一、设备登录:
下一代防火墙AF支持安全的HTTPS登录,是使用HTTPS协议的标准端口登录,为了防止配置过程中被截获而产生安全隐患。下一代防火墙AF设备,eht0网口默认的出厂IP为:eth0:10.251.251.251/24。如果电脑连接的是设备的eth0口,需要在电脑上配置一个10.251.251.0/24网段的地址,打开浏览器输入https://10.251.251.251登录设备网关控制台。
步骤1.首先为本机器配置一个10.251.251.X/24网段的IP,如配置10.251.251.100。
然后在IE浏览器中输入网址:https://10.251.251.251。出现一个如下图的安全提示,点击<详细信息>再点击<转到此网页>会跳转到控制台登录页面。
步骤2.在登录框输入用户名和密码,默认情况下用户名和密码均为:admin。
步骤3.当用户密码过于简单,则会被检测为弱密码,控制台会处理:登录后检查为若密码,则会弹出以下提示。
步骤4.点击[修改密码]后进入修改密码页面,进行密码的修改。
二、部署模式:
部署模式是用于设置设备的工作模式,可把设备设定为路由模式、透明模式、虚拟网线模式、旁路模式和混合模式。选择一个合适的部署模式,顺利将设备架到网络中并且使其能正常使用的基础。
路由模式:设备可以作为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能。
透明模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能
虚拟网线模式:是透明部署中另外一种特殊情况,无需检查MAC表,直接从虚拟网线配对的接口转发,且虚拟网线转发效率高于透明模式。
旁路模式:设备连接在内网交换机的镜像口或HUB上,镜像内网用户的数据,通过镜像的数据实现对流量进行检测。可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险,但这种模式下设备只对流量进行检测,无法对恶意流量进行阻断。
混合模式:主要指设备的各个网口,既有2层口,又有3层口的情况,特别是当DMZ区域服务器集群需要配置公网IP地址的时候。
2.1、路由模式
路由部署的典型应用环境是将AF以路由模式部署在公网出口,代理内网上网,像一个路由器一样部署在网络中。外网口接ADSL拨号或者公网线路,内网口接内网交换机。路由模式配置案例某企业网络是跨三层的环境,打算把AF设备部署在公网出口,代理内网用户上网,公网线路是光纤接入固定分配IP的,如下图所示。
如下图拓扑所示:
一个典型的中小企业的三层架构,AF防火墙外网口配置的是电信给的公网IP地址1.2.1.2/29位,内网口配置的是192.168.1.254。
三层交换机上连口配置的192.168.1.1/24,内网口配置的是192.168.2.1/24的PC端ip地址。(其实只要是有点实战经验的都不会这么去配置ip地址,尽量AF防火墙和核心交换机之间的互连ip地址,不要使用192.168.1.x网段,因为很多猫的有些lan地址就是192.168.1.x网段。)
步骤1.通过管理口
ETH0
的默认IP登录设备。管理口的默认IP是10.251.251.251/24,在计算机上配置一个相同网段的IP地址,通过https://10.251.251.251登录设备。
步骤2.配置外网接口,通过[网络/接口/区域],点击需要设置成外网接口的接口,选择eth2作为外网接口,选择路由类型,区域选择自定义的外网区,勾选WAN口属性,配置IP 1.2.1.2/29,下一跳地址1.2.1.1等。如下图所示
注意:
1.接口的下一跳网关仅用于接口的链路检测和策略路由功能,设置了下一跳网关,不会在设备上产生0.0.0.0/0的缺省路由,需要手动设置默认路由。2.接口的线路带宽设置与流量管理的带宽设置没有关联,接口处的线路带宽设置用于策略路由的调度。
步骤3.配置内网接口。选择空闲网口、点击接口名称进入配置页面,选择eth3作为内网接口,选择路由类型,区域选择自定义的内网区,配置IP 192.168.1.254/24,如下图所示
步骤4.配置路由,需要配置一条到0.0.0.0/0.0.0.0的默认路由指向前置网关1.2.1.2。这里就是只要有流量转发到AF防火墙,就可以通过默认路由将所有流量转发到下一跳1.2.1.1的猫上。去进行上网。点击<新增>静态路由,配置默认路由目的地址/掩码为0.0.0.0/0,下一跳地址1.2.1.1。
步骤5.同时因为本例内网接口192.168.2.0网段,接的跨三层的多个网段,还需要配置另一条添加各网段的静态路由到三层交换机,进入[网络/路由/静态路由]进行配置,点击<新增>静态路由,配置回包路由(内网网段路由)目的地址/掩码为192.168.2.0/24,下一跳地址192.168.1.1。如下图所示
步骤6.配置代理内网,这里所谓的代理内网,其实就是NAT,如果对NAT不了解的小伴,请查看NAT
Network Address Translator
。进入[策略/地址转换/IPv4地址转换],点击<新增>,配置源地址转换,源区域选择自定义的内网区,源地址选择自定义的内网,目的区域选择自定义的外网区,目的地址为全部,服务为any,源地址转换为出接口地址。如下图所示。
这里对于源区域、源地址都很好理解,源区域就是我们公司的内网,源地址,就是公司内网的ip地址,这里的ip地址是需要上网的ip地址,如果电脑IP地址禁止上外网,可以直接不放在这个ip地址段中,这个ip地址就不会nat转发到外网了。
目的区域,目的区域就是需要你电脑想去访问什么,你想访问百度,想访问网站,那这些网站和百度都在你们公司外面,所以就需要选择的是外网区。
外网区,在定义的时候,就是我们配置的AF的外网ip地址所属于的区域,那很多人会问,为什么是外网区的这个ip地址区呢?
那是因为,所有公司内网的ip地址,如果需要访问公网上的任何的服务,都需要将内网的ip都通过NAT转换到这个外网区的这个1.2.1.2这个ip上,然后通过1.2.1.2这个公网ip地址去访问到每个网站,每个服务。
步骤7.配置应用控制策略,放通内网用户上网权限,进入[策略/访问控制/应用控制策略],点击<新增>,放通内到外的数据访问权限,源区域选择自定义的内网区,源地址选择自定义的内网,目的区域选择自定义的外网区,目的地址为全部,服务为any,应用为全部。如下图所示
步骤8.基本配置完毕后,将设备接入网络中,eth2口连接运营商、电信、移动、联通的光猫,eth3口接内网三层交换机。
注意:
1.设备工作在路由模式时,局域网内计算机的网关都是指向AF设备内网接口IP或指向三层交换机LAN口IP地址,三层交换机的网关再指向AF设备。上网数据由AF设备NAT或路由转发出去。
2.当设备有多个路由接口时,多个路由接口可以设置同网段的IP地址,通过静态路由决定数据从哪个网口转发。
3.设备支持配置多个WAN口属性的路由接口连接多条外网线路,但是需要开通多条线路的授权。
三、如果内部有服务器需要外网访问该怎么设置呢?
1、进入到地址转换,找到IPV4地址转换。
这时我们转换的源是wan,外网区域,源地址,是外网所有的ip地址都可以访问。
2、目的地址,这里的目的地址一定是WAN口的公网ip地址,在这里有很多人会以为直接访问的目的地址是172.x.x.200这个NAS的ip地址,因为访问的最终目的是NAS的172.x.x.200这个ip地址,但是你没有想到的是,外网访问你的nas时没有办法访问你内部172.x.x.200这个ip地址的,外网区域的人只能访问到你AF防火墙的公网IP地址。
3、这时就需要通过NAT映射,将AF防火墙WAN口的公网ip地址,通过NAT转换映射到内部的NAS服务器的IP地址,就和我们公司内部ip地址想访问外部服务器一样,需要做一个NAT地址代理转换。
4、端口,这里的端口也是对应的,自定一个端口然后映射到内部服务器的端口。