您的位置:360文档中心› 神州数码DCFW-1800 防火墙快速配置

神州数码DCFW-1800 防火墙快速配置

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

多核防火墙快速配置手册

防火墙配置一:SNAT配置 (2)

防火墙配置二:DNAT配置 (5)

防火墙配置三:透明模式配置 (11)

防火墙配置四:混合模式配置 (14)

防火墙配置五:DHCP配置 (17)

防火墙配置六:DNS代理配置 (19)

防火墙配置七:DDNS配置 (21)

防火墙配置八:负载均衡配置 (24)

防火墙配置九:源路由配置 (26)

防火墙配置十:双机热备配置 (28)

防火墙配置十一:QoS配置 (32)

防火墙配置十二:Web认证配置 (36)

防火墙配置十三:会话统计和会话控制配置 (44)

防火墙配置十四:IP-MAC绑定配置 (46)

防火墙配置十五:禁用IM配置 (48)

防火墙配置十六:URL过滤配置 (50)

防火墙配置十七:网页内容过滤配置 (54)

防火墙配置十八:IPSEC VPN配置 (58)

防火墙配置十九:SSL VPN配置 (65)

防火墙配置二十:日志服务器配置 (74)

防火墙配置二十一:记录上网URL配置 (76)

防火墙配置二十二:配置管理及恢复出厂 (79)

防火墙配置二十三:软件版本升级 (82)

防火墙配置一:SNAT配置一、网络拓扑

网络拓扑

二、需求描述

配置防火墙使内网192.168.1.0/24网段可以访问internet

三、配置步骤

第一步:配置接口

首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui登录防火墙界面

输入缺省用户名admin,密码admin后点击登录,配置外网接口地址

内口网地址使用缺省192.168.1.1

第二步:添加路由

添加到外网的缺省路由,在目的路由中新建路由条目

添加下一条地址

这里的子网掩码既可以写成0也可以写

成0.0.0.0,防火墙会自动识别

第三步:添加SNAT策略

在网络/NAT/SNAT中添加源NAT策略

第四步:添加安全策略

在安全/策略中,选择好源安全域和目的安全域后,新建策略

关于SNAT ,我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。

如果是需要对于策略中每个选项有更多的配置要求可以点击高级配置进行编辑

防火墙配置二:DNAT 配置

一、网络拓扑

Web ServerA

192.168.10.2/24

二、需求描述

1、 使用外网口IP 为内网FTP Server 及WEB ServerB 做端口映射,并允许外网用户访问该

Server 的FTP 和WEB 服务,其中Web 服务对外映射的端口为TCP8000。 2、 允许内网用户通过域名访问WEB ServerB(即通过合法IP 访问)。

3、 使用合法IP 218.240.143.220为Web ServerA 做IP 映射,允许内外网用户对该Server

的Web 访问。

三、配置步骤

要求一:外网口IP 为内网FTP Server 及WEB ServerB 做端口映射并允许外网用户访问该Server 的FTP 和WEB 服务,其中Web 服务对外映射的端口为TCP8000。

第一步:配置准备工作

1、设置地址簿,在对象/地址簿中设置服务器地址

使用“IP 成员”选项定义Trust 区域的server 地址

2、 设置服务簿,防火墙出厂自带一些预定义服务,但是如果我们需要的服务在预定义中不

包含时,需要在对象/服务簿中手工定义

因为此处定义的TCP8000端口将来为HTTP 应用,所以要需要与应用类型管理,以便让防火墙知道该端口为HTTP 业务使用

第二步:创建目的NAT

配置目的NAT,为trust 区域server 映射FTP(TCP21)和HTTP(TCP80)端口

此地址即外网用户要访问的合

法IP 。因为使用防火墙外网口IP 映射,所以此处引用防火墙中缺省定义的地址对象ipv4.ethernet0/1。该对象表示Eth0/1接口IP

代表内网服务器的实际地址对象

webB Server

对外宣布

web 务端口为

TCP8000

第三步:放行安全策略

创建安全策略,允许untrust 区域用户访问trust 区域server 的FTP 和web 应用 关于服务项中我们这里放行的是FTP 服务和TCP8000服务

要求二:允许内网用户通过域名访问WEB ServerB(即通过合法IP 访问)。 实现这一步所需要做的就是在之前的配置基础上,增加Trust -> Trust 的安全策略

要求三:使用合法IP 218.240.143.220为Web ServerA 做IP 映射,允许内外网用户对该Server 的Web 访问。 第一步:配置准备工作

1、将服务器的实际地址使用web_serverA 来表示

使用“IP 成员”选项定义DMZ 区域的server 地址

2、将服务器的公网地址使用IP_218.240.143.220来表示

使用“IP成员”选

项定义要映射的

合法IP

第二步:配置目的NAT

创建静态NAT条目,在新建处选择IP映射

第三步:放行安全策略

1、放行untrust区域到dmz区域的安全策略,使外网可以访问dmz区域服务器

相关文档
最新文档