目录
Ⅰ 配置基本上网(R5.5)
防火墙配置基本上网步骤:接口->路由->NAT->策略
配置举例
第一步:拓扑如下:要求内网192.168.1.0段可以访问外网。
第一步:配置接口
配置内网口:
选择内网插线口,勾选(仅勾选一个口)选择编辑,根据实际需求选择是二层还是三层的安全域和对应地址,本例中选择为trust,IP地址为192.168.1.1,勾选管理方式用以检测网络,若端口未勾选ping则此端口必定ping不通。其他设置默认无需更改。
配置外网口:
选择外网插线口,勾选(仅勾选一个口)选择编辑,选择三层安全域,选择地址为静态地址并填入地址和掩码,在实际使用中,客户可能不是向运营商购买的固定IP上网,而是选择PPPOE拨号上网,此时在IP配置里面的类型里面选择PPPOE,并填入运营商提供给客户的账号密码。
第二步配置路由
添加到外网的缺省路由,在目的路由中新建路由条目并添加下一条地址
第三步添加源NAT策略
新建源NAT规则:
点击“策略 > NAT > 源NAT”, 进入源NAT页面, 点击“新建” 按钮, 弹出<源NAT配置>对话框。
第四步放行策略
在策略->安全策略里面点击新建
注意策略为从上往下匹配,如果要让所有用户能够上网,此策略应移动到首位。如果要让部分用户不能上网,则将限制策略放到这个策略之前。
Ⅱ PPPOE拨号获取不到地址,重启
当客户使用PPPOE拨号上网时,可能出现PPPOE拨号获取不到地址的情况。
解决办法:
1.外线直连电脑,电脑是否能拨号成功,如果不能请联系运营商
2.重启设备,触发一次重新拨号过程。
3.更改拨号间隔。重拨间隔为0只拨一次,间隔更改为2,让他隔两秒拨一次。
Ⅲ 透明模式
透明模式也称为“网桥模式”、 “透明桥接模式”。 透明模式适用于原网络中已部署好路由器和交换机, 用户不希望更改原有的网络, 只需要一台防火墙进行安全防护的场景。 透明模式有以下优点:
无需修改受保护网络的IP设置。
无需为进入受保护网络的报文创建NAT规则。
一般情况下, 透明模式的防火墙部署在原有网络的路由器和交换机之间, 或者部署在互联网和路由器之间, 内网通过原有的路由器上网, 防火墙只做安全控制。
下面以防火墙部署在路由器和交换机之间为例, 说明如何使用透明模式。 网络管理员连接管理口eth0/0对防火墙进行配置, 使用网线将接口eth0/1与路由器连接, 将接口eth0/2与交换机连接, 原有内网部署不改变。
示例拓扑如下:
配置透明模式的步骤如下:
步骤一: 配置接口和安全域
配置eth0/1为外网接口。
1. 选择“网络 > 接口”。
2. 双击“ethernet0/1”, 弹出<Ethernet接口>对话框, 做如下配置。
3. 点击“确定”。
配置eth0/2为内网接口。
1. 选择“网络 > 接口”。
2. 双击“ethernet0/2”, 弹出<Ethernet接口>对话框, 做如下配置。
3. 点击“确定”。
步骤二: 配置策略
允许内网访问互联网的策略。
注意:l2trust和l2untrust默认都在vswitch1里面,所以仅需放行l2trust和l2untrust之间的流量就可以了
1. 选择“策略 > 安全策略”。
2.点击“新建”, 在弹出<策略配置>对话框做如下配置。
3. 点击“确定”。
允许外网访问内网的策略。
1. 选择“策略 > 安全策略”。
2. 点击“新建”, 在弹出<策略配置>对话框做如下配置。
3. 点击“确定”。
其他策略: 以上两条策略保证了透明模式下, 内外网之间的互通。 若用户需要禁止某些流量, 例如禁止P2P下载, 可以继续创
建策略, 并将策略的位置放置于以上两个策略之前, 系统将优先匹配位置靠前的策略。
步骤三(可选): 配置Vswitch接口为管理接口, 方便内网PC访问防火墙
使内网任意一台PC均可登录防火墙进行管理, 可以将一个VSwtich接口设置为管理接口。
1. 选择“网络 > 接口”。
2. 点击“新建 > VSwtich接口”, 在弹出的<VSwtich接口>对话框中做如下配置。
3. 点击“确认”。
4. 在的一台PC上打开浏览器, 输入上述VSwtich接口的IP地址, 即可登录系统的管理界面。