#原创分享#互联网接入-防火墙AF的简单配置

最近，单位更换了用于互联网接入的防火墙和上网行为管理设备，现将设备的配置过程记录下来，和大家分享。此次先介绍防火墙的简单配置。

一、单位的网络拓扑和准备工作

    网络拓扑如下图所示：

准备工作：主要是准备地址和设备端口规划表，地址表包括运营商提供的互联网地址，设备间的连接地址，局域网终端用户地址。见下表：

防火墙端口根据实际情况选择光口eth13用于连接互联网，eth9电口用于连接局域网。

二、实施步骤

1、设备上架过程略过，直接上图：

上面为防火墙，型号：AF-1000 FA40

下面是上网行为，型号：AC-1000 F620-N

2、将笔记本电脑地址设为10.2**. 2**. 2** 2**. 2**. 2**.0，用网线将网口与防火墙的管理口（MANAGE ETH0)连接，在浏览器中访问管理地址https://10. 2**. 2**. 2**,打开登录界面，输入用户名和密码，初始均为**,输入验证码点击登录，进入管理界面。

3、点击左侧导航菜单下的”网络“->”接口/区域“，再点击右侧的”区域“选项，为便于管理，先建立WAN和LAN两个区域，如下图所示：

点击新增按钮增加区域，转发类型选择”三层区域“，接口按上面的规划WAN区域选择eth13,LAN区域选择eth9，此外LAN区域在允许管理设备选项中将WEBUI选项选中，便于在局域网中通过网页形式管理防火墙设备，如下图：

配置好区域后，点击”物理接口“选项，设置接口，点击eth13:

选中”启用“，类型选择”路由“，所属区域选择”WAN“，基本属性选择”允许Ping和WAN口，在IPv4选项中输入运营商分配的地址段，下一跳地址为运营商提供的网关，其余选项默认提交。

点击eth9:

选中”启用“，类型选择”路由“，所属区域选择”LAN“，基本属性选择”允许Ping，在IPv4选项中输入设备连接地址1**.1**.1*.9/2**. 2**. 2**. 2**，其余选项默认提交。

4、点击左侧“导航菜单”->“对象”->“网络对象”，在右侧中“IPv4地址转换”选项中点击 ”新增“按钮，对IP地址进行分组，参考下图：

5、点击左侧“导航菜单”->“策略”->“地址转换”，在右侧中“网络对象”选项中点击 ”新增“按钮，选择”源地址转换“，进行相关设置，此步骤非常关键，参考下图：

选中启用，名称随意输入，源区域选择LAN，网络对象选择局域网对象组，目的区域/接口选择WAN，网络对象选择全部，协议选择所有协议，，源地址转换为选择出接口地址，保存。然后选中新增的转换协议，点击菜单栏中的”启用“按钮，启用NAT转换协议。

点击左侧“导航菜单”->“策略”->“访问控制”->"应用控制策略"，在右侧新增"允许上网"的策略，参考下图进行设置并保存，然后启用此策略：

5、为保证对局域网地址的正常访问，还需要在左侧导航菜单下的”网络“->”路由“中维护静态路由表，点击”静态路由“选项，在IPv4选项中新增路由信息，参考下图：

路由条目的下一跳地址指向交换机的设备连接地址，此处为1**.1**.1*.10。

到此，对将防火墙作为互联网接入设备的基本配置已全部完成，可点击左侧导航菜单下的”系统“->”排障“，在右侧的”命令控制台“选项下，输入ping www.baidu.com，收到返回包，设备正常连接互联网。

为保障网络的安全性，还可设置一些其它的防护策略，比如漏洞攻击，僵尸网络,防勒索病毒,防DDOS攻击等等，可参考防火墙的相关文档进行配置。

写的比较仓促，不足之处请大家批评指正。

感谢分享，要点还进行了提示，非常棒

防火墙比之前的好看

鼓励原创

您好，感谢您参与社区原创分享计划8，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！
关于技术文章的管理流程，请参考：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279

上网行为，AC-1000 F620-N的最大支持终端是多少？

很棒的分享，拓扑，实施图都很直观。点个赞。

感谢分享，要点还进行了提示，非常棒