【网康进阶之NGFW】网关模式配置指导.doc

可实现功能 当网络当中没有路由设备做出口，NGFW可以作为出口设备，起到路由、源地址转化和目的地址转化的作用。通过本手册，可以帮助用户初始部署，接入设备即可上网的功能 相关拓扑使用情况 A、 单出口网关部署（一个WAN口） B、 多出口网关部署（多个WAN口） 注意：不论几个WAN口，这几个口都可以支持静态或ADSL拨号的模式。内口可以是一个或者多个 配置过程 外网口设置 点击【网络配置】-【接口与区域】下eth0接口，会弹出【物理接口-编辑】对话框。以eth0为例。 勾选【启用】，【作为wan口】，以上表示这个接口要启用，而且是一个外网口。 点选【路由】，表示这个接口是个三层接口，可以配置IP或者设置拨号。 点选【静态IP】可以设置运营商下发的公网IP和子网掩码，点选【ADSL】可以设置运营商下发的用户名和密码。 3还有四个可选选项【SSH】【PING】【WEB】【SNMP】,这四个选项表示可以通过什么方式登陆设备的这个接口来管理设备，按需求选择，一遍只勾选前三个。 【允许访问的IP】表示允许那些地址通过以上三种方式从这个接口登陆来访问设备。默认为所有IP都可以 注意：当有多个外网口时，每个外网口都按照以上步骤进行设置。 内网口配置 内网口设置大体上都和外网口设置相同，其中需要注意几点： 1不要勾选【作为WAN口】 2内网口一般都是点选[【静态IP】，设置一个相应的内网地址,也就是内网网关 3外网口可以禁止用户登陆管理，但是内网口一般需要开放管理权限 4内网口也可以设置多个，每个内网口的设置要求都是相同的 SNAT设置 网关模式下，除了内外网口的设置以外，还需要SNAT设置。这个和网康ICG产品的网关模式部署不同，ICG是默认就设置好的。SNAT就是源地址映射，允许地址可以上网， 1点击【策略配置】-【地址转换】-【新建】-【源地址转换】，如下图 2源地址转化配置面板如下图。名称，描述随便写，优先级默认，然后点击策略选项的【原始数据包】勾选【源地址】，【出接口】。如下图。 3然后点击【转换后数据包】，勾选【源地址转换为出接口地址】，如下图。 4勾选好策略选项后，看一下策略内容，然后点击策略内容里面源地址属于后面的【选择地址】按钮，弹出下面设置面板，在这里点击【新建】-【地址对象】。把内网网段设置进去，注意子网掩码的设置不要错。如下图。 5设置好源地址后点击策略内容的【选择接口】按钮，勾选之前设置的内网口，如下图。 6设置好后，源地址转换面板如下图。确定之后就设置好源地址转换了。 安全策略设置 设置好源地址转换后还要设置安全策略。 点击【策略配置】-【安全策略】-【新建】，如下图。 2打开安全策略配置面板。名称描述随便填写，优先级默认。分别点击策略条件的【源】勾选【源地址】，点击【目的】勾选【目的地址】，点击【动作】勾选【动作：允许或阻止】，勾选好后，策略内容如下图。 3点击策略内容的指定源地址后面的【选择地址】，选择之前设置的内网地址。如下图。 4然后点击策略内容指定目的地址后面的【选择地址】，在弹出的地址对象设置框里面点击【新建】，新建一个包含所有的IP地址对象，添加方法如下图，注意地址的点写方法，只能这么填写。 5添加好源地址与目的地址之后，策略内容如下图。确定之后就添加完成了安全策略。 路由设置 设置好源地址转换，安全策略之后，就剩下最后一步，添加默认路由了。 1点击【网络配置】-【路由】-【静态路由】-【新建】如下图。新建一条静态路由。注意目的IP那里只有如图上一种设置方法，下一跳IP那里设置为外网口的下一条。管理距离默认。如下图。添加完后点击确定即可 以上为NGFW网关部署的全部步骤，配置完成后可以满足客户上网的基本需求。 序号 编写范围 编订人 提交时间 备注 1 1,2,3.1-3.4,4.1-4.2 李石全 3月27日 北京网康科技有限公司-2013 客户服务部实用配置手册 ~ 8 ~ 如有疑问，请联系网康科技 24小时服务热线：400-678-3600