息，我们将192.168.25.1的arp
信息手工绑定在防火墙上，勾选该后点击标志即可
如果我们此时防火墙并非学习到该IP的arp信息，我们可以将起手工输入IP和MAC的方式来绑定，如下图
第二步：在防火墙上自动扫描地址范围
在安全/IP-MAC/静态绑定中输入要扫描的地址范围192.168.25.1-192.168.25.254点击确定，开始扫描
第三步：将扫描后的arp信息全部做绑定
防火墙扫描完后会将学习到的ARP信息显示在arp列表中，如下图
此时我们只要点击下全部绑定，防火墙就会将扫描的ARP信息全部绑定在防火墙上。

防火墙配置十五：禁用IM配置一、网络拓扑
网络拓扑
二、需求描述
要求内网用户不能登陆腾讯QQ，允许用户可以登陆MSN但是不能使用MSN传输文件三、配置步骤
第一步：启用外网口安全域的应用程序识别
在网络/安全域中，将外网口安全域untrust勾选应用程序识别，设置该项的目的可以识别应用层QQ、MSN等协议
第二步：创建行为profile ，对IM 做相应动态限制 在安全/行为Profile 中点击新建
第三步：创建一个profile 组
在安全/Profile 组中，新建一个Profile 组名称为“行为profile ”，并将之前创建的IM-profile 加到该Profile 组中点击确定
第四步：将profile 组引用到策略中
第五步：验证测试
按照以上四步设置完成后，我们可以登陆QQ 可以看到QQ 已经不能登陆到服务器，MSN 可以连接到服务器但不能传输文件。

防火墙配置十六：URL 过滤配置
一、网络拓扑
网络拓扑
二、需求描述
限制内网用户访问baidu 首页。