飞塔配置

修改系统DNS设置
2 1
四、添加静态路由
Baidu Nhomakorabea
3 1 2
注意： 只有外网口使用静态IP方式的情况下，才会需要手动添加静态路由，PPOE拨号方式下， 是不需要设置静态路由的。
添加路由具体配置
1
1. 目的地址，通常是8个0. 2. 设备：是指使用这条路由的接口，本例中，wan1使用静态IP方式上网，所以选择 wan1. 3. 网关：网络运营商在提供静态IP方式的时候，提供的网关地址。 4. 管理距离和优先级是用来做链路负载均衡用的。同样的管理距离和优先级的话， 防火墙会按照1:1的比例，按会话均分流量。优先级则决定了路由选择顺序。单 条线路，则默认即可。
添加VPN用户详情
1 2
八、创建VPN用户组并将用户添加入用户组
2
1
这个用户组是要关联到VPN的阶段一里的。。。注意后面的设置。
添加VPN用户组详情
1
2
3
九、创建VPN阶段1
3
1 2
VPN阶段1设置详情
1 2 3 这里要注意： 1. 远程网关：这个一般会有2种常用方 式：静态IP、连接用户。静态IP是用 来做端对段的VPN通道互连的，连接 用户即为客户端到VPN设备的拨号连 接。 2. 本地接口：VPN链接进来的接口，也 是配置了DHCP的接口。 3. 模式：默认就可以。 4. 预共享密钥：这个在配置客户端的 时候会用上。 5. XAUTH：拓展身份验证，也可以不开 启，这样用户链接VPN的时候就不会 弹出输入用户名密码的身份验证界 面。 6. 用户组：这个是VPN用户身份验证的 用户组。新建的VPN用户，必须要记 住添加到该组中，否则身份验证无 法完成。 5 6
飞塔典型配置
一、修改外网接口
1
4
3 2
1. 100A以下型号的新防火墙默认是开启了内网的DHCP的，即将PC网卡设置为“自动 获得”，并接入防火墙内网接口，即可获得1段IP地址。（新设备使用4.2系统的话， 也可能没有启用DHCP，这时需要手动将PC网卡设置到192.168.1.0网段）使用： https://192.168.1.99，管理员用户名：admin，密码为空，登陆飞塔管理界面。 2. 配置网络的第一步是修改WAN口配置。当然，在高型号的防火墙上，是没有WAN 和LAN的分别的，飞塔的4.2后面的系统，修改任何配置，都是要先勾选要修改项前 面的方框，然后将鼠标移动到上方4所示的“编辑”上进行编辑。
1
2、添加VPN放出策略详情
1 2 1. 2. 3. 4. 源/目的接口 源/目的地址 动作：一定要是IPSEC. VPN隧道：选择建立的vpn
十二、配置VPN客户端
1 2
5 3 4 6
1. 手动ipsec 2. 远程网关：VPN链接的WAN口地址 3. 远程网络：VPN将要访问的远端的局域网网段，对防火墙配置者来说，即为 公司内部网段。 4. 预共享密钥 5. 获取虚拟IP和扩展身份验证开启。
外网接口具体配置
外网口配置需要注意的几个 方面： 1. 别名：别名是用来方便我 们管理人员了解该网口的 实际意义的，建议以网络 实际意义来命名。 2. 地址模式：即上网方式。 分为静态IP、PPOE拨号及 DHCP，常用为前面2种， 静态IP，网络运营商会提 供详细的IP、掩码、网关 及DNS信息。PPOE则会提 供拨号的账号及密码。 3. 管理访问：这个是定义我 们管理员从指定接口访问 防火墙设备的方式的。一 般对外网口来说是只需开 通ping即可。如需远程支 持，则可开通其他方式。
十三、端口转发
3 1
2
端口转发是通过“虚拟IP”实现的。
12.1 虚拟IP具体配置
1. 2. 3. 4. 5. 6. 7. 8.
名称：建议用有意义的字符串做名称 外部接口：这个是外部数据进入的接口 外部IP地址范围：这个是外面访问使用的公网地址 映射的IP地址范围：内部服务器的内部地址 勾选端口转发 选择协议 外部端口 映射到的内部端口
1 2
3
二、修改内网接口配置
3 2 1
内网接口实际上是一个管理地址来的，它定义了一个从internal接口（也可能叫switch） 访问防火墙设备的地址。飞塔默认的内网IP是192.168.1.99，如果企业实际应用需要 改IP，而且需要飞塔设备承担DHCP的任务，则必须同时修改内网DHCP设置，保持设 置IP一致，否则会出现无法分配到IP的情况。
VPN使用DHCP设置详情
1 2
这个地方的配置要注意： 1. 接口名称：VPN接入进来的WAN口。 2. 模式：服务器 3. 类型：ipsec
七、添加VPN用户
3
1 2
VPN用户，是设置在防火墙的本地用户，用来在VPN链接过程中增强身份验证用的。 这个要注意，添加了用户后，一定要记得把用户添加到防火墙的用户组里，并且在 VPN的阶段一中指定该用户组，详见后面的配置。
五、添加放出的防火墙策略
防火墙策略是决定了内网数据能否出去的关键。在低端设备上，默认会有一条all to all 的放过策略，所以做完上面的步骤就可以通过防火墙上网了。但是，要注意方向，在 60C上，有2个wan口，默认的放过策略是在internal->wan1的，如果外网口使用的是 wan2，则必须手动添加条internal->wan2的放过策略。 防火墙流量发生过程，实际上是有流量到达防火墙后，防火墙会逐一匹配所有策略， 看能否找到匹配策略，而且防火墙有条隐式策略是all to all的拒绝。所以，如果没有显 式地配置放过策略，是会被防火墙拒绝通过的。
放出内网访问策略详情
1 2
3
上面需要注意的问题有： 1. 源与目的接口。这个就是防火墙的数据流向。 2. 源与目的地址。在后面配置VPN策略的时候，会用到。 3. NAT：注意默认是不启用的，一般是要启用起来。
六、添加VPN用户DHCP
2
1
IPSEC VPN会需要由接入的WAN口设备提供DHCP，从而获得远端IP。这个DHCP是要配置 在VPN链接进来的WAN口上的。
12.2 添加端口映射防火墙放过策略
1
1. 源/目的端口：数据发生流向是从外网到内网，所以源接口是wan，目的接口是 inetrnal接口。 2. 目的地址：这个要注意，选择上一步里添加的虚拟IP。 3. NAT：这个一定要注意，普通的防火墙策略必须要开启NAT，但是端口映射防火墙 策略不能启用NAT
4
十、创建VPN阶段2
2
1
VPN阶段2详情
1
2
要注意： 1. 阶段一：要选择前面阶段一的名字。 2. DHCP-IPSEC：这个要启用。
十一、创建VPN放出策略
前面有说过，如果要数据可以出去，就必须要有相应的策略放过。
1.添加策略引用地址
2 这个地址是为了管理上的方便添加 的。如果是为了简单，可以省略这 一步，在后面添加策略的时候，直 接选择all地址即可。
内网接口具体配置
1
2
内网口的配置 跟外网口需要 注意的地方是 相似的，可参 照外网口注意 事项。
三、修改内网DHCP
3 2
1
内网DHCP，是给没有DHCP设备的企业做DHCP服务器用的，如果企业内部有DHCP服 务器，则可以将内网DHCP删除。
DHCP具体配置
1
2
DHCP配置有2点要特别注意： 1. 模式：一般是服务器模式。 2. 类型：2种，因为飞塔含IPSEC VPN功能，所以DHCP有IPSEC类型。 3. DNS服务器：可以在分配IP地址的时候指定DNS服务器，也可以利用系统设置的 DNS。修改系统DNS见下图。