锐捷网络防火墙配置指南之欧阳家百创编
锐捷网络 RG-Wall 防火墙命令行手册
RG-Wall防火墙命令行手册(V1.0)(内部资料,严禁复制)福建星网锐捷网络有限公司版权所有侵权必究锐捷网络产品部测试中心第1页,共197页目录RG-Wall防火墙命令行手册 (1)1.导言 (8)1.1.本书适用对象 (8)1.2.手册章节组织 (8)1.3.登录命令行页面 (9)1.4.命令行概述 (10)1.5.相关参考手册 (13)2.2系统配置 (14)2.1.系统时钟systime (14)2.2.系统启动和运行时间runtime (15)2.3.超时退出时间timeout (15)2.4.时钟服务器timesrv (16)2.5.升级许可sysupdate (17)2.6.系统配置syscfg (18)2.7.报警邮箱mngmailbox (20)2.8.日志服务器logsrv (21)2.9.域名服务器dns (22)3.管理配置 (23)3.1.管理方式mngmode (23)锐捷网络产品部测试中心第2页,共197页3.2.管理主机mnghost (24)3.3.系统主机名dns (24)3.4.管理员帐号mngacct (25)3.5.管理员口令mngpass (27)3.6.管理员证书mngcert (27)3.7.集中管理mngglobal (29)3.8.初始配置向导fastsetup (32)4.网络配置 (34)4.1.网络接口sysif (34)4.2.接口IP地址sysip (37)4.3.策略路由route (38)4.4.ADSL拨号adsl (41)4.5.DHCP配置 (43)4.5.1.DHCP服务器dhcpserver (43)4.5.2.DHCP客户端dhcpclient (47)4.5.3.DHCP中继dhcprelay (47)5.VPN配置 (49)VPN 命令概述 (49)5.1.VPN基本配置 (50)5.1.1.设置基本参数 (50)5.1.2.显示基本参数 (51)5.1.3.设置DHCP over IPSec信息 (51)5.1.4.显示DHCP over IPSec信息 (52)锐捷网络产品部测试中心第3页,共197页5.1.5.VPN模块启动、停止 (52)5.2.VPN客户端分组 (53)5.2.1.添加VPN客户端分组 (53)5.2.2.设置VPN客户端分组 (54)5.2.3.删除VPN分组 (55)5.3.远程VPN配置 (56)5.3.1.添加远程VPN (56)5.3.2.设置远程VPN (63)5.3.3.显示远程VPN网关 (68)5.3.4.删除网关 (69)5.3.5.网关生效 (69)5.3.6.网关失效 (70)5.4.隧道配置 (70)5.4.1.添加隧道 (70)5.4.2.设置隧道 (72)5.4.3.显示隧道 (73)5.4.4.删除隧道 (73)5.4.5.隧道生效 (74)5.4.6.隧道失效 (74)5.5.VPN设备 (75)5.5.1.添加虚设备 (75)5.5.2.编辑虚设备 (75)5.5.3.删除虚设备 (76)5.5.4.显示虚设备 (76)5.6.证书管理 (76)锐捷网络产品部测试中心第4页,共197页5.6.1.显示证书 (77)5.6.2.删除证书 (77)5.7.PPTP/L2TP配置 (78)5.7.1.服务器配置pptpserver (78)5.7.2.拨号用户pptpuser (79)6.对象定义 (82)6.1.地址defaddr (82)6.2.地址组defaddrgrp (83)6.3.服务器地址defsrvaddr (84)6.4.NAT地址池defaddrpool (85)6.5.服务defsvc (87)6.6.服务组defsvcgrp (90)6.7.代理defproxy (92)6.8.邮件过滤defmail (95)6.9.时间deftime (97)6.10.时间组deftimegrp (99)6.11.保护主机hostprotect (100)6.12.保护服务svcprotect (103)6.13.限制主机hostlimit (106)6.14.限制服务svclimit (108)6.15.带宽策略bandwidth (111)6.16.URL列表defurl (112)6.17.病毒过滤 (113)7.安全策略 (115)锐捷网络产品部测试中心第5页,共197页7.1.安全规则policy (115)7.2.地址绑定ipmac (128)7.3.P2P限制 (130)7.4.IDS产品联动ids (134)7.5.抗攻击anti (137)7.6.入侵防护ips (140)8.高可用性 (142)8.1.HA基本配置 (142)8.2.路由模式HA (144)8.2.1.VRRP实例vrrp (144)8.2.2.VRRP关联vrrpbunch (145)8.3.桥模式HA (148)8.3.1.桥配置 (148)9.用户认证 (151)9.1.用户认证服务器authsrv (151)9.2.用户defuser (152)9.3.用户组defusergrp (154)10.系统监控 (159)10.1.网络监控netmonitor (159)10.2.系统信息sysinfo (164)10.3.看日志log (165)10.4.ipsec隧道监控 (166)10.5.在线用户defuser (167)锐捷网络产品部测试中心第6页,共197页10.6.查看ARP表arp (167)10.7.IP探测ping (168)10.8.域名查询dnssearch (168)10.9.路由探测traceroute (168)11.其它 (170)11.1.接收文件rcvfile (170)11.2.显示分页disppage (170)11.3.设置提示符prompt (170)11.4.退出命令行界面quit (171)12.使用技巧 (172)13.命令索引 (173)锐捷网络产品部测试中心第7页,共197页1. 导言1.1. 本书适用对象本手册是RG Wall防火墙管理员手册中的一本,主要介绍如何通过终端的命令行(Command Line Interface,以下简称CLI)方式对RG Wall防火墙进行配置管理。
锐捷无线AP交换机配置教程之欧阳引擎创编
无线AP欧阳引擎(2021.01.01)无线AP(Access Point)即无线接入点,它是用于无线网络的无线交换机,也是无线网络的核心。
无线AP是移动计算机用户进入有线网络的接入点,主要用于宽带家庭、大楼内部以及园区内部,典型距离覆盖几十米至上百米,目前主要技术为802.11系列。
大多数无线AP还带有接入点客户端模式(AP client),可以和其它AP进行无线连接,延展网络的覆盖范围。
首先我们先登陆默认的AP网站:192.168.100.1用户名为admin,密码没有。
出现这个界面就说明已经登陆到AP的网站了。
点击Configure(配置)来配置AP。
点击Quick Start进行快速配置。
点击Start进行下一步配置。
这里默认就好,Next。
这边名字可随便取。
然后Next。
这里一定要填China(CN),然后Next。
这里设置无线交换机的密码。
(自拟)这里设置时间可改可不改。
默认下一步就好了。
这里可修改可不修改。
这里是给vlan加标签,可更好的管理。
(默认)是否想手工配置这个AP,选择Yes。
这里的Model一定要选对(在AP的后面就有),11b/11g,这里一定要选Enable。
Connection method选择第一个是按照交换机的第二个端口连接到AP。
选择第二个是按照自己的安全码来选择AP。
出现这个界面,AP 的基本配置就配好了,然后Finish。
这里的IP将自动出现,因为刚才在Quick Start里已经配置过了。
这里的首选DNS,是局域网的DNS。
这里的1是默认的,2是自己配置的,只需填写Name就可以了。
Enabled和poe enabled的勾都要打上。
Enabled是开启这个端口,poe enabled是给AP供电的。
默认就好。
这里也默认。
这里的VLANs只需要设置DHCP Server。
DHCP分配给客户机的地址范围,这里配置的是121-200的地址可用。
这里的安全设置只需要默认就可以了。
网络防火墙配置指南:详细步骤解析(五)
网络防火墙配置指南:详细步骤解析在互联网时代,网络安全成为了一项非常重要的任务。
为了保护个人隐私、企业机密和国家安全,网络防火墙成为了一个必不可少的工具。
本文将为您提供一份详细的网络防火墙配置指南,以帮助您了解如何配置并保护您的网络安全。
第一步:设定目标在开始配置防火墙之前,您需要确定您的目标。
您可能需要配置防火墙来保护整个网络或者特定的部分。
您还需要考虑到网络中存在的威胁类型,例如未经授权的访问、恶意软件和数据泄露等。
明确目标和需求将有助于您进行下一步的配置。
第二步:选择正确的防火墙设备选择适合您网络需求的防火墙设备非常重要。
根据您的网络规模和安全需求,您可以选择硬件防火墙、软件防火墙或者云防火墙。
硬件防火墙适用于大型网络,软件防火墙则适用于小型网络,而云防火墙提供了弹性和易扩展性。
第三步:进行基本设置在配置防火墙之前,您需要进行一些基本设置。
这包括设定管理员密码、配置基本网络设置、启用日志记录和时间同步等。
管理员密码的设置非常重要,因为它可以保护您的设备免受未经授权的配置更改。
第四步:设定访问控制列表(ACL)访问控制列表是防火墙的核心组成部分,用于控制网络流量。
您需要明确哪些流量是允许进入网络的,哪些是被拒绝的。
您可以基于IP地址、端口号和协议类型等因素来配置ACL。
确保只有经过授权的流量可以通过防火墙。
第五步:配置NAT和PAT网络地址转换(NAT)和端口地址转换(PAT)是防火墙的另一个重要功能。
它们可以将私有IP地址转换为公共IP地址,实现内部网络与外部网络的通信。
配置NAT和PAT时,您需要定义内外部接口和地址映射规则。
确保网络地址转换能够正常工作。
第六步:设置虚拟专用网络(VPN)虚拟专用网络(VPN)可以通过加密技术实现远程访问网络。
您可以设置VPN以便远程用户可以安全地访问您的网络资源。
在配置VPN 时,您需要选择适当的协议(如IPSec或SSL),定义加密算法和身份验证方法,并指定允许访问的用户和IP地址。
网络防火墙配置指南:详细步骤解析(九)
网络防火墙配置指南:详细步骤解析在当今互联网时代,网络安全问题日益突出,网络防火墙成为企业和个人必备的安全设备之一。
网络防火墙作为一种安全设备,可以监控和控制网络流量,保护内部网络免受来自外部的恶意攻击和未经授权的访问。
本文将详细介绍网络防火墙的配置步骤,以帮助读者更好地了解如何设置和保护自己的网络安全。
一、确保硬件和软件准备就绪在开始配置网络防火墙之前,首先需要确保所使用的硬件和软件已经准备就绪。
硬件方面,选择一台性能稳定、适用于自己网络规模的防火墙设备,例如思科、华为等品牌的设备。
软件方面,确保所使用的防火墙软件已经正确安装,并进行了适当的配置。
二、了解网络拓扑和需求在配置网络防火墙之前,了解网络拓扑和实际需求是非常重要的。
通过了解网络的架构和连接关系,可以更好地决定防火墙的配置策略。
确定具体的防火墙规则和访问控制策略,以满足网络安全需求,并保护网络免受潜在的威胁。
三、配置基本网络设置在配置防火墙之前,需要进行基本网络设置。
包括设定防火墙的IP地址、子网掩码、默认网关等信息,确保防火墙能够正确地与其他设备进行通信。
此外,还需配置DNS服务器、时钟同步服务等,以保证防火墙正常运行。
四、设置网络地址转换(NAT)网络地址转换(NAT)是防火墙配置中的关键步骤之一。
通过NAT,可以将内部网络的私有IP地址转换为公共IP地址,保护内部网络的隐私和安全。
根据实际需求,设置相应的NAT规则,将内部网络的IP地址与公网IP地址进行映射,实现内外网络的互通。
五、配置访问控制列表(ACL)访问控制列表(ACL)是防火墙配置中的另一个重要步骤。
通过ACL,可以限制内外网络之间的通信,保护内部网络免受不必要的访问和攻击。
配置ACL规则,包括源IP地址、目的IP地址、端口号等,以控制特定的网络流量。
同时,可根据安全策略,配置防火墙的策略路由,对不同类型的流量进行不同的处理。
六、设置虚拟专用网络(VPN)虚拟专用网络(VPN)可以加密网络传输,提供安全的远程访问和通信。
锐捷防火墙的基本配置
防火墙包过滤规则配置实验1、实验网络连接图192.168.1X.2Web Server202.198.3X.2 Mail Server192.168.1X.3192.168.2X.22、实验步骤步骤1:在防火墙上按照上图的要求对接口进行配置;步骤2:在防火墙上按下面安全策略的要求对包过滤规则进行配置:—允许LAN 上任何设备访问通过80端口访问DMZ中的Web Server;—允许LAN 上任何设备访问通过25和110端口访问DMZ中的Mail Server; —允许LAN 上任何设备访问通过ICMP协议访问DMZ中的任何设备;—允许LAN 上任何设备访问Internet;—允许Internet 上的任何设备通过80端口访问DMZ中的Web Server;—允许Internet 上的任何设备通过25和110端口访问DMZ中的Mail Server; —拒绝Internet 上的任何设备通过任何端口访问LAN;—拒绝Internet 上的任何设备通过其它任何端口访问DMZ;—拒绝DMZ 上的任何设备通过任何其它端口访问LAN和Internet;步骤3:测试网络路由的连通性:按照上述规则要求,用ping 、telnet和浏览器测试各设备之间的连通性。
防火墙静态地址转换(NAT)配置实验1、实验网络连接图192.168.1X.2Web Server202.198.3X.2 Mail Server192.168.1X.3192.168.2X.22、实验步骤步骤1:在防火墙上按照上图的要求对接口进行配置;步骤2:在防火墙上按下面静态地址转换要求进行配置:—允许Internet 上的任何设备通过IP为202.198.3X.100,端口为80访问DMZ 中的Web Server;—允许Internet 上的任何设备通过IP为202.198.3X.101,端口为25和110端口访问DMZ中的Mail Server;步骤3:测试网络路由的连通性:按照上述规则要求,用ping 、telnet和浏览器测试各设备之间的连通性。
锐捷网络方案之欧阳学创编
目录1.方案拓扑及特点介绍21.1方案拓扑21.2方案特点介绍31.2.1 锐捷产品高性能、高可靠性,保证网络安全稳定运行31.2.2网络级ARP防护体系31.2.3 MAC绑定,实现安全接入控制31.2.4 整合双出口线路,实现负载均衡31.2.5 交换机VLAN隔离技术,保障通信安全41.2.6 完善的Qos策略,保证关键网络应用优先转发41.2.7 强大的防攻击能力和网络病毒防御能力41.2.8 完善的流量控制,保证网络带宽资源的合理利用52.方案产品介绍52.1NBR1100电信级防攻击宽带路由器52.2RG-S3250安全智能三层交换机72.3RG-S2026F接入交换机103. 产品清单121.方案拓扑及特点介绍1.1 方案拓扑本方案全部采用国内三大网络厂商之一的“锐捷网络”的产品。
采用出口、核心、接入三层架构的网络解决方案网络层次结构清晰简单。
二层网络上实现VLAN划分,出口NBR路由器,内置防火墙,支持自动检测冲击波和震荡波病毒。
可识别并阻断机器狗病毒的中毒过程,同时显示试图访问带毒网站的主机信息和带毒网站的IP 地址。
弹性带宽、智能限速:可针对全网、单个IP或IP 段进行上传下载速率的分别弹性限制。
全web管理和监控界面,降低网络管理技术门槛。
1.2 方案特点介绍1.2.1 锐捷产品高性能、高可靠性,保证网络安全稳定运行福建星网锐捷网络有限公司是国内三大网络厂商之一,其产品的高性能,高可靠性在国内众多高校(包括川大、电子科技大学等)、金融行业(建行、农行)以及政府机关(四川省委组织部等),国资委企业(四川路桥集团,川投集团,华西集团等)得到了充分的验证,值得信赖。
1.2.2网络级ARP防护体系锐捷NBR路由器提供强大的ARP欺骗防御能力,除传统IP/MAC静态绑定防御ARP病毒外,锐捷独家“可信任ARP”专利技术能够实现在不用人工干预的情况下,路由器自动识别欺骗,实现动态IP/MAC地址的绑定。
网络防火墙配置指南:详细步骤解析(一)
网络防火墙配置指南:详细步骤解析随着互联网的快速发展,网络安全问题变得越来越重要。
为了保护企业和个人用户的网络安全,配置防火墙已经成为必不可少的一环。
那么,如何进行网络防火墙的配置?下面将详细解析网络防火墙配置的步骤。
第一步:了解防火墙的基本概念在配置防火墙之前,我们首先要了解防火墙的基本概念。
防火墙是一种网络安全设备,主要通过控制网络通信流量来保护内部网络免受外部攻击。
防火墙根据预设的安全策略进行过滤和监控,从而实现网络的安全性。
第二步:选择合适的防火墙设备在配置防火墙之前,我们需要选择合适的防火墙设备。
市面上有许多不同型号和品牌的防火墙设备可供选择,如思科、迈普等。
在选择时,我们需要根据实际需求和预算来确定合适的设备,同时也要考虑设备的性能和扩展性。
第三步:定义网络安全策略在配置防火墙之前,我们需要定义网络安全策略。
网络安全策略是一组规则和约束条件,用于指导防火墙的过滤和监控行为。
根据实际需求,我们可以定义不同的安全策略,如允许或禁止某些特定的网络通信流量、限制某些网络服务的访问等。
第四步:配置网络安全策略在配置防火墙之前,我们需要根据定义的网络安全策略来配置防火墙。
具体配置步骤根据不同的防火墙设备会有所差异,但通常包括以下几个方面:1. 确认防火墙的管理接口和IP地址;2. 设置管理员账户和密码,用于登录和管理防火墙;3. 配置网络接口,指定网络接口的IP地址、子网掩码等信息;4. 创建访问控制列表(ACL),定义允许或禁止的网络流量;5. 配置NAT(网络地址转换)规则,实现内部私有IP地址和外部公共IP地址的映射;6. 配置VPN(虚拟专用网络)隧道,实现远程访问和安全通信;7. 设置日志和报警机制,以便及时发现和应对安全事件。
第五步:测试防火墙配置的有效性在完成防火墙的配置后,我们需要进行测试,以验证配置的有效性。
测试可以包括以下几个方面:1. 尝试访问被禁止的网络服务或网站,验证是否被防火墙拦截;2. 尝试从外部网络访问内部网络资源,验证是否需要通过VPN隧道;3. 模拟一些常见的攻击行为,如端口扫描、ARP欺骗等,验证防火墙的安全性。
第4部分锐捷防火墙配置解析
启用连接限制
专业务实
学以致用
谢谢收看! 请多指教!
专业务实 学以致用
配置内部主机与公有地址间的映射,用于服务器发布
端口映射规则
配置内部服务与外部服务间的映射,用于对外发布服务
专业务实
学以致用
配置规则(续)
专业务实
学以致用
包过滤规则
指定源地址信息
指定源目的地址信息
指定协议或服务信息 指定过滤动作
专业务实
学以致用
NAT规则
指定被转换报文 的源地址信息
指定被转换报文 的目的地址信息
专业务实
学以致用
RG-WALL防火墙管理界面
专业务实
学以致用
登录RG-WALL防火墙
RG-WALL防火墙默认配置
WAN接口为管理接口,IP为192.168.10.100 默认管理员帐号“admin”,密码“firewall”
登录方式
Байду номын сангаас证书认证
导入管理员证书到浏览器 https://192.168.10.100:6666
计算机网络安全技术与实施
第四部分 锐捷防火墙技术
专业务实
学以致用
目录
1
RG-WALL防火墙介绍
2
RG-WALL防火墙管理界面
3
配置管理主机
专业务实
学以致用
RG-WALL防火墙介绍
锐捷RG-WALL防火墙
状态过滤 应用层检测 NAT 防攻击 透明防火墙 流量控制 高可用性 VPN
专业务实
学以致用
配置对象(续)
时间对象
时间列表&时间组
定义时间的集合 可被任何规则引用
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
锐捷网络防火墙配置指南欧阳家百(2021.03.07)(更新日期)锐捷网络800技术支持中心技术热线:800-858-1360目录一、RG-Wall防火墙注册指南2二、RG-Wall防火墙PAT设置指南16三、RG-Wall防火墙DNS分离功能设置19四、RG-Wall防火墙LSNAT设置指南25五、RG-Wall防火墙反向PAT设置指南28六、RG-Wall防火墙配置VPN指南32七、RG-Wall防火墙日志服务器部署指南38一、RG-Wall防火墙注册指南用准备好随机携带的串口线连接管理PC串口端口与RG-Wall 的Console口;使用windwos自带的通讯工具”超级终端”登录防火墙(→开始→程序→附件→通讯→超级终端):设置好超级终端参数之后,接通防火墙电源,RG-WALL系统开始启动。
系统登入的默认ID和口令值如下(注意区分大小写):ID :rootPW : rg-wall123登录系统,在终端或显示器屏幕的提示符后输入si, 出现防火墙登录界面,要求输入用户名密码。
用户名为admin ,口令为admin123。
登录后,即出现如下所示的登陆界面:输入reinstall注册防火墙,系统提示”Do you want to proceed anyway? “输入Y继续,防火墙重启。
系统重启完后,重新登陆后,会进入以下状态:按“任意键”正式进入注册步骤:输入防火墙的软件序列号、授权代码(在防火墙随机带的“产品授权使用证书”上)输入”O”(下同)进入防火墙工作模式的设置(默认情况下为“路由模式”):进入超级管理员的帐号、密码、管理权限设置:进入设定防火墙的机器名,语言版本等信息,注意防火墙机器名为了便于以后管理,请一定采用xxx.xxx.xxx ()的域名表示方式。
这里使用中文版本:进入防火墙的时间设定,在此采用系统默认时间:进入防火墙管理员IP地址设置(最多可以设置10个管理员IP 地址):进入防火墙网卡的IP地址设置如下图(LAN 1口IP地址为192.168.1.1):进入防火墙VLAN设置,在此处跳过:进入防火墙静态路由设置,添加Default gateway(缺省网关,在此为192.168.26.10)进入防火墙动态路由设置,以下都跳过:进入配置域名服务的有关信息。
提示:输入域名时,一定是前面输入过的机器名的域名部分。
进入防火墙策略的设置,在此,允许所有的的数据通过并进行PAT:至此,完成防火墙的注册。
防火墙重启之后,在管理主机(比如192.168.1.47)上,使用防火墙的IP地址192.168.1.1即可登录防火墙的IE管理界面:二、RG-Wall防火墙PAT设置指南使用防火墙RG-WALL50的0口(DMZ)与1口分别连接不同网段的内网,同时实现两个网段共享上网。
RG-WALL50防火墙2口用于连接internet(在此为192.168.26.47),缺省网关为192.168.26.10;1口用于与192.168.1.0/24网段主机连接,接口IP地址为192.168.1.1;0口用于连接192.168.0.0/24网段(WEB服务器为192.168.0.47,tcp80端口),接口IP地址为192.168.0.1。
三、RG-Wall防火墙DNS分离功能设置防火墙DNS分离功能设置防火墙LSNAT设置1、选择“启用LSNAT”选择框,使用“+”图标,输入IP和端口,而且TCP,UDP,ANY中选择协议。
2、点击,进入“添加子主机”界面(添加内部服务器的IP地址):应用之后,点击确定,即可完成LSNAT的配置。
实现DNS分离功能1、设置外部域名服务器:把公网上的DNS地址输入文本框:2、DNS设置;选中“启用分离DNS”,“内部DNS”,将域名添加到列表中;如:添加(注意:不是www. )3、增加区域列表,此时区域是SOA(Start Of Authority的缩写,不可改);IP输入(一定是),邮件输入 (任意的,没有限制);4、再增加区域列表,此时区域选择NS;IP输入(一定是),5、再增加区域列表,主机: 此时区域选择A;IP输入内网IP 192.168.1.47:6、如果要添加多台服务器的域名解析,只需要重复步骤5,即可;最后点击应用、确认.PC的IP地址设置DNS地址设置成防火墙内网口,PING ,地址解析成192.168.1.47;PING ,地址解析成公网地址,验证DNS分离功能实现;在IE浏览器内输入域名即可访问四、RG-Wall防火墙LSNAT设置指南防火墙的基本IP配置介绍:eth1 192.168.1.0/24 连接局域网,eth2 192.168.26.0/24 连接外网,如下图:缺省网关:防火墙LSNAT设置:1、选择“启用LSNAT”选择框,使用“+”图标,输入IP和端口,而且TCP,UDP,ANY中选择协议。
2、点击,进入“添加子主机”界面(添加内部服务器的IP地址):应用之后,点击确定,即可完成LSNAT的配置。
五、RG-Wall防火墙反向PAT设置指南RG-Wall防火墙反向PAT设置需求:服务器172.16.2.13 通过RG-WALL 翻译成公网地址61.233.14.73 服务器,172.16.2.12 通过RG-WALL 翻译成公网地址61.233.14.74;内部网络用户172.16.1.0/24 网段的用户可以直接通过公网IP 地址访问放在防火墙内部网络的服务器,公网用户可以通过公网IP 访问通过防火墙提供服务的公网服务器.。
配置默认路由下一跳 61.233.14.65 。
RG-WALL 基本配置:外网地址61.233.14.66 DMZ 地址172.16.2.252 内网地址172.16.1.1 默认路由61.233.14.65从ISP 获得公网地址61.233.14.66-61.233.14.76静态NAT 配置公网用户可以使用公网IP 访问放在防火墙DMZ 区域的服务器172.16.2.13 对应 61.233.14.73172.16.2.12 对应 61.233.14.74反向PAT 配置指定所需要内网访问的网段对应需要内网用公网IP 访问的服务器公网IP 地址。
建议反向PAT 地址是一个没有被使用的公网地址,本案例中使用的是61.233.14.72 只需要配置1 个反向PAT 地址即可正向PAT ,内网172.16.1.0/24 的用户可以通过Eth2 访问Internet反向PAT ,内网172.16.1.0/24 的用户可以通过Eth1 访问由防火墙转换的放在内网的服务器,例如61.233.14.73 或者61.233.14.74通过反向PAT , 客户就可以在内网使用公网地址访问放在内部网络的服务器。
访问速度为内网访问速度。
由于静态NAT 使用的一对一地址映射,映射后的主机拥有公网地址,建议采用严格的过滤规则来保护服务器,相关设置可在策略规则中设定。
六、RG-Wall防火墙配置VPN指南本文档介绍了如何用我司的防火墙做vpn服务器,客户端使用锐捷专用程序拨入的配置方法。
网关到网关的配置请参考说明书。
在配置vpn的时候,建议先做好网络对象,以备在做用户组的时候可以给拨入用户分配访问不同对象的权限。
配置IKE:由于是用pc拨入防火墙,这里只要设置第二个页面即default config就可以了,不用修改参数,按默认就可以正常工作。
如下图:配置vpn列表:配置phase 1 proposal,按默认的就可以了。
如下图:配置phase 2 proposal,把encapsulation mode 改为transport mode即可。
配置ip pool,主要是设置一个地址池,用于分配给拨入的用户,配置好后,请点击一下应用,否则在建立组时无法发现本地址池:如下图配置user-group,建立一个用户组,与ip pool关联起来,再分配本组的权限,如可以访问哪个网段、服务器等(这些网段都是在规则中建立的网络对象)。
配置remote user,建立远程拨入的用户名与密码,并与user-group 关联。
配置remote gw ,这个可以不用配置,因为远端的IP不是固定的。
安装配置锐捷专用客户端:安装客户端程序:双击安装程序,按安装向导的提示一步一步的安装完成后,安装向导会提示重启计算机,按yes重启计算机即可。
配置客户端程序:这里输入remote user名该用户的密码,不少于6位数防火墙公网IP地址点connect进行拨号拨号完成后,在windows的cmd下面,可以看到如下的信息:C:\>ipconfigWindows 2000 IP ConfigurationEthernet adapter {14777F92-9B56-448D-B11D-FFC3F5397561}:Connection-specific DNS Suffix . :IP Address. . . . . . . . . . . . : 172.16.1.2Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . :注意事项:在拨号进入防火墙后,在本地只能看到防火墙所分配的IP地址,没有网关地址,这方面无关紧要,只要在user-group里面设置好对应的权限就可以访问。
七、RG-Wall防火墙日志服务器部署指南安装条件Kiwi_Syslogd.exe 软件包(接收从防火墙上发过来的信息流)wtfTrial v31.exe 软件包(分析从Kiwi_Syslogd.exe捕获到的日志)安装过程安装Kiwi_Syslogd安装wtfTrial v31该安装过程需要一点时间,请耐心等待注册wtfTrial v31输入序列号即可部署日志服务器欧阳家百创编实验拓扑图本机IP设置WebTrends Firewall suite v3.1d设置Save Log Files To:C:\firewall_log(和Kiwi_Syslogd保存日志的文件一致)设置Kiwi Syslog DaemonPath and file name of log file: C:\firewall_log\2005-11-23.log (日志保存路径及日志文件命名规则)防火墙日志设置采集日志请耐心等待生成报表:八、RG-WALL50\150的pppoe的配置指南下面是针对于50及150火墙的pppoe的配置,配置步骤如下:1.进入管理界面:这样,选择你要运行pppoe的端口就可以直接设置为ADSL 模式。
然后你要填写相应的用户名和密码。