如何配置防火墙之防火墙的初始配置
前言
本文档是初识防火墙的引路者,阅读本文后您将对防火墙配置过程有了初步认识,并完成防火墙基本配置。
01、防火墙的初始配置
1.1 设备出厂配置
防火墙设备出厂配置如下表。
表1-2 防火墙出厂配置
如需恢复出厂配置,请在Web界面中选择“系统 > 配置文件管理”,单击“恢复出厂配置”。
1.2 连线
按下图连接管理网口、内网口GE0/0/2和外网口GE0/0/3。图中管理PC与设备管理网口连接,用于登录Web界面。如果使用命令行配置,首次登录请使用Console配置线连接管理PC的串口与设备的Console口。
图1-6 防火墙线缆连接
1.3 登录Web界面
操作步骤
【1】将管理员PC网口与设备的管理口(MEth 0/0/0或GigabitEthernet 0/0/0)通过网线直连或者通过二层交换机相连。
【2】将管理员PC的IP地址设置为192.168.0.2~192.168.0.254范围内的IP地址。
【3】在管理员PC的浏览器中输入地址:https://192.168.0.1:8443。
输入地址登录后,浏览器会给出证书不安全的告警提示,选择继续浏览。
【4】如果是首次登录设备,弹出创建管理员帐号界面。输入用户名、密码、确认密码,然后单击“创建”。
首次登录创建的管理员,拥有系统管理员权限和Web服务类型。
【5】帐号创建成功,在弹出的提示框中单击“确定”。
【6】进入登录界面,输入已经创建的用户名、密码登录设备,单击“登录”。
访问Web界面登录地址时,浏览器无法验证设备提供的默认证书,会有安全告警提示。可以在此界面上单击“下载根证书”下载证书,然后双击证书文件进安装,下次登录就没有安全告警提示了。
【7】新帐号首次登录,系统弹出修改初始化密码界面。输入当前密码、新密码、确认密码,单击“确定”。
【8】重新进入登录界面,输入帐号和新密码,单击“登录”。
防火墙Web界面
防火墙Web界面采用横向板块+竖向菜单的导航方式,界面布局如下图所示。
图1-7 Web界面布局
后续处理
- 选择“网络 > 接口”,可以修改管理口的IP地址,修改后需要重新登录。
- 选择“系统 > 管理员 > 管理员”,可以新建其他管理员。防火墙支持管理员绑定不同的权限角色。
1.4 配置三层接入
防火墙缺省工作在三层,通常作为企业Internet出口网关,实现内外网通信的同时进行安全防护。此种模式设备通过路由协议转发各个网段之间的报文。因此,这种接入方式也被称为“路由模式”。
防火墙三层接入部署在内外网之间时,通常还需要负责内网的私网地址与外网的公网地址之间的转换,也就是NAT功能,因此这种接入方式又常被称为“NAT模式”。
图1-8 防火墙三层接入组网图
初始接入时,请使用Web界面提供的快速向导,根据企业的Internet接入方式将防火墙快速接入Internet。然后在此基础上进行高级配置。
- 静态IP:如果从网络服务商处获得固定的IP地址,请选择此接入方式。
- PPPoE:如果从网络服务商处获得用户名和密码进行拨号,请选择此接入方式。
- DHCP:如果从网络服务商自动获取IP地址,请选择此接入方式。
执行快速向导后,防火墙具备的基本配置如下:
- 上网接口:加入untrust区域,并通过管理员选择的接入方式获取到公网IP地址。
- 局域网接口:加入trust区域,私网IP地址配置完毕;如果管理员在向导中启用了局域网DHCP服务,则局域网接口开启DHCP服务器功能为局域网PC分配IP地址及DNS服务器地址。
- 局域网接口为局域网PC分配的DNS服务器为防火墙局域网接口的IP地址,防火墙作为DNS代理接收PC的DNS请求,然后再将DNS请求发往DNS服务器。
- 源NAT:存在一条Easy IP方式的源NAT策略,出接口是上网接口的所有流量的源IP地址被转换为上网接口IP地址。
- 路由:存在一条缺省路由,出接口是上网接口,将流量转发至Internet。
- 安全策略:未配置,需要自行手工配置安全策略,允许局域网用户访问Internet。
【1】使用三层Internet接入向导:静态IP
数据准备
操作步骤
(1)选择“系统 > 快速向导”。
(2)单击“下一步”。
(3)根据需要修改主机名、管理员密码,然后单击“下一步”。如果无需修改,单击“跳过”。
(4)根据设备的所在地配置系统时间,然后单击“下一步”。
(5)选择接入互联网方式为“静态IP”,然后单击“下一步”。
(6)配置接入互联网参数,然后单击“下一步”。
(7)配置局域网接口,然后单击“下一步”。
(8)启用局域网接口的DHCP服务,并使用默认的IP地址范围。然后单击“下一步”。
当防火墙作为局域网PC的网关时,可以使用局域网接口为PC分配IP地址。
(9)核对配置信息无误后,单击“应用”。
(10)系统提示配置成功,单击“完成”。
(11)配置基础安全策略,允许局域网PC访问Internet。
(12)配置局域网PC自动获取IP地址、DNS服务器地址,步骤略。
【2】使用三层Internet接入向导:PPPoE
背景信息
操作步骤
(1)选择“系统 > 快速向导”。
(2)单击“下一步”。
(3)根据需要修改主机名、管理员密码,然后单击“下一步”。如果无需修改,单击“跳过”。
(4)根据设备的所在地配置系统时间,然后单击“下一步”。
(5)选择接入互联网方式为“PPPoE”,然后单击“下一步”。
(6)配置接入互联网参数,然后单击“下一步”。
(7)配置局域网接口,然后单击“下一步”。
(8)启用局域网接口的DHCP服务,并使用默认的IP地址范围。然后单击“下一步”。
当防火墙作为局域网PC的网关时,可以使用局域网接口为PC分配IP地址。
(9)核对配置信息无误后,单击“应用”。
(10)系统提示配置成功,单击“完成”。
(11)配置基础安全策略,允许局域网PC访问Internet。
(12)配置局域网PC自动获取IP地址、DNS服务器地址,步骤略。
【3】使用三层Internet接入向导:DHCP
背景信息
操作步骤
(1)选择“系统 > 快速向导”。
(2)单击“下一步”。
(3)根据需要修改主机名、管理员密码,然后单击“下一步”。如果无需修改,单击“跳过”。
(4)根据设备的所在地配置系统时间,然后单击“下一步”。
(5)选择接入互联网方式为“DHCP”,然后单击“下一步”。
(6)配置接入互联网参数,然后单击“下一步”。
(7)配置局域网接口,然后单击“下一步”。
(8)启用局域网接口的DHCP服务,并使用默认的IP地址范围。然后单击“下一步”。
当防火墙作为局域网PC的网关时,可以使用局域网接口为PC分配IP地址。
(9)核对配置信息无误后,单击“应用”。
(10)系统提示配置成功,单击“完成”。
(11)配置基础安全策略,允许局域网PC访问Internet。
(12)配置局域网PC自动获取IP地址、DNS服务器地址,步骤略。
【4】配置基础安全策略
前提条件
快速向导已经运行完毕。
操作步骤
(1)选择“策略 > 安全策略 > 安全策略”。
(2)新建安全策略,允许局域网PC访问Internet。
