联想网御防火墙使用手册

联想网御防火墙日常维护手册1、电子钥匙无法使用，提示没有安装驱动?故障分析：如果使用电子钥匙管理防火墙电子钥匙插到管理计算机前，必须要在该机安装驱动程序，驱动程序在防火墙的随机光盘里根目录/Ikey Driver。

解决方案:先拔下电子钥匙，安装电子钥匙驱动，然后插入钥匙（目前为止电子钥匙驱动程序支持32位XP和2000server、2003server的操作系统），之后打开认证程序/administrator目录下ikeyc.exe。

认证通过后程序会弹出提示。

2、电子钥匙PIN码错误？故障分析：由于电子钥匙属安全认证设备，密码连续错误输入13次将被锁死，返厂也无法修复。

解决方案: 密码连续输错几次后，请拔下电子钥匙，回忆密码然后重新输入，并且咨询联想网御售后人员。

请勿试图暴力破解防火墙电子钥匙pin码。

3、连接防火墙失败,请检查IP地址和端口号是否正确？故障分析：连接防火墙失败，一般会有如下三种原因a) 电子钥匙认证程序上防火墙IP输入不正确b) 电子钥匙认证程序上端口号被修改，电子钥匙上默认的端口号为9999，此端口为电子钥匙与防火墙连接端口，一定不要与页面登陆8888端口混淆c) 防火墙的管理主机IP设置不正确解决方案：a)联想网御防火墙FE1口默认IP为:10.1.5.254,如此地址改变，电子钥匙认证程序上的防火墙IP也要做相应修改。

b）修改电子钥匙认证程序端口为默认9999c）修改防火墙上管理主机IP与管理电脑的IP一致，防火墙默认的管理主机IP10.1.5.2004、认证失败!错误的用户名/密码故障分析：联想网御防火墙与电子钥匙是一一对应的，具体是通过防火墙的ID号来识别，如果使用了非对应的电子钥匙则会提示用户名/密码错误。

解决方案：保证防火墙和电子钥匙的一一对应，通过在防火墙串口命令行输入system show查看防火墙ID与电子钥匙读出的ID是否一致，如不一致寻找和防火墙配对的电子钥匙进行测试。

联想网御防火墙IP、端口映射配置一、认证登录1.1 启用管理员认证程序,并输入“用户PIN值”点击确定。

(出厂默认为12345678)2.1 出现认证程序界面后点击连接。

待出现认证通过的提示后，指示灯会变为绿色。

3.1 在IE浏览器地址栏中输入3.2会出现如下图的登录界面。

在默认没有设置过的情况后口令与用户名相同都是aministrator.二、基本配置1(网络配置)2.1 先在菜单中选中“网络配置-网络设备”2.2 按照本文档开始时的注意事项中的拓扑图，划fe2口为外网接口。

(10.1.5.254已经由防火墙默认) 点击fe2行最后的操作栏图标后弹出如下界面。

2.3 在上图中，主要需要配置的是网络接口的IP地址。

在IP地址输入1.1.1.1、在掩码输入对应的掩码。

这里输入255.255.255.0。

跟据需要选择其他选项(用于管理、允许PING、允许Traceroute) 然后选中“是否启用”点击确定后。

网络设备的界面中fe2的设备会显示已经启用。

三、基本配置2(资源定义)3.1 添加服务器地址在资源定义->地址->服务器地址中进行设定。

3.2 名称可以随意。

请注意，必须使用字母开头，并且暂时不支持中文。

在标识为1的行中输入服务器的内网IP即可。

备注是对服务器的说明，可以随意。

3.3 对需要对外发布的服务做定义。

如果是使用常见服务比如HTTP、FTP等服务，防火墙有预定义服务，就不需再做定义。

如果是不经常使用到的服务，就需要添加“基本服务”3.4 同样，服务的名称不能使用中文，并且不能使用数字开头。

在设置中需要注意的是一般情况下，我们只控制目的端口。

举例端口为80时，则在“目的端口”一列的低和高都填入80。

在协议类型中主要是选择TCP或是UDP。

四、策略配置4.1(A) 端口应射规则(和IP映射规则二选一) 规则名及序号为系统自动生成，建议不要更改。

“公开地址”一栏选择在第一部份中配置给fe2口的外网IP1.1.1.1 。

第3章系统配置本章主要介绍防火墙的系统配置，由以下部分组成：日期时间，系统参数，系统更新，管理配置，联动，报告设置，入侵检测和产品许可证。

3.1 日期时间防火墙系统时间的准确性是非常重要的。

可以采取两种方式来同步防火墙的系统时钟1)与管理主机时间同步2)与网络时钟服务器同步（NTP协议）图3-1配置防火墙时间与管理主机时间同步1.调整管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器”，输入“时钟同步服务器IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器”，输入“时钟同步服务器IP”2.设定同步周期3.点击“确定”按钮系统参数注意事项：防火墙的很多操作依赖于系统时间，改变系统时间会对这些操作发生影响，比如更改时间后配置管理界面登录超时等。

3.2 系统参数系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。

防火墙名称的最大长度是14个英文字符，不能有空格。

默认的防火墙名称是themis，用户可以自己修改这个名称。

动态域名注册所使用的用户名、密码的最大长度是31个英文字符，不能有空格。

动态域名的设置在网络配置>>网络设备的物理网络配置中。

图3-2系统参数配置图3.3 系统更新3.3.1 模块升级防火墙系统升级功能可以快速响应安全需求，保证防火墙功能与安全的快速升级。

图3-3导入升级文件模块升级界面包括以下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮，选择管理主机上的升级包2.点击“升级”按钮点击“重启防火墙”按钮，重启防火墙完成升级导出升级历史点击“导出升级历史”按钮，导出升级历史做备份。

检查最新升级包管理员可以查看”系统当前软件版本”，点”检查最新升级包”，系统会弹出新的IE窗口并连接联想安全服务网站（防火墙可以连接Internet）。

第7章资源定义为了简化防火墙安全规则的配置和维护工作，引入了资源定义。

联想网御防火墙系统可以定义以下资源：●地址：地址、地址组、NA T地址池、服务器地址●服务：服务、服务组●用户：用户、用户组●时间：时间、时间组、一次性调度和周循环调度●带宽：带宽●URL关键字●网页关键字●VLAN ID7.1 资源定义通用功能介绍对于各项资源，操作基本相同，通常提供如下操作：●分页显示●查找●排序●添加资源●编辑资源（修改）●删除资源还有一些需要注意的地方，适用于所有规则，比如：●名称的限制●备注的限制下面对这些共同的功能做一个介绍。

7.1.1 分页显示各列表界面均有“分页功能”，其工具条通常位于表格的下方，如下图所示：例如，点击“资源定义>>地址>>地址列表”，显示地址列表页面，就能看到上述工具条。

实际上，所有资源的列表页面都有该项功能。

具体如下：表7-1资源定义分页功能列表点击如果出现竖向滚动条，则点击7.1.2 查找为便于查找已经定义过的资源，各列表界面均提供了查找功能，通常位于标题和列表之间，靠右排列。

如下图所示：7.1.3 排序为便于查看比较资源，各列表界面均提供了排序功能。

具体如下：，蓝粗体（如）表示可以进行排序，黑通常按照字符串顺序进行排序（如、项，则按数字大小进行排序（如7.1.4 添加各项资源最重要的功能之一就是能够添加资源，按钮都排列在在各列表最下方的正中位置。

添加资源的操作步骤：1.在相应的资源列表页面中，点击，将弹出添加界面；2.给弹出界面的各域选择或者输入相应的值；3.点击，则成功添加本条规则后关闭本窗口；如果点击，则添加本条规则成功后刷新列表页码，本窗口不关闭，以便继续添加下一条。

点击后弹出界面中最下方通常有三个按钮，如图所示：7.1.5 编辑各项资源，不管是否被引用，均能随时修改。

名称不能改变，其余属性可以修改。

编辑资源的操作步骤：1．在相应的资源列表页面中，点击对应的编辑图标（如图：），将弹出编辑界面2．输入相应的值，或者指定相应的成员（对于各项资源，值的限制不同，在各资源中进行介绍，可参考具体资源的帮助或者手册）3．点击，修改成功后关闭本窗口。

Power V 防火墙 OSPF 配置实例 (3.4.3.8
第 1页
第 2页
1.案例背景
Power V防火墙具有 OSPF 路由功能,并可以通过添加多个区域的方式与其他网络设备进行互联互通。

2.案例拓扑
3.配置步骤
3.1 FW1配置
1、网络接口配置,配置 fe3接口地址为 192.168.29.1,配置 fe4接口地址为10.0.2.246
2、策略配置,配置允许内网访问外网的包过滤规则。

3、 OSPF 路由配置
4.验证
以上操作之后就可以从防火墙上动态学习到路由器那边的路由, 在 OSPF 路由监控里可以看到学习到的路由。

第 3页
5.注意事项
在启动 OSPF 的时,如需修改网络配置,则须先停止 OSPF 功能。

防火墙如果有 4个以上的网口,则只有前 4个网口可以做 OSPF 接口。

防火墙做 HA 配置,主从墙切换后,从墙学习不到 OSPF 路由,要重新启动下OSPF 功能。

启动 OSPF ,一定不可以开启多播路由。

第 4页。

第5章策略配置本章是防火墙配置的重点。

符合安全规则的策略是保证防火墙真正起到“防火”作用的基础。

错误的安全规则不但有可能使得防火墙形同虚设，甚至有可能妨碍网络正常功能的使用。

5.1 安全选项安全选项提供防火墙可设置的一些全局安全策略，包括包过滤策略、抗攻击策略、IP/MAC 检查开关和是否允许除IP和ARP之外的其他二层协议通过。

这些参数对整个防火墙生效。

界面如下图所示：图 5-1 安全选项配置5.1.1 包过滤策略包过滤缺省允许策略：提供包过滤缺省策略的选项设置，选中为允许，不选为禁止。

包过滤缺省策略是当所有的用户添加的包过滤规则都没有被匹配时所使用的策略。

如果包过滤缺省策略是禁止，用户添加的包过滤规则应该是允许哪些连接可以通过；如果包过滤缺省策略是允许，用户添加的包过滤规则应该是禁止哪些连接不能通过。

严格的状态检测：选中为启用，不选为禁止。

仅针对TCP连接。

只有完成三次握手的TCP连接才创建状态，除此之外的任何TCP数据包都不创建状态。

启用严格的状态检测，是为了防止ACK扫描攻击。

因为如果没有严格的状态检测，那么如果收到ACK置位的包，防火墙就会创建相应的状态，使得此连接可以通过防火墙。

需要使用“策略配置>>安全规则>>包过滤规则”中的“长连接”属性，设置连接建立的时间时，就必须选中此项属性“策略配置>>安全规则>>包过滤规则”。

在某些特殊网络环境下，防火墙可能无法收到所有三次握手的数据包，此时就不能选中严格的状态检测。

包过滤策略中还包括两项高级设置：图 5-2 安全选项高级设置规则配置立即生效：启用后为规则优先（缺省是状态优先）。

如果不启用，当一个连接在防火墙上的建立起来后，设置了与原有的规则相反的规则，则此时数据包仍能够根据建立的状态表通过防火墙；如果启用，则此时数据包根据设定的规则将无法通过防火墙。

重新设置规则可能会造成已有连接中断。

建议不启用。

第8章系统监控系统监控能够显示防火墙当时的工作状态，为防火墙管理员提供了功能强大的监控工具。

与联想网御集中管理软件共同使用，可以搭建全面的安全管理平台。

8.1 网络设备网络设备监控的是启用的物理设备收发包的情况，如图：图8-1网络设备监控图中的网络设备是当前有效的物理设备，状态图标表示设备处于启用状态，图标表示设备处于停止状态。

流量栏中显示了当前设备总发送和总接收的字节数。

点击“当前状态”可以查看设备更详细的信息，点击“统计图”可以查看设备收发数据的统计图示。

如果要查看设备一段时间内的监控信息，必须先启用设备监控服务，如下图：图标表示监控服务正在运行，图标表示监控服务已经停止。

点击“停止”按钮可以停止监控服务，点击“启动”按钮可以启动监控服务。

启动监控服务后，才可以在统计图中查看到统计数据；停止监控服务后，仍然可以查看当前设备收发数据的情况，但是无法查看历史数据。

如果要清除以前的统计数据，可以点击“清空数据文件”将之清除。

点击“当前状态”后，显示如下图所示的页面：图8-2网络设备当前状态页面中显示了设备的详细信息。

点击“统计图”后，显示如下图所示的页面：图8-3网络设备流量统计上图显示了设备“5分钟”，“30分钟”，“3小时”，“一天”之内的流量统计信息，每个设备都有自己的统计图。

流量的单位是兆字节，如果选择最近5分钟的数据，则系统每10秒钟记录一次流量信息，如果选择查看的时间较长，则系统记录流量信息的间隔也相应增大。

如果单位时间内流量一直小于1兆字节，则绘制的曲线会比较贴近横坐标，不很醒目。

8.2 HA状态如果启用了HA功能，则可以进行HA状态监控。

在主防火墙的监控界面上，可以监控集群内所有防火墙的HA状态。

包括：配置同步的情况，节点优先级，网口状态列表和探测周边设备状态列表。

如下图所示：图8-4显示HA状态点详细可看到该节点的详细信息，如下图图8-5HA状态详细显示其中主节点的“优先级”应为1，其余从节点的“优先级”依次为2，3，4（目前支持4个节点的HA工作模式）。

管理防火墙Power V 防火墙有2种管理方式，1是web(界面管理)管理。

2是命令行管理。

命令行管理又分为串口管理和SSH管理。

本文档详细介绍如何对一台出厂配置的防火强进行管理和相关注意事项。

一．串口管理1．使用超级终端连接防火墙。

利用随机附带的串口线将PC的串口和防火墙串口相连，启动超级终端。

以Windows XP为例：选择程序->附件->通讯->超级终端，选择用于连接的串口设备。

定制通讯参数如下。

每秒位数：9600；数据位：8；奇偶校验：无；停止位：1；数据流控制：无。

第1页第2页第3页当出现上面的语言时，就可以通过命令行管理防火墙了。

2．使用SecureCRT连接防火墙。

利用随机附带的串口线连接管理主机的串口和防火墙串口。

在pc 上运行SecureCRT 软件。

第4页第5页出现上面的情况就可以用命令行管理防火墙了。

二.Web 管理1．使用电子钥匙a.从随机光盘中找到电子钥匙的驱动程序并安装，注意安装时不要插入电子钥匙。

b.驱动安装成功后，将电子钥匙插入管理主机的usb口，启动用于认证的客户端ikeyc.exe，输入PIN密码，默认为12345678，系统会读出用于认证的ikey信息，此时窗口右边的灯是红的。

c.选择“连接”，连接进行中灯是黄的，如果连接成功，灯会变绿，并且出现通过认证的提示框d．“确定”后就可以通过https://10.1.5.254:8888连接防火墙了。

注意：防火墙管理过程中，请不要拔下电子钥匙，也不要关闭防火墙管理认证客户端，否则可能无法管理。

2．使用证书a.首先从联想网御的FTP服务上获得证书。

FTP服务器IP地址是211.100.11.172，用户命密码都是lenovo。

b.用SecureCRT软件管理防火墙的命令行，用administrator/administrator帐号登陆。

c.执行rz命令上传防火墙导入的证书分别是：admin.pem；CACert.pem；leadsec.pem；第6页leadsec_key.pem，如图所示：d.按照如下步骤执行命令将证书导入防火墙admcert add cacert CACert.pem fwcert leadsec.pem fwkey leadsec_key.pemadmcert add admincert admin.pemadmcert on admincert admin.peme.在pc上导入浏览器证书。

第3章系统配备3.1 本章重要简介防火墙旳系统配备, 由如下部分构成: 日期时间, 系统参数, 系统更新, 管理配备, 联动, 报告设立, 入侵检测和产品许可证。

3.2 日期时间防火墙系统时间旳精确性是非常重要旳。

可以采用两种方式来同步防火墙旳系统时钟1)与管理主机时间同步2)与网络时钟服务器同步（NTP协议）图3-1配备防火墙时间与管理主机时间同步1.调节管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器”, 输入“时钟同步服务器IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器”, 输入“时钟同步服务器IP”2.设定同步周期3.点击“拟定”按钮系统参数注意事项:3.3 防火墙旳诸多操作依赖于系统时间, 变化系统时间会对这些操作发生影响, 例如更改时间后配备管理界面登录超时等。

3.4 系统参数系统参数设立防火墙名称和动态域名注册所使用旳顾客名、密码。

防火墙名称旳最大长度是14个英文字符, 不能有空格。

默认旳防火墙名称是themis, 顾客可以自己修改这个名称。

动态域名注册所使用旳顾客名、密码旳最大长度是31个英文字符, 不能有空格。

动态域名旳设立在网络配备>>网络设备旳物理网络配备中。

图3-2系统参数配备图3.5 系统更新3.5.1 模块升级防火墙系统升级功能可以迅速响应安全需求, 保证防火墙功能与安全旳迅速升级。

图3-3导入升级文献模块升级界面涉及如下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮, 选择管理主机上旳升级包2.点击“升级”按钮点击“重启防火墙”按钮, 重启防火墙完毕升级导出升级历史点击“导出升级历史”按钮, 导出升级历史做备份。

检查最新升级包管理员可以查看”系统目前软件版本”, 点”检查最新升级包”, 系统会弹出新旳IE窗口并连接联想安全服务网站（防火墙可以连接Internet）。

联想网御Power V UTM防火墙功能使用图文手册声明本手册所含内容若有任何改动，恕不另行通知。

在法律法规的最大允许范围内，联想网御科技（北京）有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，联想网御科技（北京）有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

本手册含受版权保护的信息，未经联想网御科技（北京）有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

联想网御科技（北京）有限公司中国北京海淀区中关村南大街6号中电信息大厦8层目录第1章登录防火墙管理界面 (1)1.1串口登录防火墙 (1)1.2 WEB方式登录防火墙 (3)第2章防火墙透明或路由模式的更改 (7)2.1登录防火墙WEB管理界面 (7)2.2更改防火墙运行模式 (8)第3章在VLAN环境中使用防火墙 (10)3.1拓扑 (10)3.2配置要求 (10)3.3配置步骤 (10)第4章防火墙包过滤策略 (15)4.1拓扑 (15)4.2配置要求 (15)4.3配置步骤 (15)第5章NAT源地址转换 (17)5.1拓扑 (17)5.2配置要求 (17)5.3配置步骤 (17)第6章虚拟IP 目的地址转换 (19)6.1拓扑 (19)6.2配置要求 (19)6.3配置步骤 (19)第7章通过防火墙访问INTERNET (21)7.1拓扑 (21)7.2配置要求 (21)第8章带宽控制 (27)8.1拓扑 (27)8.2配置要求 (27)8.3配置步骤 (27)第9章IPMAC绑定 (29)9.1拓扑 (29)9.2配置要求 (29)9.3配置步骤 (29)第10章用户认证 (38)10.1拓扑 (38)10.2配置要求 (38)10.3配置步骤 (38)第11章HA A-P模式 (44)11.1拓扑 (44)11.2配置要求 (44)11.3配置步骤 (44)第12章HA A-A模式 (48)12.1拓扑 (48)12.2配置要求 (48)12.3配置步骤 (48)第13章IPSEC VPN CLIENT-GW密钥认证 (52)13.1拓扑 (52)13.2配置要求 (52)13.3配置步骤 (52)第14章IPSEC VPN CLIENT-GW 证书认证 (57)14.2配置要求 (57)14.3配置步骤 (57)第15章IPSEC VPN GW-GW 与CISCO互通 (66)15.1拓扑 (66)15.2配置要求 (66)15.3配置步骤 (66)第16章IPSEC VPN GW-GW 证书与POWER V 400防火墙互通 (71)16.1拓扑 (71)16.2配置要求 (71)16.3配置步骤 (71)第17章PPTP (80)17.1拓扑 (80)17.2配置要求 (80)17.3配置步骤 (80)第18章IPS (83)18.1拓扑 (83)18.2配置要求 (83)18.3配置步骤 (83)第19章IPS阻止QQ，MSN，BT流量 (86)19.1拓扑 (86)19.2配置要求 (86)19.3配置步骤 (86)第20章病毒检查 (90)20.1拓扑 (90)20.2配置要求 (90)第21章病毒/入侵特征库升级 (93)21.1导入病毒特征库升级文件 (93)21.2导入入侵特征库升级文件 (94)第22章WEB过滤 (95)22.1拓扑 (95)22.2配置要求 (95)22.3配置步骤 (95)第23章防垃圾邮件 (98)23.1拓扑 (98)23.2配置要求 (98)23.3配置步骤 (98)第1章登录防火墙管理界面1.1串口登录防火墙物理线路连接：使用标配的串口线，一头接防火墙的CONSOLE口，另一头接计算机的串口。

第7章资源定义为了简化防火墙安全规则的配置和维护工作，引入了资源定义。

联想网御防火墙系统可以定义以下资源：●地址：地址、地址组、NAT地址池、服务器地址●服务：服务、服务组●用户：用户、用户组●时间：时间、时间组、一次性调度和周循环调度●带宽：带宽●URL关键字●网页关键字●VLAN ID7.1 资源定义通用功能介绍对于各项资源，操作基本相同，通常提供如下操作：●分页显示●查找●排序●添加资源●编辑资源（修改）●删除资源还有一些需要注意的地方，适用于所有规则，比如：●名称的限制●备注的限制下面对这些共同的功能做一个介绍。

7.1.1 分页显示各列表界面均有“分页功能”，其工具条通常位于表格的下方，如下图所示：例如，点击“资源定义>>地址>>地址列表”，显示地址列表页面，就能看到上述工具条。

实际上，所有资源的列表页面都有该项功能。

具体如下：表7-1资源定义分页功能列表功能说明第一页前一页后一页最后一页当前页面/总页码当有很多页时，可以直接跳转。

输入希望跳转的页码，点击即可。

页码框只接受正整数。

如果输入页面大于总页码，则跳转到最后一页。

每页显示的行数如果出现竖向滚动条，则点击可以回到该页页首。

7.1.2 查找为便于查找已经定义过的资源，各列表界面均提供了查找功能，通常位于标题和列表之间，靠右排列。

如下图所示：功能说明查找通常为按“名称”和“备注”进行查找。

在输入框中输入待查找的关键词，点击“查找”即可。

如果输入框中为空或者默认值，则不进行筛选，列出所有资源。

7.1.3 排序为便于查看比较资源，各列表界面均提供了排序功能。

功能说明排序在列表的标题部分，有两种不同的字体，如图所示，蓝粗体（如）表示可以进行排序，黑粗体（如）则不能进行排序。

用鼠标点击（如）则进行排序，升序降序交替进行，如前一次为升序排序，则下一次为降序排序。

通常按照字符串顺序进行排序（如、，如果为数字项，则按数字大小进行排序（如）。

联想网御防火墙配置实例配置说明：先安装USBkey的驱动程序，驱动程序在安装光盘随机软件包中，（IKEY DRIVER）。

然后在ADMINISTRATOR文件夹中打开IKEY客户端，用交叉线连接电脑和设备的FE1口。

然后将配置电脑的IP改成.200/24.然后点IKEY界面上，如果连接成功就会显示“连接成功”。

然后在IE浏览器中输入https：//.254：8888 用户名和密码都是administrator如上图进入配置界面，在左边栏“管理主机”进入右边的面板，可以看到可以提供配置防火墙电脑的IP，如果需要，可以自己更改。

该防火墙支持4种接入方式，我们一般采用第1，2种连接方式。

远程WEB管理需要使用USBKEY和证书认证。

进入左边栏“网络设备”，进入端口配置，具体端口配置如上图。

在防火墙出站口上绑定多个公网IP地作法就是在“别名设备”里添加多个IP。

在“静态路由”配置里，谨记要配置“静态路由”即默认网关在“安全选项”里勾选所有项进入“资源定义”，这里的设置是非常重要的。

对于需要进行策略配置的主机和网段都必须在这里做定义。

在“地址池”定一个外网口的IP。

在“服务器地址”定义几个服务器的地址在“服务组”中定义几个vlan网段策略，进行协议通讯限制，其中包括了vlan4 B级用户地策略，vlan3 用户的策略，服务器的策略。

在防火墙“NAT规则”中，配置内外网映射规则，具体规则属性，见下图。

VLAN 3到外网地址的映射，中间服务选项是策略组名称，具体策略见服务器协议策略定义。

以上几张图就是nat规则中设计地几条映射规则，具体映射方法，详见各图配置方式。

“包过滤规则”能够有效地控制网段ip的访问策略，类似于访问控制列表。

具体策略定义如下图只需要配置“源地址”“流入端口”“目的地址”在“端口映射规则”中将三个公网地址的远程控制接口打开“3389”，并将其映射到内网相对服务器的3389端口。

具体配置规则如下图的3389端口映射到主域控服务器的3389端口。