前言
本文檔是初識防火墻的引路者,閱讀本文后您將對防火墻配置過程有了初步認識,并完成防火墻基本配置。
01 建立防火墻訪問外部服務通道
1.1 背景信息
配置三層接入、配置二層透明接入中完成了內網PC訪問Internet的基礎網絡部署,防火墻本身進行特征庫升級、License在線激活等需要防火墻可以訪問Internet的外部服務。
1.2 操作步驟
【1】確保防火墻提供一個三層接口IP地址連接安全中心、License中心等。
三層接入一般使用公網接口IP地址即可;二層透明接入則需要配置一個VLANIF接口,配置接口IP并加入安全區域,具體步驟參見上一期二層透明接入后續處理。
另外注意確保該地址到Internet路由可達。
【2】確保防火墻已經配置DNS服務器,否則防火墻無法通過域名訪問外部服務。
選擇“網絡 > DNS > DNS”,檢查是否已經配置了DNS服務器,如果沒有配置請增加DNS服務器。
【3】可選:如果接口IP是私網地址,還需要配置源NAT。
二層透明接入時,根據規劃可能防火墻進行NAT轉換,也可能出口路由器進行NAT轉換。
選擇“策略 > NAT策略 > NAT策略”,配置NAT策略對接口IP地址進行轉換。
【4】配置安全策略允許防火墻訪問外部服務、DNS服務器等。
選擇“策略 > 安全策略 > 安全策略”,允許local安全區域訪問Internet所在安全區域。
放行的服務等根據業務需求制定,例如防火墻訪問DNS服務器要放行DNS,防火墻升級特征庫要放行HTTPS。
02 測試網絡連通性
完成上述配置后,內網PC、防火墻均可以訪問Internet,可以按如下操作進行測試。
2.1 測試內網PC訪問Internet
在內網PC瀏覽器中輸入一個網址,測試是否可以打開網頁。如果打開網頁失敗,嘗試如下方法排障:
【1】選擇“網絡 > 接口”,在接口列表中檢查防火墻內、外網接口的狀態是否Up。如果外網接口Down,請確認防火墻的配置與網絡服務商提供的參數是否一致。
【2】檢查內網PC是否正常設置IP地址和DNS服務器;如果配置了防火墻為PC分配地址,則在cmd窗口執行ipconfig /all命令檢查PC是否正常通過防火墻獲取IP地址和DNS服務器,如果PC沒有獲取到地址請檢查防火墻的DHCP服務配置。
【3】登錄防火墻Web界面選擇“監控 > 診斷中心”,單擊“網頁診斷”頁簽。輸入內網PC的IP地址以及網頁URL,單擊“診斷”。根據診斷信息進行故障處理。
2.2 測試防火墻訪問Internet
使用防火墻Web界面提供的升級中心(isecurity.huawei.com)連通性測試功能進行測試。
選擇“系統 > 升級中心”,單擊“測試升級中心鏈接”鏈接,彈出檢測結果頁面。如果連接失敗,請按照提示信息進行修改。
E安全
安全圈
關鍵基礎設施安全應急響應中心
關鍵基礎設施安全應急響應中心
FreeBuf
安全內參
天億網絡安全
系統安全運維
GoUpSec
D1Net
商密君
黑白之道
