×

#原创分享#互联网接入-防火墙AF的简单配置
  

gqce 101484人觉得有帮助

{{ttag.title}}
最近,单位更换了用于互联网接入的防火墙和上网行为管理设备,现将设备的配置过程记录下来,和大家分享。此次先介绍防火墙的简单配置。
一、单位的网络拓扑和准备工作
    网络拓扑如下图所示:

准备工作:主要是准备地址和设备端口规划表,地址表包括运营商提供的互联网地址,设备间的连接地址,局域网终端用户地址。见下表:
防火墙端口根据实际情况选择光口eth13用于连接互联网,eth9电口用于连接局域网。
二、实施步骤
1、设备上架过程略过,直接上图:
上面为防火墙,型号:AF-1000 FA40
下面是上网行为,型号:AC-1000 F620-N

2、将笔记本电脑地址设为10.2**. 2**. 2** 2**. 2**. 2**.0,用网线将网口与防火墙的管理口(MANAGE ETH0)连接,在浏览器中访问管理地址https://10. 2**. 2**. 2**,打开登录界面,输入用户名和密码,初始均为**,输入验证码点击登录,进入管理界面。
3、点击左侧导航菜单下的”网络“->”接口/区域“,再点击右侧的”区域“选项,为便于管理,先建立WAN和LAN两个区域,如下图所示:
点击新增按钮增加区域,转发类型选择”三层区域“,接口按上面的规划WAN区域选择eth13,LAN区域选择eth9,此外LAN区域在允许管理设备选项中将WEBUI选项选中,便于在局域网中通过网页形式管理防火墙设备,如下图:

配置好区域后,点击”物理接口“选项,设置接口,点击eth13:
选中”启用“,类型选择”路由“,所属区域选择”WAN“,基本属性选择”允许Ping和WAN口,在IPv4选项中输入运营商分配的地址段,下一跳地址为运营商提供的网关,其余选项默认提交。
点击eth9:

选中”启用“,类型选择”路由“,所属区域选择”LAN“,基本属性选择”允许Ping,在IPv4选项中输入设备连接地址1**.1**.1*.9/2**. 2**. 2**. 2**,其余选项默认提交。

4、点击左侧“导航菜单”->“对象”->“网络对象”,在右侧中“IPv4地址转换”选项中点击 ”新增“按钮,对IP地址进行分组,参考下图:

5、点击左侧“导航菜单”->“策略”->“地址转换”,在右侧中“网络对象”选项中点击 ”新增“按钮,选择”源地址转换“,进行相关设置,此步骤非常关键,参考下图:
选中启用,名称随意输入,源区域选择LAN,网络对象选择局域网对象组,目的区域/接口选择WAN,网络对象选择全部,协议选择所有协议,,源地址转换为选择出接口地址,保存。然后选中新增的转换协议,点击菜单栏中的”启用“按钮,启用NAT转换协议。

点击左侧“导航菜单”->“策略”->“访问控制”->"应用控制策略",在右侧新增"允许上网"的策略,参考下图进行设置并保存,然后启用此策略:


5、为保证对局域网地址的正常访问,还需要在左侧导航菜单下的”网络“->”路由“中维护静态路由表,点击”静态路由“选项,在IPv4选项中新增路由信息,参考下图:
路由条目的下一跳地址指向交换机的设备连接地址,此处为1**.1**.1*.10。

到此,对将防火墙作为互联网接入设备的基本配置已全部完成,可点击左侧导航菜单下的”系统“->”排障“,在右侧的”命令控制台“选项下,输入ping www.baidu.com,收到返回包,设备正常连接互联网。

为保障网络的安全性,还可设置一些其它的防护策略,比如漏洞攻击,僵尸网络,防勒索病毒,防DDOS攻击等等,可参考防火墙的相关文档进行配置。

写的比较仓促,不足之处请大家批评指正。

打赏鼓励作者,期待更多好文!

打赏
6人已打赏

TCN 发表于 2020-5-30 16:22
  
感谢分享,要点还进行了提示,非常棒
zhao_HN 发表于 2020-5-31 09:06
  
防火墙比之前的好看
易逝的信仰 发表于 2020-5-31 14:23
  
鼓励原创
Sangfor_闪电回_朱丽 发表于 2020-6-1 10:02
  
您好,感谢您参与社区原创分享计划8,您的文章已被收录到计划中,交由专家评审小组评审,文章标签在专家评审后设置,S奖励预计在一周后到账,其他奖励在活动结束后统一安排发放!发文越多,奖励越多,期待您更多的精彩文章哦!
关于技术文章的管理流程,请参考:http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279
易逝的信仰 发表于 2020-6-3 11:12
  
上网行为,AC-1000 F620-N的最大支持终端是多少?
平凡的小网工 发表于 2020-6-4 10:44
  
很棒的分享,拓扑,实施图都很直观。点个赞。
yim 发表于 2021-3-23 11:53
  
伊利丹·怒风 发表于 2021-6-30 22:02
  
感谢分享,要点还进行了提示,非常棒
yim 发表于 2021-7-8 17:16
  
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人