02 DCFW-1800配置.pdf

第三章 神州数码DCFW-1800系列 防火墙配置 DCFW-1800系列防火墙配置 • 防火墙配置实例（路由模式） – 命令行配置端口、管理主机地址和缺省路由 – 配置网络对象 – 设置安全规则 – 设置NAT • 防火墙配置实例（网桥模式） • 用户管理（选做实验） • 管理员地址 • 配置恢复 • 产品升级（选做实验） • VPN（选做实验） • 双机热备（选做实验） 防火墙配置实例：路由模式 192.168.1.1 Internet 192.168.1.2 192.168.1.254 202.101.1.254 202.101.1.253 10.1.1.2 WWW DNS E-mail FTP 10.1.1.254 10.1.1.1 10.1.1.3 10.1.1.4 PC1 配置流程图 配置流程界面配置路径命令行 配置端口防火墙（系统）→ 端口设置 防火墙（系统）→端口设置 →缺省网关 防火墙（系统）→端口设置→防火墙 管理员IP→修改 网络对象→新增 安全规则→新增 NAT 应用 保存 ifconfig 设置缺省路由route add default 增加管理主机地址adminhost add 设置网络对象netobj add 设置安全规则policy add 设置NAT nat add 应用apply 保存save 超级终端 登录 恢复出厂设置 WEB管理配置基础 端口设置 网络对象设置 增加主机对象 增加网络对象 增加的LAN接口的网络对象 增加的DMZ接口的网络对象 配置安全规则 允许LAN访问外部网络（TCP） 允许LAN访问外部网络（UDP） 允许LAN访问外部网络（ ping ） 增加出WAN的安全规则 增加进DMZ的安全规则 增加进DMZ的安全规则 增加出DMZ的安全规则 完成后的安全规则 动态NAT配置 注意事项 注意：注意：注意：注意： 1800s1800s防火墙的这里有两个选项：防火墙的这里有两个选项：防火墙的这里有两个选项：防火墙的这里有两个选项： [ [ 指定转换地址范围指定转换地址范围指定转换地址范围指定转换地址范围 ] ] 和和和和 [ [ 转换成外网地址转换成外网地址转换成外网地址转换成外网地址 ] ] 1800E1800E中只有中只有中只有中只有 [ [ 指定转换地址范围指定转换地址范围指定转换地址范围指定转换地址范围 ] ] 如果是如果是如果是如果是1800E1800E防火墙，将内网网段转换成外网口防火墙，将内网网段转换成外网口防火墙，将内网网段转换成外网口防火墙，将内网网段转换成外网口ipip地址，可以选择地址，可以选择地址，可以选择地址，可以选择 [ [ 指定转换地址范围指定转换地址范围指定转换地址范围指定转换地址范围 ] ] 在起始地在起始地在起始地在起始地 址处输入防火墙的外网口址处输入防火墙的外网口址处输入防火墙的外网口址处输入防火墙的外网口ipip地址就可以，地址就可以，地址就可以，地址就可以，终止地址不用填写终止地址不用填写终止地址不用填写终止地址不用填写。

如果是如果是如果是如果是1800s1800s防火墙，并用防火墙，并用防火墙，并用防火墙，并用adsladsl拨号方式或者通过拨号方式或者通过拨号方式或者通过拨号方式或者通过dhcpdhcp方式方式方式方式获得地址，那么在作动态地址转换的获得地址，那么在作动态地址转换的获得地址，那么在作动态地址转换的获得地址，那么在作动态地址转换的 时候，此处一定要选择时候，此处一定要选择时候，此处一定要选择时候，此处一定要选择 [ [ 转换成外网地址转换成外网地址转换成外网地址转换成外网地址 ] ] ；；；； 对于对于对于对于1800s1800s防火墙来说，如果外网口是固定防火墙来说，如果外网口是固定防火墙来说，如果外网口是固定防火墙来说，如果外网口是固定ipip地址，将内网网段转换成外网口地址，将内网网段转换成外网口地址，将内网网段转换成外网口地址，将内网网段转换成外网口ipip地址时，也可以直地址时，也可以直地址时，也可以直地址时，也可以直 接选择接选择接选择接选择 [ [ 转换成外网地址转换成外网地址转换成外网地址转换成外网地址 ] ] 静态NAT配置 需要配置的静态NAT 防火墙配置实例：网桥模式 192.168.1.1 Internet 192.168.1.2 192.168.1.254 防火墙只有LAN口可以设置IP地址； 配置时只需设置网络对象和安全规则。

课堂实验 192.168.1.1 192.168.1.2 192.168.1.254 202.101.1.254 202.101.1.253 WWW FTP 10.1.1.254 10.1.1.1 192.168.1.3192.168.1.4 PC1 Outside-PC 管理员地址 配置实例：网关到网关的VPN Internet 192.168.1.0192.168.2.0 202.1.1.2202.1.1.1 192.168.1.1192.168.2.1 192.168.2.254 PC#1PC#2 192.168.1.254 配置流程图 配置流程界面配置路径命令行 设置IPsec选项VPN→ 选项 VPN →密钥 VPN →安全策略 应用 保存 设置密钥 设置安全策略 应用apply 保存save 拨号用户到网关的VPN Internet 192.168.1.0 202.1.1.1 192.168.1.1 192.168.1.254 ISP 拨号用户 PC#1 配置流程图 配置流程界面配置路径命令行 设置PPTP选项VPN→ 选项 VPN →安全策略 应用 保存 设置安全策略 应用apply 保存save 配置实例：双机热备 LAN 192.168.1.1 WAN 202.1.1.1 LAN 192.168.1.2 LAN 虚拟IP 192.168.1.3 PC#1 192.168.1.100 WAN 202.1.1.2 WAN 虚拟IP 202.1.1.3 masterslave DMZ 10.1.1.1 DMZ 10.1.1.2 DMZ 虚拟IP 10.1.1.3 Internet 配置流程图 配置流程界面配置路径命令行 配置外网口虚拟IP防火墙（系统）→ 双机热备 防火墙（系统）→ 双机热备 防火墙（系统）→ 双机热备 防火墙（系统）→ 双机热备 应用应用apply 保存 配置内网口虚拟IP 配置DMZ虚拟IP 启用 保存save 。