如何配置防火墻之防火墻的初始配置

前言

本文檔是初識防火墻的引路者，閱讀本文后您將對防火墻配置過程有了初步認識，并完成防火墻基本配置。

01、防火墻的初始配置

1.1 設備出廠配置

防火墻設備出廠配置如下表。

表1-2 防火墻出廠配置

如需恢復出廠配置，請在Web界面中選擇“系統 > 配置文件管理”,單擊“恢復出廠配置”。

1.2 連線

按下圖連接管理網口、內網口GE0/0/2和外網口GE0/0/3。圖中管理PC與設備管理網口連接，用于登錄Web界面。如果使用命令行配置，首次登錄請使用Console配置線連接管理PC的串口與設備的Console口。

圖1-6 防火墻線纜連接

1.3 登錄Web界面

操作步驟

【1】將管理員PC網口與設備的管理口（MEth 0/0/0或GigabitEthernet 0/0/0）通過網線直連或者通過二層交換機相連。

【2】將管理員PC的IP地址設置為192.168.0.2～192.168.0.254范圍內的IP地址。

【3】在管理員PC的瀏覽器中輸入地址：https://192.168.0.1:8443。

輸入地址登錄后，瀏覽器會給出證書不安全的告警提示，選擇繼續瀏覽。

【4】如果是首次登錄設備，彈出創建管理員帳號界面。輸入用戶名、密碼、確認密碼，然后單擊“創建”。

首次登錄創建的管理員，擁有系統管理員權限和Web服務類型。

【5】帳號創建成功，在彈出的提示框中單擊“確定”。

【6】進入登錄界面，輸入已經創建的用戶名、密碼登錄設備，單擊“登錄”。

訪問Web界面登錄地址時，瀏覽器無法驗證設備提供的默認證書，會有安全告警提示。可以在此界面上單擊“下載根證書”下載證書，然后雙擊證書文件進安裝，下次登錄就沒有安全告警提示了。

【7】新帳號首次登錄，系統彈出修改初始化密碼界面。輸入當前密碼、新密碼、確認密碼，單擊“確定”。

【8】重新進入登錄界面，輸入帳號和新密碼，單擊“登錄”。

防火墻Web界面

防火墻Web界面采用橫向板塊+豎向菜單的導航方式，界面布局如下圖所示。

圖1-7 Web界面布局

后續處理

1.4 配置三層接入

防火墻缺省工作在三層，通常作為企業Internet出口網關，實現內外網通信的同時進行安全防護。此種模式設備通過路由協議轉發各個網段之間的報文。因此，這種接入方式也被稱為“路由模式”。

防火墻三層接入部署在內外網之間時，通常還需要負責內網的私網地址與外網的公網地址之間的轉換，也就是NAT功能，因此這種接入方式又常被稱為“NAT模式”。

圖1-8 防火墻三層接入組網圖

初始接入時，請使用Web界面提供的快速向導，根據企業的Internet接入方式將防火墻快速接入Internet。然后在此基礎上進行高級配置。

執行快速向導后，防火墻具備的基本配置如下：

上網接口：加入untrust區域，并通過管理員選擇的接入方式獲取到公網IP地址。
局域網接口：加入trust區域，私網IP地址配置完畢；如果管理員在向導中啟用了局域網DHCP服務，則局域網接口開啟DHCP服務器功能為局域網PC分配IP地址及DNS服務器地址。
局域網接口為局域網PC分配的DNS服務器為防火墻局域網接口的IP地址，防火墻作為DNS代理接收PC的DNS請求，然后再將DNS請求發往DNS服務器。
源NAT：存在一條Easy IP方式的源NAT策略，出接口是上網接口的所有流量的源IP地址被轉換為上網接口IP地址。
路由：存在一條缺省路由，出接口是上網接口，將流量轉發至Internet。
安全策略：未配置，需要自行手工配置安全策略，允許局域網用戶訪問Internet。

【1】使用三層Internet接入向導：靜態IP

數據準備