【简介】网康防火墙上网设置与其它防火墙不同的是,除了接口、路由、策略设置之外,还需要设置地址转换才能上网。
接口与区域
首先我们需要将接口分别设置为外网口、内网口。
① 点击菜单【网络配置】-【接口与区域】,点击第一个接口 eth0。
② 我们通常会习惯性的将第一个接口作为外网口,内网口与外网口的区别就是“作为WAN口”打钩。如果是拨号宽带,ADSL就打钩,输入宽带帐号和密码。如果想从远程访问防火墙,WEB选项就打钩。
③ 如果是固定IP宽带,选择静态IP,输入宽带IP地址与掩码。拨号宽带和固定宽带设置有一个不同的地方,那就是拨号宽带不用设置静态路由,而固定宽带需要设置一条静态路由。
④ 设置完成eth0后,点击确定,会返回接口介面,这将选择 eth1 接口。
⑤ 只要“作为WAN口”没有打钩,接口就是内网接口,“启用”选项可以设置接口是否正在使用,对不用的接口,可以取消“启用”打钩,增加安全性。选择“静态IP”输入接口的IP地址与子网掩码。WEB选项打钩就可以从内网接口访问防火墙,这样在局域网内的电脑上就可以访问防火墙,不用跑到防火墙的边上连接Mgt口管理防火墙了。
⑥ 接口属于哪个区域也很重要,点击子菜单【区域】,选择“三层安全域”。
⑥ 相对于外网来说内网接口要安全很多,所以点击“添加”,将内网接口eth1选择加入。
⑦ 返回后选择“三层非安全域”。
⑧ 宽带网络不安全,这很好理解,点击“添加”,将外网接口eth0选择加入。
⑨ 内网、外网接口都配置好了,其实还有两个口可以用来配置内外网,根据实际情况配置。
地址对象
为了能够用IP地址对网络访问进行控制,我们需要建立常用的地址对象,有了对象后,使用时只要引用对象就可以了,这样修改IP地址时很方便。
① 点击菜单【网络配置】-【地址对象】,点击“新建”。
② 我们需要一个默认或任意地址对象,在设置外网地址时用得上。
③ 然后我们还设置一个内网地址对象,这样可以对访问对象进行限制。
④ 根据实际情况可以设置多个地址对象,特别是eth2,eth3也使用或内网有多个IP地址段的时候。
静态路由
如果是ADSL拨号宽带,每次连接会产生不同的IP地址,网关也是动态的,就不需要设置静态路由,但是固定IP宽带就需要设置静态路由。
① 点击菜单【网络配置】-【静态路由】,点击“新建”。
② 因为上网地址是没有固定的,所以目的IP输入0.0.0.0/0, 一下跳IP输入宽带的网关地址,管理距离通常设置为10。拨号宽带管理距离通常为5。
③ 记住ADSL拨号宽带不需要设置静态路由。如果有两根宽带,ADSL拨号宽带与固定IP宽带要同时使用,管理距离要设为相同数字。
地址转换
和其它设备不同,网康防火墙需要设置地址转换才能上网。
① 点击菜单【网络配置】-【地址转换】,点击“新建”后选择“源地址转换”。
② 随意输入一个名称,在源地址处点击添加,选择输入刚才建立的内网地址。
③ 选择【目的地址】,点击添加,选择输入任意地址。
④ 选择【出网口】,点击添加,选择输入eth0外网接口,并选择“转换为出接口地址”。
⑤ 这个地址转换的作用就是,当内网电脑通过外网接口上网的时候,会把内网地址(例如172.16.1.38)转换外网宽带地址,让对方以为只有一个地址在访问。起到隐藏内网IP地址的作用。
安全策略
最后一步就是建立允许访问外网的策略了,其实已经有三条默认的策略,包括上网策略,但是我们还是建一条上网策略,用以更细密的控制。
① 点击菜单【策略配置】-【安全策略】,点击“新建”。
② 在【源地址】处选择输入内网IP地址。
③ 在【源域】处选择输入三层安全域,也可以理解为内网接口。
④ 在【目地地址】处选择输入任意地址。
⑤ 在【目地域】处选择三层非安全域,也可以理解为外网接口,【用户】、【应用】和【服务】不用设置,保持默认,点击“确定”。
⑤ 策略建好后,点击右上角红色的“生效”,只有点了“生效”,所以的设置才会起作用。
⑥ 默认生效后同时保存配置。
⑦ 回到系统监控介面,ADSL拨号宽带得到了IP地址,说明拨号上网成功,内网、外网接口的上行与下行有数字,网页浏览也正常,表明上网设置成功!