如何配置防火墙之建立防火墙访问外部通道

前言

本文档是初识防火墙的引路者，阅读本文后您将对防火墙配置过程有了初步认识，并完成防火墙基本配置。

01 建立防火墙访问外部服务通道

1.1 背景信息

配置三层接入、配置二层透明接入中完成了内网PC访问Internet的基础网络部署，防火墙本身进行特征库升级、License在线激活等需要防火墙可以访问Internet的外部服务。

1.2 操作步骤

【1】确保防火墙提供一个三层接口IP地址连接安全中心、License中心等。

三层接入一般使用公网接口IP地址即可；二层透明接入则需要配置一个VLANIF接口，配置接口IP并加入安全区域，具体步骤参见上一期二层透明接入后续处理。

另外注意确保该地址到Internet路由可达。

【2】确保防火墙已经配置DNS服务器，否则防火墙无法通过域名访问外部服务。

选择“网络 > DNS > DNS”,检查是否已经配置了DNS服务器，如果没有配置请增加DNS服务器。

【3】可选：如果接口IP是私网地址，还需要配置源NAT。

二层透明接入时，根据规划可能防火墙进行NAT转换，也可能出口路由器进行NAT转换。

选择“策略 > NAT策略 > NAT策略”，配置NAT策略对接口IP地址进行转换。

【4】配置安全策略允许防火墙访问外部服务、DNS服务器等。

选择“策略 > 安全策略 > 安全策略”，允许local安全区域访问Internet所在安全区域。

放行的服务等根据业务需求制定，例如防火墙访问DNS服务器要放行DNS，防火墙升级特征库要放行HTTPS。

02 测试网络连通性

完成上述配置后，内网PC、防火墙均可以访问Internet，可以按如下操作进行测试。

2.1 测试内网PC访问Internet

在内网PC浏览器中输入一个网址，测试是否可以打开网页。如果打开网页失败，尝试如下方法排障：

【1】选择“网络 > 接口”，在接口列表中检查防火墙内、外网接口的状态是否Up。如果外网接口Down，请确认防火墙的配置与网络服务商提供的参数是否一致。

【2】检查内网PC是否正常设置IP地址和DNS服务器；如果配置了防火墙为PC分配地址，则在cmd窗口执行ipconfig /all命令检查PC是否正常通过防火墙获取IP地址和DNS服务器，如果PC没有获取到地址请检查防火墙的DHCP服务配置。

【3】登录防火墙Web界面选择“监控 > 诊断中心”，单击“网页诊断”页签。输入内网PC的IP地址以及网页URL，单击“诊断”。根据诊断信息进行故障处理。

2.2 测试防火墙访问Internet

使用防火墙Web界面提供的升级中心（isecurity.huawei.com）连通性测试功能进行测试。

选择“系统 > 升级中心”，单击“测试升级中心链接”链接，弹出检测结果页面。如果连接失败，请按照提示信息进行修改。