网康进阶之NGFW网关模式配置指导

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

1. 可实现功能

当网络当中没有路由设备做出口,NGFW 可以作为出口设备,起到路由、源地址转化和目的地址转化的作用。通过本手册,可以帮助用户初始部署,接入设备即可上网的功能

2. 相关拓扑使用情况

A 、单出口网关部署(一个WAN 口)

B、多出口网关部署(多个WAN 口)

注意:不论几个WAN 口,这几个口都可以支持静态或ADSL 拨号的模式。内口可以是一个或者多个

3. 配置过程

3.1. 外网口设置

1> 点击【网络配置】- 【接口与区域】下eth0 接口,会弹出【物理接口- 编辑】对话框。以eth0 为例。2> 勾选

【启用】,【作为wan 口】,以上表示这个接口要启用,而且是一个外网口。

点选【路由】,表示这个接口是个三层接口,可以配置IP 或者设置拨号。

点选【静态IP】可以设置运营商下发的公网IP和子网掩码,点选【ADSL】可以设置运营商下发的用户名和密码。

3> 还有四个可选选项【SSH】【PING 】【WEB】【SNMP 】,这四个选项表示可以通过什么方式登陆设备的这个

接口来管理设备,按需求选择,一遍只勾选前三个。

【允许访问的IP】表示允许那些地址通过以上三种方式从这个接口登陆来访问设备。默认为所有IP 都可以

注意:当有多个外网口时,每个外网口都按照以上步骤进行设置。

3.2. 内网口配置内网口设置大体上都和外网口设置相同,其中需要注意几点:1> 不要勾选【作为WAN 口】

2>内网口一般都是点选[【静态IP】,设置一个相应的内网地址,也就是内网网关

3> 外网口可以禁止用户登陆管理,但是内网口一般需要开放管理权限

4> 内网口也可以设置多个,每个内网口的设置要求都是相同的

3.3. SNAT 设置

网关模式下,除了内外网口的设置以外,还需要SNAT 设置。这个和网康ICG 产品的网关模式部署不同,ICG 是默认就设置好的。SNAT 就是源地址映射,允许地址可以上网,

1> 点击【策略配置】- 【地址转换】-【新建】- 【源地址转换】,如下图

2> 源地址转化配置面板如下图。名称,描述随便写,优先级默认,然后点击策略选项的【原始数据包】勾选

【源地址】,【出接口】。如下图。

3> 然后点击【转换后数据包】,勾选【源地址转换为出接口地址】,如下图。

4> 勾选好策略选项后,看一下策略内容,然后点击策略内容里面源地址属于后面的【选择地址】

按钮,弹出下面设置面板,在这里点击【新建】-【地址对象】。把内网网段设置进去,注意子网掩码的设置不要错。如下图。

5>设置好源地址后点击策略内容的【选择接口】按钮,勾选之前设置的内网口,如下图。

6>设置好后,源地址转换面板如下图。确定之后就设置好源地址转换了。

34安全策略设置

1>设置好源地址转换后还要设置安全策略。

点击【策略配置】-【安全策略】-【新建】,如下图。

2>打开安全策略配置面板。名称描述随便填写,优先级默认。分别点击策略条件的【源】勾选【源地址】,点击【目的】勾选【目的地址】,点击【动作】勾选【动作:允许或阻止】,勾选好后,策略内容如下图。

3>点击策略内容的指定源地址后面的【选择地址】,选择之前设置的内网地址。如下图。

4>然后点击策略内容指定目的地址后面的【选择地址】,在弹岀的地址对象设置框里面点击【新建】,新建一个包含所有的IP地址对象,添加方法如下图,注意地址的点写方法,只能这么填写。

5>添加好源地址与目的地址之后,策略内容如下图。确定之后就添加完成了安全策略。

3.5.路由设置

设置好源地址转换,安全策略之后,就剩下最后一步,添加默认路由了。

1>点击【网络配置】-【路由】-【静态路由】-【新建】如下图。新建一条静态路由。注意目的IP那里只有如图上一种设置方法,下一跳IP那里设置为外网口的下一条。管理距离默认。如下图。添加完后点击确定即可

相关文档
最新文档