
联想防火墙配置指导文档.docx
9页防火墙配置指导一、防火墙上网的最简配置1、 在系统管理-〉网络-〉域 中建立lan域和wan域(lan域默认存在)新建域名徐|wan||(非数字开头摄大长度6个字符)域类型a路由域「透明域允许域内访月厂域安全级别|可信二|确定取消2、在系统管理-〉网络-〉接口下配置各接口的IP j掩码,并划分到各自域内编辑接口名裔eO所屋域|wan地址类型C自定义r pppoe aDHCP覆盖本地DNS17启用DDNS厂PingK务器厂启用厂访问权限[7 HTTPS17 PING|7 HTTP17 SSH17 SNMP17 TELNET接口速率|自适应二|Mtu值[7分解大于MTU的输出包|1500 (68・1500 字节)确定取消再配置地址,外网口的访问权限最好都不开3、在路由->静态路由配置一条指向外网的静态路由编辑静态路由名徐 |dhcp_eO目的 ip jo.o.o.o目的掩码 jo.o.o.o出口 |e0 二|网关 1172.20.2.1确定 丿、取消 」出口是WAN的那个接口,如果使用DHCP或者PPOE,会自动添加路市,可以不用手工加4、 在防火墙->imt策略->SNAT中一条策略,将内网IP映 射到外网编辑SNAT确定 取消5、在防火墙->策略 建立Ian到wan,使之能访问外网一般默认所有就可以了,除非客户有特殊要求普通上网的配置这五步就可以了二、配置端口映射功能,把内网的服务器发布到公网1、在防火墙-〉nat策略->虚拟IP添加,如果是只映射端口取消的话是PAT名徐b 1外部接口|e0 Z1类型C 静态 NAT a PAT外部IP地址|172.20.2.105外部皑口)80内部IP地址|192.168.1.100内部皑口)80协改a TCP r UDP编辑虚拟ip映射确定接口是WAN 口2、先在防火墙->地址里添加个要映射的服务器IP编辑地址地址名称 [i类型 e掩码方式 r地址范围方式地址 |192.168?!.100掩码 |255.255.255.255_ 壶 _丿、—一取消_丿3、 在防火墙->策略建立Wan到Lan,使外网能访问内网服务器编辑策略名称域接口地址名目的域接口地址名时间表动作厂渣量日志高级选项 授权认证、流量控制、速率控制、连接数限制、保护设置 /地址选择刚刚添加的那个服务器地址就这三步就可以了注意:如果使用非出口地址,就在IP池下添加一个要映射的外网地址,出口指定为外网出口,别的配置不变三、让内网的PC可以通过公网的域名或者公网IP直接访问 内网发布的这个WEB服务器在上面配置正确的基本上、在系统管理->网络->IP池下配一个地址池,地址任意。
地址池一泄要配,不然服务器找不到回来的路径)编辑IP翹|2|8.8.8.8|8.8.8.8(必须是C类以上掩码)名徐 接口 起贻地址 结束地址 网络掩码确定 , 取消、在防火墙->nat策略->SNAT中新建一条策略,将外网口地址通过地址池映射到服务器的IP地址,启用地址池,选择刚刚建的那个IP池,建两条相同配置的NAT,出口分别指向内网和外网接口编辑SNAT确定 取消三、在防火墙->nat策略->虚拟IP中新建一条策略编辑虚拟IP映射名徐外部接口类型外部IP地址 外部趙口 内部IP地址 内部趙口协改确定 ’ 取消接口为服务器内网的那个接口四、在防火墙->策略里加一条LAN到LAN允许的策略编辑策略名徐1域|lan—二1接口| Ian2J地址名|any2J目的域|lan—二1接口| Ian2J地址名|any2J时间表| always2J巌务|any2J动作|允许2J厂流量日志高级选项y 授权认证.疣量控制.速率控制.连接数限制.保护设置、确定丿 取消 丿这样就加可以在内网直接通过域名访问内网服务器。












