网神SecGate3600-NSG系类UTM产品基本配置.docx

网神SecGate3600-NSG系类UTM产品基本配置.docx

  1. 1、本文档共40页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多

一、设备出厂默认配置

1、设备接口出厂默认IP地址:

接口名称

IP地址

IP赋值方式

平安区域

GE1〔PortA〕

静态

LAN

GE2〔PortB〕

DHCP

WAN

GE3〔PortC〕

静态

DMZ

2、Web管理员账号与密码

账号

密码

admin

admin

3、CLI命令行〔SSH、串口、Telnet方式〕

密码

admin

二、首次设备管理

1、使用WebUI管理NSG设备

连接示意与管理过程

〔1〕使用网线接入NSG设备的GE1接口,并连接管理终端〔PC〕设备。

〔2〕将管理终端〔PC〕网卡设置为自动获取IP地址。NSG将自动分配管理端IP地址。

〔3〕翻开IE或其他浏览器,在地址栏中输入设备缺省管理地址:。〔4〕出现NSG管理界面,输入账号:admin;密码:admin

注意:NSG设备WEB管理最低要求浏览器版本为IE7。

三、配置防火墙功能

购置NSG产品后,我们需要将NSG根据网络环境拓扑,部署于网络中,此时我们需要配置NSG的防火墙功能,使得新增NSG设备后的网络链路访问畅通。

1、根据拓扑配置NSG,要求从LAN区域主机可访问互联网。

配置步骤如下:

〔1〕配置LAN〔局域网〕区域网络接口

进入“网络”→“接口”页面,选择所要作为LAN〔局域网〕区域的接口,进行编辑:

区域:选择“LAN”区域

IP赋值方式:选择“静态”方式

子网掩码:根据网络环境配置

主/从DNS:请根据实际配置

〔2〕配置WAN〔互联网〕区域网络接口

进入“网络”→“接口”页面,选择所要作为WAN〔互联网接口〕区域的接口,进行编辑:

区域:选择“WAN”区域

IP赋值方式:选择“静态”方式

子网掩码:根据网络环境配置

主/从DNS:请根据实际配置

网关名称:定义出口下一跳网关的名称

〔3〕配置防火墙规那么

通过上面两个步骤的配置,已经根据网络环境拓扑,配置完成NSG接口信息。此时网络流量还不允许通过NSG设备,需要继续配置防火墙规那么。

NSG出厂默认存在两条LAN-WAN〔内到外〕的防火墙访问规那么,默认规那么不能删除与关闭。如下列图:

序号为1的规那么,任意全通的LAN-WAN〔内到外〕访问规那么,此规那么出厂缺省为丢弃动作。

序号为2的规那么,带有身份验证的LAN-WAN〔内到外〕访问规那么,此规那么出厂缺省为允许动作。

根据网络拓扑,如果要使得内网LAN区域的主机访问互联网WAN区域,需要将默认的序号为1的规那么配置为允许动作,并且应用NAT策略。如下列图操作:

进入“防火墙”→“规那么”页面,选择所要编辑的ID号为1的规那么:

关于应用NAT规那么:NSG出厂缺省带有MASQ的NAT策略,此策略的作用为,将内网接口地址,转换为公网接口地址。

通过以上三个步骤的配置,从内网LAN区域的主机即可访问互联网资源。

注释:关于防火墙规那么的匹配顺序说明

NSG出厂默认存在两条LAN-WAN〔内到外〕的防火墙访问规那么

如只有这两条规那么时,那么从ID号为1的开始匹配。

当存在自定义添加的规那么时,那么由上到下依次匹配自定义规那么。

四、效劳映射

根据拓扑配置NSG,要求对DMZ区域的WEB效劳器做效劳映射

配置步骤如下:

〔1〕配置虚拟主机规那么:

进入“防火墙”→“虚拟主机”页面,点击“添加”按钮,创立效劳映射规那么:

名称:定义虚拟主机的规那么名称

外部IP:WAN接口IP〔既互联网所访问地址〕

映射IP:为网络拓扑中的WEB效劳器地址

物理区域:根据所映射效劳所在区域选择,如拓扑选择DMZ区域

协议:根据实际需求选择TCP或UDP

端口类型:单个端口映射请选择“单一端口“,如有端口范围,请选择“端口范围”

外部端口:既互联网访问地址的效劳端口

映射端口:既所有映射的效劳端口,如拓扑中的WEB效劳器端口为8080

〔2〕配置防火墙规那么:

进入“防火墙”→“规那么”页面,点击“添加”按钮,创立WAN-DMZ区域的访问规那么:

配置WAN-DMZ防火墙访问规那么时,源区域为ANY,目的区域为虚拟主机规那么所映射的效劳器,当如上图选择虚拟主机规那么后,该防火墙规那么效劳将自动更改为效劳映射所定义的端口效劳。

通过以上配置,根据拓扑从互联网访问:8080,此时将会自动连接至DMZ区域的WEB效劳器。

注释:关于效劳映射考前须知说明

需要映射的端口范围时,请注意排除设备管理端口

所映射的效劳器为80端口或443端口时,请注意更改NSG管理端口,NSG管理默认管理端口为HTTP80、HTTPS443,更改方式如下:

进入“系统”→“管理”页面,点击“系统管理端口”页面,即可更改:

五、IP/MAC绑定

当需要IP/MAC绑定功能时,需要配置伪装防护功能,例如如下列图拓扑:

根据拓扑配置NSG,对LAN区域的主机做到

文档评论(0)

寒傲似冰 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

版权声明书
用户编号:8071104010000026

1亿VIP精品文档

相关文档