第四十二讲：神州防火墙路由模式的初始配置

      防火墙作为局域网的智能网关，处于内网和外网之间，必须工作在路由模式。路由模式下，防火墙上添加默认路由，配置SNAT转换，隐藏私有地址，内部用户正常访问外网。从安全考虑，内网处于trust区域，外网处于untrust区域，制定安全策略保护内网数据。

实验拓扑图如下所示

配置要求：

         1．防火墙内网接口e0/0加入trust安全域，使用默认的地址 192.168.1.1 /24,外网接口加入untrust域，使用公网地址222.1.1.1/24。

         2．防火墙内网接口e0/0开启DHCP和DNS代理服务，为内网用户提供IP地址和DNS代理。

配置步骤：

         一、接口地址配置

         1.访问防火墙主页面中的“网络”->“网络连接”

        2.勾选要配置的接口ethernet0/1，点击“编辑”按钮，弹出的对话框中，为其绑定安全域为“三层安全域”，然后加接口加入到untrust区域，在下面的“IP配置”中选择“静态IP”,然后输入为其分配的IP地址和子网掩码

二、配置防火墙DHCP功能

         1在接口Ethenent0/0的配置界面上，点击“DHCP”按钮，选择“新建”，选择“DHCP服务器”，添加地址池，设置网关、网络掩码、DNS后点击确定即可。

         2. 如果需要为某主机指定 ip 地址，可以点击图中的“地址绑定”面板，输入要绑定的IP地址与MAC地址，所绑定的IP地址必须要在地址池中。

         3．测试。内网 PC 使用自动获取 IP 地址的方式来获取 IP 地址，可以看到 PC 已经获取到192.168.1.100 的 IP 地址网关为 192.168.1.1，实现了IP地址绑定。

 

三、添加路由

       添加到外网的缺省路由，允许访问所有的外部网络，下一跳地址为防火墙外网口的网关地址，这个地址应该在ISP设备上。访问防火墙主页面的菜单，依次选择“网络”->“路由”—>“目的路由”菜单项，在“新建路由”页面新建一条默认路由条目并添加下一跳地址。

四、添加SNAT策略

      内网用户众多，都使用私有地址，在访问外网时，使用源NAT转换，所有的私有地址都转换为防火墙外网接口e0/1的公网地址222.1.1.2。访问防火墙主页面左侧“网络”->“NAT”->“源NAT”中添加源NAT策略

五、添加内网到外网安全策略

      内网处于三层trust安全域，外网处于三层untrust安全域，防火墙默认不同安全域之间是不能访问的。在此为了让内网用户能够顺利访问外网，建立trust到untrust的安全策略，放行内网到外网的流量。

      访问主页面的“安全”->“策略”菜单项，新建一条策略，选择从trust到untrust，放行所有数据流量.

      至此，防火墙的路由模式初始配置完成，内网用户可以访问外网，外网不能访问内网。既保证了内网用户的上网需求，又隐藏了内网的数据与信息。