【信息网络学习day1 防火墙配置--天融信NGFW4000】

信息网络培训学习第一天，今天主要学习了防火墙的相关配置。

本文学习天融信NGFW4000的相关配置。NGFW4000的初始管理员用户名是superman，密码是talent，可以通过网线连接eth0口，并将本机ip设为192.168.1.254/24网段中的其他ip，通过浏览器访问**https://192.168.1.254 **进行web配置。

主界面

web登录防火墙管理界面后，可以在主界面看到许多可以配置的属性。

工作中一般需要学习配置的属性有网络管理、资源管理、防火墙等，其他不是很常用，这里暂不学习。

这里使用下面的拓扑来学习防火墙的相关设置。

网络管理

接口配置

找到对应物理接口，编辑IP地址即可。

这里要注意的是，eth0网卡默认网段是192.168.1.254/24，似乎不可以修改。

这里分别给eth2、eth3口配置拓扑图中ip及掩码。点击添加后确定即可。

路由配置

静态路由

静态路由的配置在路由表项中直接添加路由即可，其中网关即下一跳，接口即出接口。

这里配置来去两条静态路由，目的地址如果是0.0.0.0/0.0.0.0的话，该静态路由即缺省路由。

ospf

ospf的设置在动态路由ospf选项卡下，启动后在下方区域配置中可以添加运行网段。

这里启用防火墙直连两个网段，区域设置为1。

配置后也可以点击动态路由ospf选项卡下的查看按钮，来查看ospf的配置等控制台信息。

其它

天融信防火墙还可以启用策略路由、动态路由RIP、多播路由等功能，由于工作中不常用，这里暂且略过。

DHCP

DHCP在DHCP服务器选项卡下配置。选择运行的物理接口后，要先添加地址池，然后启动即可。

这里在eth1卡上启用DHCP服务，子网为10.0.0.0/24，分配地址段为10.0.0.5-10.0.0.10，网关配置10.0.0.2，这里需要注意，如果配置了网关且网关ip在分配地址段中，则自动排除网关ip的下发。

配置完成后可以看到，DHCP服务已经启用，点击查看分配地址可以看到已经分配到ip地址的终端的相关信息。

资源管理

地址配置

地址配置下，可以对单一IP、IP段、子网及混合组合进行自定义添加，便于资源管理。

主机

单一IP地址的添加在主机选项卡下。设置名称（便于记忆，无实际意义）后，添加ip地址即可。

这里似乎可以添加多个地址，没有尝试，不清楚。

范围

IP地址段的添加在范围选项卡下。设置名称（便于记忆，无实际意义）后，填写起止地址，同时也可以添加排除地址。

子网

IP子网段的添加在子网选项卡下。设置名称（便于记忆，无实际意义）后，填写子网地址及掩码，同时也可以添加排除地址。

这里将拓扑中两个内外网段添加后，可以看到这两个网段已出现在列表中。

地址组

多IP混合组合的添加在地址组选项卡下。设置名称（便于记忆，无实际意义）后，添加在前面选项卡配置过的主机、范围、子网等即可。

区域配置

区域配置主要用于将物理端口划入自定义的区域中，并设置访问权限是允许或禁止。

这里分别将物理口eth2、eth3划入区域eth30、eth31中，并设置权限为允许。

防火墙

访问控制列表（ACL）

在天融信防火墙中，标准ACL与扩展ACL均在访问控制选项卡下点击添加策略按钮添加。

在添加策略的界面中，如果选择了服务即是扩展ACL，天融信下ACL默认是针对所有服务生效的。

这里添加一条策略，禁止jnds-nei网段对jnds-wai网段的ping服务。

配置完成后，可以看到该策略已出现在列表中。

地址转换（NAT）

地址转换在地址转换选项卡下添加，有源转换、目的转换、双向转换等模式，工作中主要用到源转换和目的转换。

源转换

添加新的地址转换，将拓扑中的jnds-nei网段对jnds-wai网段配置源转换，源地址转换为出接口地址eth3。

可以看到，jnds-nei网段对jnds-wai网段的源转换已经出现在列表中。

目的转换

目的转换模式的地址转换，为外网用户提供访问内网服务器的服务。

这里配置内网服务器地址为10.0.0.253，对任意网段访问外网口eth3的自动转换为访问服务器地址。

双向转换

双向转换即对同一源地址/目的地址提供源转换与目的转换，配置方法与上面大体一致。