防火墙典型配置案例集

eth5为外网口指定IP为10.0.0.21 eth6为内网口指定IP为10.1.8.254其中外网网关为10.0.0.254，内网网关为
第一步：找根直通线连接VPN默认配置口eth0 192.168.1.254
配置网络管理-接口设置相应eth5 eth6
第二步：添加路由网络管理-路由-添加
添加所有的地址出口为外网出口eth5，从网关10.0.0.254 出去
第三步：资源管理-区域添加两个网口
第四步：
防火墙-访问控制-添加组
第五步：
防火墙-地址转换-添加
任意的10.1.8.0子网访问任意地址，都从eth5出去第六步：
网络管理-dhcp
看需求来添加是否需要自动获取IP
第七步：
系统管理-配置-开放服务
开放添加的两个端口的ping webui,外网开updata 内网开dhcp
到此，从eth6下面链接的电脑都可以自动分配IP（10.1.8.网段），且可以访问局域网内IP。

V5防火墙开局配置基本上网功能配置案例第一步：使用随设备配置的配置线缆，将线缆网线口连接在防火墙的CON口上，将另一端的COM 口连接在电脑上，然后通过XP系统自带的超级终端或secureCRT 软件来登陆设备的命令行配置界面。

1.1通过XP系统的电脑的超级终端登录设备命令行界面：在电脑开始菜单选择“程序”----“附件”-----“通讯”-----“超级终端”，打开超级终端后，按照如下步骤操作：图2-3 新建连接图2-4 连接端口设置图2-5 端口通信参数设置按照如上步骤操作完之后，点击确定，在命令行中敲入几下回车，当现实<H3C>显示的时候，表示已经成功进入到设备的命令行操作页面。

1.2 通过secureCRT 软件登陆设备的命令行您可以在网上自行下载该软件（建议您下载汉化破解版），然后按如下所示登陆设备命令行：按照如上配置，点击链接后，出现<H3C>模式说明成功进入命令行配置页面。

2.在通过如上两种方式进入到设备命令行之后，请您按照如下显示输入命令。

<H3C><H3C><H3C><H3C><H3C><H3C>system-viewSystem View: return to User View with Ctrl+Z.[H3C]interzone policy default by-priority[H3C]敲完如上命令后，您就可以通过网线，一端连接您电脑的网线插口，一端连接防火墙的GE0号口，将电脑的IP地址修改为192.168.0.10 掩码为255.255.255.0打开一个浏览器（建议使用IE浏览器）在地址栏输入192.168.0.1会显示如下页面：用户名和密码默认为：admin输入用户名密码和验证码后，点击登录即可登陆到设备的WEB管理页面。

第二步：登陆设备后，将1口设置为W AN口连接外网，2口设置为LAN口，连接内网，配置上网操作步骤如下：1.将接口添加到安全域：1.1将1号口加入untrust域1.2 将2号口加入trust 域：2.配置公网接口IP地址及指网关2.1固定IP地址上网方式（如果您是通过拨号上网，请跳过此部分，直接看2.2）2.1.1配置运营商分配的公网地址2.1.2 配置默认路由指向公网网关2.2拨号方式上网（如果您是固定IP地址方式上网，请跳过此章节）2.2.1配置拨号口信息2.2.2 配置默认路由指向拨号口3.配置内网口地址4.配置DNS 地址信息4.1.1开启设备DNS 代理和DNS 动态域名解析功能4.1.2 配置运营商DNS 地址（如果您是固定IP 地址方式上网，运营商会给您相应的DNS 地址，如果是拨号方式上网，那只需开启DNS 代理功能即可，动态域名解析功能可以不用开启，也不需要设置DNS 服务器IP 地址）4.1.3配置nat动态地址转换：配置acl 2001匹配内网的源ip地址网段，然后做nat动态地址转换，如果是静态公网ip，或者是动态获取的ip地址，请选择宽带连接的物理接口；如果是拨号上网，请选择dialer口，转换方式选择easy ip。

SecPath系列防火墙IPSec典型配置举例关键词：IKE、IPSec摘要：本章首先介绍了IKE和IPSec的基本概念，随后说明了防火墙的配置方法，最后给出两种典型应用的举例。

缩略语：缩略语英文全名中文解释IKE Internet Key Exchange 因特网密钥交换Security IP网络安全协议IPsec IP目录1 特性简介 (3)1.1 IPSec基本概念 (3)1.1.1 SA (3)1.1.2 封装模式 (3)2 应用场合 (4)3 配置指南 (4)3.1 配置概述 (4)3.2 配置ACL (6)3.3 配置IKE (6)3.3.1 配置IKE全局参数 (6)3.3.2 配置IKE安全提议 (7)3.3.3 配置IKE对等体 (8)3.4 IPSec安全提议 (10)3.5 配置安全策略模板 (12)3.6 配置安全策略 (14)3.7 应用安全策略组 (16)4 配置举例一：基本应用 (17)4.1 组网需求 (17)4.2 使用版本 (18)4.3 配置步骤 (18)4.4 配置结果验证 (27)4.4.1 查看IPSec安全联盟 (27)4.4.2 查看报文统计 (27)5 配置举例二：与NAT结合 (27)5.1 组网需求 (27)5.2 配置说明 (28)5.3 配置步骤 (28)5.4 配置验证结果 (34)5.4.1 查看IPSec安全联盟 (34)5.4.2 查看报文统计 (35)6 注意事项 (35)7 相关资料 (35)7.1 相关协议和标准 (35)7.2 其它相关资料 (36)1 特性简介IPsec（IP Security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。

特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

IPsec通过AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）这两个安全协议来实现上述目标，并且还可以通过IKE（Internet Key Exchange，因特网密钥交换协议）为IPsec提供自动协商交换密钥、建立和维护安全联盟的服务，以简化IPsec 的使用和管理。

天融信防火墙配置实例
eth5为外网口指定IP为10.0.0.21 eth6为内网口指定IP为10.1.8.254 其中外网网关为10.0.0.254，内网网关为
第一步：找根直通线连接VPN默认配置口eth0 192.168.1.254 配置网络管理-接口设置相应eth5 eth6
第二步：添加路由网络管理-路由-添加
添加所有的地址出口为外网出口eth5，从网关10.0.0.254 出去第三步：资源管理-区域添加两个网口
第四步：
防火墙-访问控制-添加组
第五步：
防火墙-地址转换-添加
任意的10.1.8.0子网访问任意地址，都从eth5出去第六步：
网络管理-dhcp
看需求来添加是否需要自动获取IP
第七步：
系统管理-配置-开放服务
开放添加的两个端口的ping webui,外网开updata 内网开dhcp
到此，从eth6下面链接的电脑都可以自动分配IP（10.1.8.网段），且可以访问局域网内IP。

本文为大家介绍一个H3C防火墙的配置实例，配置内容包括：配置接口IP地址、配置区域、配置NAT地址转换、配置访问策略等，组网拓扑及需求如下。

1、网络拓扑图2、配置要求1）防火墙的E0/2接口为TRUST区域，ip地址是：192.168.254.1/29；2）防火墙的E1/2接口为UNTRUST区域，ip地址是：202.111.0.1/27；3）内网服务器对外网做一对一的地址映射，192.168.254.2、192.168.254.3分别映射为202.111.0.2、202.111.0.3；4）内网服务器访问外网不做限制，外网访问内网只放通公网地址211.101.5.49访问192.168.254.2的1433端口和192.168.254.3的80端口。

3、防火墙的配置脚本如下<H3CF100A>dis cur#sysname H3CF100A#super password level 3 cipher 6aQ>Q57-$.I)0;4:\(I41!!!#firewall packet-filter enablefirewall packet-filter default permit#insulate##firewall statistic system enable#radius scheme systemserver-type extended#domain system#local-user net1980password cipher ######service-type telnetlevel 2#aspf-policy 1detect h323detect sqlnetdetect rtspdetect httpdetect smtpdetect ftpdetect tcpdetect udp##acl number 3001description out-insiderule 1 permit tcp source 211.101.5.49 0 destination 192.168.254.2 0 destination-port eq 1433 rule 2 permit tcp source 211.101.5.49 0 destination 192.168.254.3 0 destination-port eq www rule 1000 deny ipacl number 3002description inside-to-outsiderule 1 permit ip source 192.168.254.2 0rule 2 permit ip source 192.168.254.3 0rule 1000 deny ip#interface Aux0async mode flow#interface Ethernet0/0shutdown#interface Ethernet0/1shutdown.#interface Ethernet0/2speed 100duplex fulldescription to serverfirewall packet-filter 3002 inboundfirewall aspf 1 outbound#interface Ethernet0/3shutdown#interface Ethernet1/0shutdown#interface Ethernet1/1shutdown#interface Ethernet1/2speed 100duplex fulldescription to internetfirewall packet-filter 3001 inboundfirewall aspf 1 outboundnat outbound static#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/2set priority 85#firewall zone untrustadd interface Ethernet1/2set priority 5#firewall zone DMZadd interface Ethernet0/3set priority 50#.firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#ip route-static 0.0.0.0 0.0.0.0 202.111.0.30 preference 60 #user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode scheme#return。

思科pix防火墙配置实例大全在配置PIX防火墙之前，先来介绍一下防火墙的物理特性。

防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口；当使用具有3个接口的防火墙时，就至少产生了3个网络，描述如下：内部区域（内网）：内部区域通常就是指企业内部网络或者是企业内部网络的一部分。

它是互连网络的信任区域，即受到了防火墙的保护。

外部区域（外网）：外部区域通常指Internet或者非企业内部网络。

它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。

停火区（DMZ）：停火区是一个隔离的网络，或几个网络。

位于停火区中的主机或服务器被称为堡垒主机。

一般在停火区内可以放置Web服务器，Mail服务器等。

停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。

注意：2个接口的防火墙是没有停火区的。

由于PIX535在企业级别不具有普遍性，因此下面主要说明PIX525在企业网络中的应用。

PIX防火墙提供4种管理访问模式：非特权模式。

PIX防火墙开机自检后，就是处于这种模式。

系统显示为pixfirewall>特权模式。

输入enable进入特权模式，可以改变当前配置。

显示为pixfirewall#配置模式。

输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。

显示为pixfirewall(config)#监视模式。

PIX防火墙在开机或重启过程中，按住Escape键或发送一个"Break"字符，进入监视模式。

这里可以更新*作系统映象和口令恢复。

显示为monitor>配置PIX防火墙有6个基本命令：nameif，interface，ip address，nat，global，route.这些命令在配置PIX时是必须的。

以下是配置的基本步骤：1. 配置防火墙接口的名字，并指定安全级别（nameif）。

(一) 三网口纯路由模式1 需求描述上图是一个具有三个区段的小型网络。

Internet 区段的网络地址是202.100.100.0，掩码是255.255.255.0；DMZ 区段的网络地址是172.16.1.0，掩码是255.255.255.0；内部网络区段的网络地址是192.168.1.0，掩码是255.255.255.0。

fe1 的IP 地址是192.168.1.1，掩码是255.255.255.0；fe3 的IP 地址是172.16.1.1，掩码是255.255.255.0；fe4 的IP 地址是202.100.100.3，掩码是255.255.255.0。

内部网络区段主机的缺省网关指向fe1 的IP 地址192.168.1.1；DMZ 网络区段的主机的缺省网关指向fe3 的IP 地址172.16.1.1；防火墙的缺省网关指向路由器的地址202.100.100.1。

WWW 服务器的地址是172.16.1.10，端口是80；MAIL 服务器的地址是172.16.1.11，端口是25 和110；FTP 服务器的地址是172.16.1.12，端口是21。

安全策略的缺省策略是禁止。

允许内部网络区段访问DMZ 网络区段和Internet 区段的http,smtp，pop3，ftp 服务；允许Internet 区段访问DMZ 网络区段的服务器。

其他的访问都是禁止的。

2 配置步骤1. 网络配置>网络设备>：编辑物理设备fe1，将它的IP 地址配置为192.168.1.1，掩码是255.255.255.0。

注意：fe1 默认是用于管理的设备，如果改变了它的地址，就不能用原来的地址管理了。

而且默认的管理主机地址是10.1.5.200，如果没有事先添加其它的管理主机地址，将会导致防火墙再也不能被管理了（除非用串口登录上去添加新的管理主机地址）。

其它设备默认是不启用的，所以配地址时要同时选择启用设备。

综合案例案例1：路由模式下通过专线访问外网路由模式下通过专线访问外网，主要描述总公司接入网络卫士防火墙后的简单配置，总公司的网络卫士防火墙工作在路由模式下。

（提示：用LAN 或者WAN 表示方式。

一般来说，WAN 为外网接口，LAN 为内网接口。

）图 1 网络卫士防火墙的路由模式网络状况：●总公司的网络卫士防火墙工作在路由模式。

Eth1 属于外网区域，IP 为202.69.38.8；Eth2 属于SSN 区域，IP 为172.16.1.1；Eth0 属于内网区域，IP 为192.168.1.254。

●网络划分为三个区域：外网、内网和SSN。

管理员位于内网中。

内网中存在3个子网，分别为192.168.1.0/24，192.168.2.0/24，192.168.3.0/24。

●在SSN 中有三台服务器，一台是HTTP 服务器（IP 地址：172.16.1.2），一台是FTP 服务器（IP 地址：172.16.1.3），一台是邮件服务器（IP 地址：172.16.1.4）。

用户需求：●内网的机器可以任意访问外网，也可访问SSN 中的HTTP 服务器、邮件服务器和FTP 服务器；●外网和SSN 的机器不能访问内网；●允许外网主机访问SSN 的HTTP 服务器。

配置步骤：1) 为网络卫士防火墙的物理接口配置IP 地址。

进入NETWORK 组件topsec# network配置Eth0 接口IP work# interface eth0 ip add 192.168.1.254 mask255.255.255.0配置Eth1 接口IP work# interface eth1 ip add 202.69.38.8 mask255.255.255.0配置Eth2 接口IP work# interface eth2 ip add 172.16.1.1 mask255.255.255.02）内网中管理员通过浏览器登录网络卫士防火墙，为区域资源绑定属性，设置权限。

在网络中，防火墙、交换机和路由器通常是网络安全的重要组成部分。

以下是一个简单的示例，演示如何配置一个具有防火墙功能的路由器和交换机。

请注意，实际配置可能会根据您的网络架构和设备型号而有所不同。

设备列表：路由器：使用Cisco设备作为示例，实际上可以是其他厂商的路由器。

路由器IP地址：192.168.1.1交换机：同样，使用Cisco设备作为示例。

交换机IP地址：192.168.1.2防火墙规则：允许内部网络向外部网络发出的通信。

阻止外部网络对内部网络的未经请求的通信。

配置示例：1. 配置路由器：Router(config)# interface GigabitEthernet0/0Router(config-if)# ip address 192.168.1.1 255.255.255.0Router(config-if)# no shutdownRouter(config)# interface GigabitEthernet0/1Router(config-if)# ip address [外部IP地址] [外部子网掩码]Router(config-if)# no shutdownRouter(config)# ip route 0.0.0.0 0.0.0.0 [外部网关]2. 配置防火墙规则：Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 anyRouter(config)# access-list 101 deny ip any 192.168.1.0 0.0.0.255Router(config)# access-list 101 permit ip any anyRouter(config)# interface GigabitEthernet0/1Router(config-if)# ip access-group 101 in3. 配置交换机：Switch(config)# interface Vlan1Switch(config-if)# ip address 192.168.1.2 255.255.255.0Switch(config-if)# no shutdown配置说明：路由器通过两个接口连接内部网络（192.168.1.0/24）和外部网络。

如何配置防火墙混合工作模式案例一：＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋注：缺省访问权限都允许的情况下，完成如下的配置即可具体的访问控制配置过程参考访问控制操作篇此环境中由路由器完成NAT（源地址转换）功能以实现共享上网＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋〖配置相应网口的工作模式以及IP地址〗TopsecOS# network interface eth0 no switchportTopsecOS# network interface eth0 ip add 192.168.7.165 mask 255.255.255.0 TopsecOS# network interface eth0 no shutdownTopsecOS# network interface eth1 switchportTopsecOS# network interface eth1 switchport mode accessTopsecOS# network interface eth1 switchport access-vlan 1TopsecOS# network interface eth1 no shutdownTopsecOS# network interface eth2 switchportTopsecOS# network interface eth2 switchport mode accessTopsecOS# network interface eth2 switchport access-vlan 1TopsecOS# network interface eth2 no shutdown配置完毕TopsecOS# network interface vlan.1 no shutdown配置完毕〖配置缺省路由〗TopsecOS# network route add dst 0.0.0.0/0 gw 192.168.7.1建议在此不要选择连接端口，让系统自动选择即可〖简单的配置各个网口区域的缺省策略后即可正常通讯〗TopsecOS# define area add name area_eth0 attribute 'eth0 ' access on TopsecOS# define area add name area_eth1 attribute 'eth1 ' access on TopsecOS# define area add name area_eth2 attribute 'eth2 ' access on++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++案例二：＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋注：缺省访问权限都允许的情况下，完成如下的配置即可具体的访问控制配置过程参考访问控制操作篇＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋〖配置相应网口的工作模式以及IP地址〗TopsecOS# network interface eth0 no switchportTopsecOS# network interface eth0 ip add 192.168.7.165 mask 255.255.255.0 TopsecOS# network interface eth0 no shutdownTopsecOS# network interface eth1 switchportTopsecOS# network interface eth1 switchport mode TrunkTopsecOS# network interface eth1 switchport trunk encapsulation dot1q TopsecOS# network interface eth1 switchport trunk native-vlan 1 TopsecOS# network interface eth1 switchport access-vlan 10TopsecOS# network interface eth1 switchport trunk allowed-vlan 1-1000 TopsecOS# network interface eth1 no shutdownTopsecOS# network interface eth2 switchportTopsecOS# network interface eth2 switchport mode accessTopsecOS# network interface eth2 switchport trunk encapsulation dot1q TopsecOS# network interface eth2 switchport trunk native-vlan 1 TopsecOS# network interface eth2 switchport access-vlan 30TopsecOS# network interface eth2 switchport trunk allowed-vlan 1-1000 TopsecOS# network interface eth2 no shutdownTopsecOS# network route add dst 0.0.0.0/0 gw 192.168.7.1〖简单的配置各个网口区域的缺省策略后即可正常通讯〗TopsecOS# define area add name area_eth0 attribute 'eth0 ' access on TopsecOS# define area add name area_eth1 attribute 'eth1 ' access on TopsecOS# define area add name area_eth2 attribute 'eth2 ' access on。

文档版本V4.0发布日期2016-01-20登录Web 配置界面Example9：应用控制（限制P2P 流量、禁用QQ ）Example8：基于用户的带宽管理Example7：SSL VPN 隧道接入（网络扩展）Example6：客户端L2TP over IPSec 接入（VPN Client/Windows/Mac OS/Android/iOS ）Example5：点到多点IPSec 隧道（策略模板）Example4：点到点IPSec 隧道Example3：内外网用户同时通过公网IP 访问FTP 服务器Example2：通过PPPoE 接入互联网Example1：通过静态IP 接入互联网目录341118263651116131141组网图缺省配置管理接口 GE0/0/0IP 地址 192.168.0.1/24 用户名/密码admin/Admin@123登录Web 配置界面6～810及以上配置登录PC 自动获取IP 地址1在浏览器中输入https://接口IP 地址:port2输入用户名/密码3Firewall192.168.0.*GE0/0/0192.168.0.1/24网口局域网内所有PC都部署在10.3.0.0/24网段，均通过DHCP动态获得IP地址。

企业从运营商处获取的固定IP地址为1.1.1.1/24。

企业需利用防火墙接入互联网。

项目数据说明DNS服务器 1.2.2.2/24 向运营商获取。

网关地址 1.1.1.254/24 向运营商获取。

23配置外网接口 参数45配置内网接口参数6123配置内网接口GE1/0/2的DHCP 服务，使其为局域网内的PC 分配IP 地址412134配置允许内网IP地址访问外网241新建源NAT ，实现内网用户正常访问Internet531、检查接口GigabitEthernet 1/0/1（上行链路）的连通性。

1查看接口状态是否为Up。

2、在内网PC上执行命令ipconfig /all，PC正确分配到IP地址和DNS地址。

华为USG2200系列防火墙配置案例以下是一份华为USG2200系列防火墙的配置案例：1.基本配置首先登录到防火墙的Web界面，在“系统”选项下进行基本的系统配置。

包括设定主机名、时区、DNS服务器和网关地址等。

2.网络配置在“网络”选项中进行网络配置。

设定防火墙的网络接口和IP地址。

可以设定多个网络接口，为不同的网络提供连接。

配置完成后，需要应用并重启防火墙。

3.防火墙策略在“安全策略”选项下进行防火墙策略的配置。

可以根据实际需求设置入站和出站规则，限制或允许特定的IP地址或端口访问。

可以设置默认的阻止或允许策略。

4.访问控制列表（ACL）在“ACL”选项中进行访问控制列表的配置。

可以创建不同的ACL规则，根据源和目的IP地址、端口和协议等进行过滤控制。

可以设置允许或阻止特定的流量通过。

5.网络地址转换（NAT）在“NAT”选项中进行网络地址转换的配置。

可以将内部私有IP地址映射到公网IP地址，实现内部网络与外部网络的通信。

配置时需要设置源和目的IP地址的转换规则。

6.入侵防御系统（IDS）在“IDS”选项中进行入侵防御系统的配置。

可以启用IDS功能，并设置规则、行为和告警等。

IDS可以监测和阻止可能的攻击行为，保护网络的安全。

7.虚拟专网（VPN）在“VPN”选项中进行虚拟专网的配置。

可以创建VPN隧道，实现不同地点的安全通信。

可以设置IPSec或SSL VPN，并配置相关的参数和安全策略。

8.日志和告警在“日志和告警”选项中进行日志和告警的配置。

可以设定日志记录的级别和方式，并设置告警的方式和内容。

日志和告警功能可以帮助管理员及时发现和处理安全事件。

以上只是一个简单的配置案例，实际情况可能会更加复杂。

华为USG2200系列防火墙拥有多种高级功能，如反病毒、应用控制、网页过滤等，可以根据具体需求进行配置。

总结起来，华为USG2200系列防火墙的配置步骤包括基本配置、网络配置、防火墙策略、ACL、NAT、IDS、VPN、日志和告警等。

深信服防火墙配置案例
一、操作场景
用户本地数据中心的出口防火墙选用深信服设备，同时在DMZ 区域旁路接入了一台IPsec-VPN设备，需要通过VPN接入云网络。

二、拓扑连接
1、拓扑连接方式：
（1）使用防火墙设备直接和云端建立VPN连接。

（2）使用DMZ区域的专用VPN设备结合NAT穿越与云端建立VPN连接。

VPN接入方式的配置指导，相关信息说明如下：本地数据中心VPN设备私网IP：10.10.10.14本地数据中心用户子网：
10.0.0.016，防火墙出口IP：11.11.11.224，公网网关：
11.11.11.1，VPN设备的NAT，IP：11.11.11.11，云端VPN网关IP：22.22.22.22，云端子网：172.16.0.016
现通过创建VPN连接方式来连通本地网络到VPC子网。

使用DMZ区域专用的VPN设备进行NAT穿越连接时，协商模式修改为野蛮模式；使用防火墙进行连接协商模式选择缺省。

配置IPsecVPN：选择“VPN大于IPsecVPN，第三方对接大于第一阶段”，确认线路出口（深信服设备会针对该接口自动下发VPN 路由信息），单击“新增”。

在弹窗界面配置一阶段基本信息和高级配置项（设备名称：自主命名一阶段连接名称，二阶段会调用此设
备名称下的相关配置。

设备地址类型：选择“对端是固定IP”。

固定IP：云端VPN网关IP，本实例IP：22.22.22.22 认证方式：预共享密钥，即PSK，与云端密钥相同。

启用设备启用主动连接：可选。

H3C F100防火墙配置实例要求：内网192.168.88.1外网192.168.33.1开启DHCP 通过地址转换内网电脑上网下面是我的H3C F100的硬件和软件版本H3C Comware SoftwareComware software, Version 3.40, Release 5102P02 Copyright (c) 2004-2009 Hangzhou H3C Technologies Co., Ltd.All rights reserved.Without theowner's prior written consent, no decompiling nor reverse-engineering shall be allowed.H3C SecPath F100-C-EI uptime is 0 week, 0 day, 0 hour,7 minutesCPU type: Mips IDT RC32365 150MHz64M bytes SDRAM Memory8M bytes Flash MemoryPcb Version:2.0Logic Version:1.0BootROM Version:1.17[SLOT 0] 5FE (Hardware)2.0, (Driver)2.0,(Cpld)1.0[SLOT 1] 1SE (Hardware)1.0, (Driver)1.0,(Cpld)1.01.打开防火墙包过滤firewall packet-filter enablefirewall packet-filter default permit2.添加接口至信任区（内网）和非信任区（外网）firewall zone trustadd interface Ethernet0/0firewall zone untrustadd interface Ethernet0/43.添加内网接口地址interface Ethernet0/0ip address 192.168.88.1 255.255.255.0 4.添加外网接口地址并添加默认路由interface Ethernet0/4ip address 192.168.33.99 255.255.255.0ip route-static 0.0.0.0 0.0.0.0 192.168.33.1 5.设置DHCP地址池并启用DHCP功能dhcp enabledhcp server ip-pool pool1network 192.168.88.0 mask 255.255.255.0gateway-list 192.168.88.1dns-list 222.85.85.856.设置内网的ACLacl number 2001rule 0 permit source 192.168.88.0 0.0.0.2557.设置NAT地址池nat address-group 1 192.168.33.99 192.168.33.998.在外网接口下开始地址转换interface Ethernet0/4nat outbound 2001 address-group 1 no-pat。

26.1 网络需求某企业需要对内网流量进行病毒防护26.2 网络拓扑防火墙：内网地址192.168.83.207 ，外网地址211.211.211.211内网网段为192.168.83.0/2426.3 配置流程（1）配置防火墙网络环境；（2）定义病毒防护策略；（3）配置防火墙安全策略，调用病毒防护策略。

26.4 配置步骤（1）配置防火墙接口地址，公网网关；进入【网络管理】-【网络接口】-【物理设备】，设置eth1和eth2为内外网口地址。

进入【路由管理】-【基本路由】-【默认路由】-新建，设置公网网关为211.211.211.254，内网网段直连防火墙内网口，内网PC网关和防火墙内网口IP一致，确保连通性没有问题。

（2）定义病毒防护策略系统提供了标准病毒防护策略模板供引用方便建立，修改特定的病毒防护策略，也可通过应用防护 -> 病毒防护 -> 自定义病毒特征自定义病毒特征，还可以通过防护 -> 病毒防护 -> 服务端口设置病毒检测的服务端口。

进入【应用防护】-【病毒防护】-【病毒防护策略】新建AV策略，一般调用标准病毒防护模板，然后对新策略进行适当的修改，构造适合不同环境不同安全级别的需求的病毒防护策略。

（3）配置防火墙安全策略，调用病毒防护策略进入【防火墙】-【地址】-【地址】-新建内网网段先定义内网网段，便于下一步的调用。

进入【防火墙】-【策略】-【安全策略】-放通内网上网的流量且调用所需的病毒防护策略源地址是内网网段，目的地址是任意，勾选包过滤日志，动作是允许，病毒防护策略调用之前定义好的AV策略，其他配置选项默认即可。

注意事项：如果防火墙病毒防护未生效，除了检查防火墙的配置，还需要到防火墙系统管理-> 维护 -> 模块许可确认是否购买了标准病毒防护特征升级，如果购买了，且AV特征库升级授权未到期，需要到系统管理 -> 维护 -> 系统升级处查看病毒防护的特征库是否升级到最新。

综合案例案例1：路由模式下通过专线访问外网路由模式下通过专线访问外网，主要描述总公司接入网络卫士防火墙后的简单配置，总公司的网络卫士防火墙工作在路由模式下。

（提示：用LAN 或者WAN 表示方式。

一般来说，WAN 为外网接口，LAN 为内网接口。

）图 1 网络卫士防火墙的路由模式网络状况：●总公司的网络卫士防火墙工作在路由模式。

Eth1 属于外网区域，IP 为202.69.38.8；Eth2 属于SSN 区域，IP 为172.16.1.1；Eth0 属于内网区域，IP 为192.168.1.254。

●网络划分为三个区域：外网、内网和SSN。

管理员位于内网中。

内网中存在3个子网，分别为192.168.1.0/24，192.168.2.0/24，192.168.3.0/24。

●在SSN 中有三台服务器，一台是HTTP 服务器（IP 地址：172.16.1.2），一台是FTP 服务器（IP 地址：172.16.1.3），一台是邮件服务器（IP 地址：172.16.1.4）。

用户需求：●内网的机器可以任意访问外网，也可访问SSN 中的HTTP 服务器、邮件服务器和FTP 服务器；●外网和SSN 的机器不能访问内网；●允许外网主机访问SSN 的HTTP 服务器。

配置步骤：1) 为网络卫士防火墙的物理接口配置IP 地址。

进入NETWORK 组件topsec# network配置Eth0 接口IP work# interface eth0 ip add 192.168.1.254 mask255.255.255.0配置Eth1 接口IP work# interface eth1 ip add 202.69.38.8 mask255.255.255.0配置Eth2 接口IP work# interface eth2 ip add 172.16.1.1 mask255.255.255.02）内网中管理员通过浏览器登录网络卫士防火墙，为区域资源绑定属性，设置权限。

防火墙配置案例一、场景设定。

假设咱有一个小公司网络，里面有办公电脑、服务器，还有员工们的手机等设备都连着公司的网络。

我们希望做到的是，让内部员工能正常上网办公、访问公司内部服务器，同时防止外面那些不怀好意的网络攻击。

二、防火墙设备选择（简单假设下）我们就选一个常见的企业级防火墙设备，比如某品牌的防火墙，它就像一个网络的大闸门，能决定哪些流量能进来，哪些得被拒之门外。

三、基本配置步骤。

1. 接口配置。

防火墙有好几个接口呢。

我们把连接外部网络（比如互联网）的接口叫做WAN接口，就像房子的大门对着外面的大街一样。

这个接口要配置好公网的IP地址，这是网络世界里别人能找到咱们公司网络的“门牌号”。

然后，还有连接内部办公网络的接口，叫LAN接口。

这个接口的IP地址就设成咱们内部网络的网段，比如说192.168.1.1/24，这就相当于公司内部各个办公室的地址范围。

2. 访问控制策略（ACLs）允许内部员工访问互联网。

我们就像给内部员工发通行证一样，设置一条规则：源地址是内部网络（192.168.1.0/24），目的地址是任何（0.0.0.0/0），端口是常见的80（用于网页浏览）、443（用于安全网页浏览）等，动作是允许。

这就好比告诉防火墙，公司里的小伙伴们想出去看看网页是可以的。

限制外部对内部服务器的访问。

假设公司有个Web服务器，IP地址是192.168.1.10。

我们只希望外部的人能通过80端口（HTTP）和443端口（HTTPS）访问这个服务器。

那我们就设置一条规则：源地址是任何（0.0.0.0/0），目的地址是192.168.1.10，端口是80和443，动作是允许。

其他端口和对内部其他设备的非授权访问都统统拒绝，就像只给来谈生意的人开了特定的会议室门，其他门都锁着不让进。

阻止恶意流量。

比如说，那些来自某些已知的恶意IP地址段的流量，我们就像看到坏蛋就把他们赶跑一样。

设置规则：源地址是那些恶意IP段，目的地址是我们内部网络任何地址，动作是拒绝。

1.1 防火墙典型配置举例1. 组网需求该公司通过一台Quidway路由器的接口Serial 0访问Internet，公司内部对外提供WWW、FTP和Telnet服务，公司内部子网为129.38.1.0，其中，内部FTP服务器地址为129.38.1.1，内部Telnet服务器地址为129.38.1.2，内部WWW服务器地址为129.38.1.3，公司对外地址为202.38.160.1。

在路由器上配置了地址转换，这样内部PC机可以访问Internet，外部PC可以访问内部服务器。

通过配置防火墙，希望实现以下要求：●外部网络只有特定用户可以访问内部服务器●内部网络只有特定主机可以访问外部网络在本例中，假定外部特定用户的IP地址为202.39.2.3。

2. 组网图图1-1防火墙配置的组网图3. 配置步骤# 打开防火墙功能。

[Quidway] firewall enable# 设置防火墙缺省过滤方式为允许包通过。

[Quidway] firewall default permit# 配置访问规则禁止所有包通过。

[Quidway] acl 101[Quidway-acl-101] rule deny ip source any destination any# 配置规则允许特定主机访问外部网，允许内部服务器访问外部网。

[Quidway-acl-101] rule permit ip source 129.38.1.4 0 destination any[Quidway-acl-101] rule permit ip source 129.38.1.1 0 destination any[Quidway-acl-101] rule permit ip source 129.38.1.2 0 destination any[Quidway-acl-101] rule permit ip source 129.38.1.3 0 destination any# 配置规则允许特定用户从外部网访问内部服务器。