典型应用环境
三网口纯路由模式
图 5�1三网口纯路由模式
注意:网御3000防火墙的基本配置是有四个物理设备,其中fe1是默认的可管理设备(默认启用),。fe2一般用于HA,所以在这个图中,没有使用fe2。
需求描述:
上图是一个具有三个区段的小型网络。,;,;,。
,;,;,。;;。
.10,端口是80;,端口是25和110;,端口是21。
安全策略的缺省策略是禁止。区段的http,smtp,pop3,ftp服务;区段访问DMZ网络区段的服务器。其他的访问都是禁止的。
配置步骤:
WEBUI
网络配置>网络设备>:编辑物理设备fe1,,。
注意:fe1默认是用于管理的设备,如果改变了它的地址,就不能用原来的地址管理了。,如果没有事先添加其他的管理主机地址,将会导致防火墙再也不能被管理了(除非用串口登录上去添加新的管理主机地址)。其他设备默认是不启用的,所以配地址时要同时选择启用设备。
网络配置>网络设备>:编辑物理设备fe3,,。
网络配置>网络设备>:编辑物理设备fe4,,。
网络配置>静态路由>:。目的地址,,接口选择fe4。
注意:策略配置是基于资源的,所以在配置下面的策略时,请先定义如下的资源:
:,
:,
址 ,
MAIL_SERVER :,
FTP_SERVER :,
策略配置>安全规则>:,目的地址是any,服务是http,动作是允许的包过滤规则。
策略配置>安全规则>:,目的地址是any,服务是smtp,动作是允许的包过率规则。
策略配置>安全规则>:,目的地址是any,服务是pop3,动作是允许的包过滤规则。
策略配置>安全规则>:,目的地址是any,服务是ftp,动作是允许的包过滤规则。
策略配置>安全规则>:,目的地址是any,服务是any的NAT规则。
策略配置>安全规则>:添加源地址是any,,服务是http,动作是允许的包过滤规则。
策略配置>安全规则>:添加源地址是any,,服务是smtp,动作是允许的包过滤规则。
策略配置>安全规则>:添加源地址是any,,服务是pop3,动作是允许的包过滤规则。
策略配置>安全策略>:添加源地址是any,,服务是ftp,动作是允许的包过滤规则。
策略配置>安全策略>:,对外服务是http,内部地址是tp的端口映射规则。
策略配置>安全策略>:,对外服务是smtp,内部地址是MAIL_SERVER,内部服务是smtp的端口映射规则。
策略配置>安全策略>:,对外服务是pop3,内部地址是MAIL_SERVER,内部服务是pop3的端口映射规则。
策略配置>安全策略>:,对外服务是ftp,内部地址是FTP_SERVER,内部服务是ftp
联想网御防火墙PowerV功能使用手册 5应用 来自淘豆网m.daumloan.com转载请标明出处.
