锐捷网络防火墙配置指南.doc

锐捷网络防火墙配置指南（更新日期）锐捷网络800技术支持中心技术热线：800-858-1360目录一、RG-Wall防火墙注册指南2二、RG-Wall防火墙PAT设置指南16三、RG-Wall防火墙DNS分离功能设置19四、RG-Wall防火墙LSNAT设置指南25五、RG-Wall防火墙反向PAT设置指南28六、RG-Wall防火墙配置VPN指南32七、RG-Wall防火墙日志服务器部署指南38一、RG-Wall防火墙注册指南用准备好随机携带的串口线连接管理PC串口端口与RG-Wall的Console口；使用windwos自带的通讯工具”超级终端”登录防火墙（ → 开始 → 程序 → 附件 → 通讯 →超级终端）：设置好超级终端参数之后，接通防火墙电源，RG-WALL系统开始启动系统登入的默认ID和口令值如下（注意区分大小写）：ID : rootPW : rg-wall123登录系统，在终端或显示器屏幕的提示符后输入si, 出现防火墙登录界面，要求输入用户名密码用户名为admin ，口令为admin123登录后，即出现如下所示的登陆界面：输入reinstall注册防火墙，系统提示”Do you want to proceed anyway" " 输入Y继续，防火墙重启。

系统重启完后，重新登陆后，会进入以下状态：按"任意键”正式进入注册步骤：输入防火墙的软件序列号、授权代码（在防火墙随机带的"产品授权使用证书”上）输入”O”（下同）进入防火墙工作模式的设置（默认情况下为"路由模式”）：进入超级管理员的**、密码、管理权限设置：进入设定防火墙的机器名，语言版本等信息，注意防火墙机器名为了便于以后管理，请一定采用***.***.*** （rg.firewall.）的域名表示方式这里使用中文版本：进入防火墙的时间设定，在此采用系统默认时间：进入防火墙管理员IP地址设置（最多可以设置10个管理员IP地址）：进入防火墙网卡的IP地址设置如下图（LAN 1口IP地址为192.168.1.1）：进入防火墙VLAN设置，在此处跳过:进入防火墙静态路由设置，添加Default gateway（缺省网关，在此为192.168.26.10）进入防火墙动态路由设置，以下都跳过： 进入配置域名服务的有关信息提示：输入域名时，一定是前面输入过的机器名的域名部分进入防火墙策略的设置，在此，允许所有的的数据通过并进行PAT：至此，完成防火墙的注册防火墙重启之后，在管理主机（比如192.168.1.47）上，使用防火墙的IP地址192.168.1.1即可登录防火墙的IE管理界面：二、RG-Wall防火墙PAT设置指南使用防火墙RG-WALL50的0口（DMZ）与1口分别连接不同网段的内网，同时实现两个网段共享上网。

RG-WALL50防火墙2口用于连接internet（在此为192.168.26.47），缺省网关为192.168.26.10；1口用于与192.168.1.0/24网段主机连接，接口IP地址为192.168.1.1；0口用于连接192.168.0.0/24网段（WEB服务器为192.168.0.47，tcp80端口），接口IP地址为192.168.0.1三、RG-Wall防火墙DNS分离功能设置防火墙DNS分离功能设置防火墙LSNAT设置1、选择"启用LSNAT”选择框，使用"+”图标，输入IP和端口,而且TCP,UDP,ANY中选择协议2、点击，进入"添加子主机”界面（添加内部服务器的IP地址）：应用之后，点击确定，即可完成LSNAT的配置实现DNS分离功能1、设置外部域名服务器： 把公网上的DNS地址输入文本框：2、DNS设置；选中"启用分离DNS”，"内部DNS”，将域名添加到列表中；如：添加mypage.firewall.（注意：不是. mypage.firewall.）3、增加区域列表，此时区域是SOA（Start Of Authority的缩写，不可改）；IP输入ns.mypage.firewall.（一定是ns.mypage.firewall.），输入admin.mypage.firewall.（任意的，没有限制）；4、再增加区域列表，此时区域选择NS；IP输入ns.mypag.firewall.（一定是ns.mypag.firewall.），5、再增加区域列表，主机：.mypage.firewall. 此时区域选择A；IP输入内网IP 192.168.1.47:6、如果要添加多台服务器的域名解析，只需要重复步骤5，即可；最后点击应用、确认.PC的IP地址设置DNS地址设置成防火墙内网口，PING .mypage.firewall.，地址解析成192.168.1.47；PING .163.，地址解析成公网地址，验证DNS分离功能实现；在IE浏览器内输入域名.mypage.firewall.即可访问四、RG-Wall防火墙LSNAT设置指南防火墙的基本IP配置介绍：eth1 192.168.1.0/24 连接局域网，eth2 192.168.26.0/24 连接外网，如下图：缺省网关：防火墙LSNAT设置：1、选择"启用LSNAT”选择框，使用"+”图标，输入IP和端口,而且TCP,UDP,ANY中选择协议。

2、点击，进入"添加子主机”界面（添加内部服务器的IP地址）：应用之后，点击确定，即可完成LSNAT的配置五、RG-Wall防火墙反向PAT设置指南RG-Wall防火墙反向PAT设置需求：服务器172.16.2.13 通过RG-WALL 翻译成公网地址61.233.14.73 服务器，172.16.2.12 通过RG-WALL 翻译成公网地址；内部网络用户网段的用户可以直接通过公网IP 地址访问放在防火墙内部网络的服务器，公网用户可以通过公网IP 访问通过防火墙提供服务的公网服务器.配置默认路由下一跳 61.233.14.65 RG-WALL 基本配置：外网地址 61.233.14.66 DMZ 地址172.16.2.252 内网地址 默认路由61.233.14.65 从ISP 获得公网地址61.233.14.66-61.233.14.76 静态NAT 配置公网用户可以使用公网IP 访问放在防火墙DMZ 区域的服务器172.16.2.13 对应 61.233.14.73 172.16.2.12 对应 61.233.14.74 反向PAT 配置指定所需要内网访问的网段对应需要内网用公网IP 访问的服务器公网IP 地址。

建议反向PAT 地址是一个没有被使用的公网地址，本案例中使用的是61.233.14.72 只需要配置1 个反向PAT 地址即可正向PAT ，内网的用户可以通过Eth2 访问Internet 反向PAT ，内网的用户可以通过Eth1 访问由防火墙转换的放在内网的服务器，例如 61.233.14.73 或者 61.233.14.74 通过反向PAT , 客户就可以在内网使用公网地址访问放在内部网络的服务器访问速度为内网访问速度由于静态NAT 使用的一对一地址映射，映射后的主机拥有公网地址，建议采用严格的过滤规则来保护服务器，相关设置可在策略规则中设定六、RG-Wall防火墙配置VPN指南本文档介绍了如何用我司的防火墙做vpn服务器，客户端使用锐捷专用程序拨入的配置方法网关到网关的配置请参考说明书在配置vpn的时候，建议先做好网络对象，以备在做用户组的时候可以给拨入用户分配访问不同对象的权限配置IKE：由于是用pc拨入防火墙，这里只要设置第二个页面即default config就可以了，不用修改参数，按默认就可以正常工作如下图：配置vpn列表：配置phase 1 proposal，按默认的就可以了。

如下图：配置phase 2 proposal，把encapsulation mode 改为transport mode即可配置ip pool，主要是设置一个地址池，用于分配给拨入的用户，配置好后，请点击一下应用，否则在建立组时无法发现本地址池：如下图配置user-group，建立一个用户组，与ip pool关联起来，再分配本组的权限，如可以访问哪个网段、服务器等（这些网段都是在规则中建立的网络对象）配置remote user，建立远程拨入的用户名与密码，并与user-group关联配置remote gw ，这个可以不用配置，因为远端的IP不是固定的安装配置锐捷专用客户端：安装客户端程序：双击安装程序，按安装向导的提示一步一步的安装完成后，安装向导会提示重启计算机，按yes重启计算机即可配置客户端程序：点connect进行拨号防火墙公网IP地址该用户的密码，不少于6位数这里输入remote user名拨号完成后， 在windows的cmd下面，可以看到如下的信息：C:\>ipconfigWindows 2000 IP ConfigurationEthernet adapter {14777F92-9B56-448D-B11D-FFC3F5397561}: Connection-specific DNS Suffi* . : IP Address. . . . . . . . . . . . : Default Gateway . . . . . . . . . :注意事项： 在拨号进入防火墙后，在本地只能看到防火墙所分配的IP地址，没有网关地址，这方面无关紧要，只要在user-group里面设置好对应的权限就可以访问。

七、RG-Wall防火墙日志服务器部署指南安装条件Kiwi_Syslogd.e*e 软件包（接收从防火墙上发过来的信息流）wtfTrial v31.e*e 软件包（分析从Kiwi_Syslogd.e*e捕获到的日志）安装过程安装Kiwi_Syslogd安装wtfTrial v31该安装过程需要一点时间，请耐心等待注册wtfTrial v31输入序列号即可部署日志服务器实验拓扑图本机IP设置WebTrends Firewall suite v3.1d设置Save Log Files To：C:\firewall_log（和Kiwi_Syslogd保存日志的文件一致）设置Kiwi Syslog DaemonPath and file name of log file: C:\firewall_log\2005-11-23.log (日志保存路径及日志文件命名规则)防火墙日志设置采集日志请耐心等待生成报表：八、RG-WALL 50\150的pppoe的配置指南下面是针对于50及150火墙的pppoe的配置，配置步骤如下：1． 进入管理界面：这样，选择你要运行pppoe的端口就可以直接设置为ADSL模式。

然后你要填写相应的用户名和密码这样就完成了 z.。