明御安全网关快速配置手册

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

目录

防火墙配置一:SNAT配置 (3)

防火墙配置二:DNAT配置 (5)

防火墙配置三:透明模式配置 (10)

防火墙配置四:混合模式配置 (13)

防火墙配置五:DHCP配置 (16)

防火墙配置六:DNS代理配置 (17)

防火墙配置七:DDNS配置 (19)

防火墙配置八:负载均衡配置 (21)

防火墙配置九:源路由配置 (23)

防火墙配置十:双机热备配置 (24)

防火墙配置十一:IP-QoS配置 (27)

防火墙配置十二:应用QoS配置 (30)

防火墙配置十三:Web认证配置 (33)

防火墙配置十四:会话控制配置 (39)

防火墙配置十五:IP-MAC绑定配置 (40)

防火墙配置十六:禁用IM配置 (42)

防火墙配置十七:URL过滤配置 (44)

防火墙配置十八:网页内容过滤配置 (48)

防火墙配置十九:基于路由静态IPSEC配置 (50)

防火墙配置二十:基于路由动态IPSEC配置 (55)

防火墙配置二十一:基于策略静态IPSEC配置 (64)

防火墙配置二十二:SSLVPN配置 (72)

防火墙配置二十三:防病毒配置 (77)

防火墙配置二十四:IPS配置 (81)

防火墙配置二十五:日志服务器配置 (84)

防火墙配置二十六:邮件形式输出日志信息 (86)

防火墙配置二十七:记录上网URL日志配置 (88)

防火墙配置二十八:Web外发信息控制 (89)

防火墙配置二十九:配置管理及恢复出厂 (92)

防火墙配置一:SNAT配置

一、网络拓扑

二、需求描述

配置防火墙使内网192.168.1.0/24网段可以访问internet

三、配置步骤

第一步:配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置,通过Webui登录防火墙界面如下:

输入缺省用户名admin,密码adminadmin后点击登录,配置外网接口地址

内口网地址使用缺省192.168.1.1

第二步:添加路由

添加到外网的缺省路由,在目的路由中新建路由条目并添加下一条地址

第三步:添加SNAT策略在网络/NAT/源

NAT中添加源NAT策略

第四步:添加安全策略在安全/策略中,选择好源安全域和目的安全域后,新建策略

防火墙配置二:DNAT配置

一、网络拓扑

192.168.10.2/24

二、需求描述

1、使用外网口IP为内网FTPServer及WEBServerA做端口映射,并允许外网用户访

问该Server的FTP和WEB服务,其中Web服务对外映射的端口为TCP8000。

2、允许内网用户通过域名访问WEBServerA(即通过合法IP访问)。

3、使用合法IP218.240.143.220为WebServerB做IP映射,允许内外网用户对该Server的Web访问。

三、配置步骤

要求一:外网口IP为内网FTPServer及WEBServerA做端口映射并允许外网用户访问该Server的FTP和WEB服务,其中Web服务对外映射的端口为TCP8000。

第一步:配置准备工作

1、设置对象用户/地址簿,在地址簿中设置服务器地址

2、设置服务簿,防火墙出厂自带一些预定义服务,如果我们需要的服务在预定义中不包含时,需要在对象用户/服务簿中手工定义

第二步:创建目的NAT

配置目的NAT,为trust区域server映射FTP(TCP21)和HTTP(TCP80)端口

第三步:放行安全策略

创建安全策略,允许untrust 区域用户访问trust 区域server 的FTP 和web 应用关于服务项中我们这里放行的是ftp 服务和tcp-8000服务

要求二:允许内网用户通过域名访问WEBServerA(即通过合法IP 访问)。实现这一步所需要做的就是在之前的配置基础上,增加Trust->Trust 的安全策略。

要求三:使用合法IP218.240.143.220为WebServerB做IP映射,允许内外网用户对该Server的Web访问。

第四步:配置准备工作

1、将服务器的实际地址使用web_serverB来表示

2、将服务器的公网地址使用IP_218.240.143.220来表示

第五步:配置目的NAT

创建静态NAT条目,在新建处选择IP映射

第六步:放行安全策略

1、放行untrust区域到dmz区域的安全策略,使外网可以访问dmz区域服务器

2、放行trust区域到dmz区域的安全策略,使内网机器可以公网地址访问dmz区域

内的服务器

防火墙配置三:透明模式配置

一、网络拓扑

二、需求描述

1、防火墙eth6接口和eth7接口配置为透明模式

2、eth6与eth7同属一个虚拟桥接组,eth6属于l2-trust安全域,eth7属于l2-untrust安全域。

3、为虚拟桥接组Vswitch1配置ip地址以便管理防火墙

4、允许网段Aping网段B及访问网段B的WEB服务

三、配置步骤

第一步:接口配置

将eth6接口加入二层安全域l2-trust

✍DAS-GATEWAY(config)#interfaceethernet0/6

✍DAS-GATEWAY(config-if-eth0/6)#zonel2-trust

将eth7接口设置成二层安全域l2-untrust

相关文档
最新文档