防火墻部署到互聯網出口處,作為代理網關的配置
防火墻設備的典型應用環境是將設備以路由模式部署在公網出口,代理內網上網,像一個路由器一樣部署在網絡中,如下圖所示:
1、防火墻設備工作在路由模式時,LAN內網終端的網關地址指向防火墻的內網接口IP地址,或者三層交換機,三層交換機的網關再指向防火墻設備。
2、內網終端到互聯網數據由防火墻做NAT轉發出去。
3、當防火墻有多個路由接口時,多個路由接口可以設置同網段的IP地址,通過靜態路由決定數據從哪個網口轉發。
4、防火墻設備支持配置多個WAN口屬性的路由接口連接多條外網線路,但是需要開通多條線路的授權。
配置流程:
1、通過IE瀏覽器,進入防火墻管理界面; 2、配置外網接口;通過『網絡配置』→『接口/區域』,點擊需要設置成外網接口的接口,如 eth2,出現以下頁面:
接口[類型]選擇路由。
[基本屬性]可以設置是否為 WAN 口和允許 PING。連接上行鏈路的接口需要勾選 WAN口。
[區域]選擇接口 eth2 所屬的區域。區域需要提前設置。
[連接類型]包括靜態 IP、DHCP、ADSL 撥號三種,根據該線路的特征進行配置;
3、配置內網接口。選擇空閑網口、點擊接口名稱進入配置頁面,配置內網接口接口類型為路由接口,WAN 口類型為否、配置 IPv4 地址等,如下圖所示:
4、配置路由
需要配置一條到 0.0.0.0/0.0.0.0 的默認路由指向前置網關 1.1.1.2,同時因為本例內網接口接的跨三層的多個網段,需要添加到各網段的靜態路由到三層交換機。
5、配置代理內網上網請關注后續文件有關源地址轉換配置。
6、防火墻設備連接將設備接入網絡中,eth2 口連接光纖,eth1 口接內網三層交換機。
7、內網VLAN配置若內網劃分了多個VLAN區域,部署防火墻設備,通過防火墻做VLAN間路由和內網VLAN 的網關。
首先配置內網接口,通過『網絡配置』→『接口/區域』→『物理接口』,點擊需要設置成內網接口的接口,如 eth2。內網接口必須設置成路由接口,WAN 口屬性為否,IP地址和網關可任意配置,如下圖所示:
第二添加 VLAN 子接口。通過『網絡配置』→『接口/區域』→『子接口』,點擊新增,如下圖所示:
[物理接口]選擇在哪個物理接口下添加子接口,只能在路由口下添加子接口。
[VLAN ID]設置此子接口的 VLAN ID。
[連接類型]可以選擇靜態 IP 或者 DHCP,如靜態 IP,則填寫對應 VLAN 的網關地址。
點擊提交,保存配置,并按照相同的方法新增 VLAN3 的子接口。
