全新的天融信防火墙NGFW的配置.docx

Corporation standardization office #QS8QHH-HHGX8Q8-GNHHJ8
全新的天融信防火墙NGFW的配置
全新的天融信防火墙NGFW4000_配置
配置一台全新的NGFW4000，配置完后，.，，并且内网用户也可以通过WEB服务器的外网地址进行访问。
网络说明：
防火墙外网接口地址：
防火墙内网接口地址：
核心交换机防火墙VLAN：
核心交换机用户群A的VLAN：
核心交换机用户群B的VLAN：
用户群A的默认网关：
用户群B的默认网关：
防火墙至出口的默认网关：
核心交换机至防火墙的默认网关：
内网WEB服务器地址：（通过防火墙映射成公网地址）
　　简单拓扑图如下：
　　这里着重介绍的是出口防火墙的配置，从上图中可以看出，防火墙位于核心交换机至INTERNET出口的中间。我们首先需通过某种方式对防火墙进行管理配置。
1、连接防火墙
　　首先查看防火墙的出厂随机光盘，里面其中有个防火墙安装手册，描述了防火墙的出厂预设置：
管理用户
　　管理员用户名 superman　　　管理员密码 talent 或12345678
系统参数
　　设备名称 TopsecOS
　　同一管理员最多允许登录失败次数 5
　　最大并发管理数目 5
　　最大并发管理地点 5
　　同一用户最大登录地点 5
　　空闲超时 3 分钟
物理接口
　　Eth0（或LAN 口） IP：
　　其他接口 Shutdown
服务访问控制
　　WEBUI 管理（通过浏览器管理防火墙）：允许来自Eth0（或LAN 口）上的服务请求
　　GUI 管理（通过TOPSEC 管理中心）：允许来自Eth0（或LAN 口）上的服务请求
　　SSH（通过SSH 远程登录管理）：允许来自Eth0（或LAN 口）上的服务请求
　　升级（对网络卫士防火墙进行升级）：允许来自Eth0（或LAN 口）上的服务请求
　　PING（PING 到网络卫士防火墙的接口IP 地址或VLAN虚接口的IP 地址）：允许来自Eth0（或LAN 口）上的服务请求
　　其他服务 禁止
地址对象
　　地址段名称 any
　　地址段范围 –
区域对象
　　区域对象名称 area_eth0
　　绑定属性 eth0
　　权限 允许
日志
　　日志服务器IP 地址 IP：.
　　日志服务器开放的日志服务端口 UDP 的514 端口
高可用性（HA）关闭
　　从中可以看出，管理口为ETH0口，，我们将一台电脑直接与ETHO接口相连，，然后在浏览器上访问，就进入了WEB管理界面（如出现安装证书问题，直接点继续浏览此网站），如下。
2、配置防火墙接口
　　将ETH1配置成外网接口，ETH2配置成内网接口，依次选择左边菜单的“网络管理”->“接口”，在ETH1接口一行点击最后的蓝***标，如下图，进入ETH1接口配置模式。
　　然后输入外网地址，接口模式为“路由”，最后点“确定”，如下图。
　　同理，将ETH2接口地址设置成内网地址：
3、路由配置
　　这里有两种路由要写，一是至外网出口的默认路由，，还有一种是至内网核心交换机的回程路由，共有两条，。
　　依次选择左边菜单的“网络管理”->“路由”，然后点击“添加”，添加一条至外网的默认路由，如下。
　　再依次添加两条回程路由：
　　这样，出去的路由有了，回去的路由也有了。
4、访问控制
　　默认防火墙是阻止所有经过的包，所以需对访问控制项进行设置。
　　点击菜单的“防火墙”->“访问控制”，点击“添加”按扭，如下图就出现了添加窗口，在源窗口和目的窗口均选择“ANY[范围]”，“服务”不选（包含所有服务），“选项”默认，直接点