华为
防火墙的作用是通过静态IP地址接入Internet,并为内部网络提供网络访问服务。目前,某企业在网络边界处部署了NGFW作为安全网关,并从运营商处购买了宽带上网服务,实现内部网络接入Internet的需求。内部网络中的PC使用私网网段10.3.0.0/24实现互通,要求由NGFW为PC分配私网地址、 DNS
服务器地址等网络参数,减少管理员手工配置的劳动量。而且内部网络中的PC可以访问Internet。那么,应该如何实现这种配置?
一、配置思路
1. 配置接口的地址,并将接口加入相应的安全区域。在配置接口GigabitEthernet 1/0/1
的地址时,同时指定默认网关为1.1.1.254。
2. 配置DHCP服务器功能,为内部网络中的PC分配IP地址和DNS服务器地址。
3. 配置安全策略,允许内部网络中的PC访问Internet。
4. 配置NAT策略, 提供源地址转换功能。由于使用运营商分配的固定公网地址作为转
换后的地址,故采用Easy-IP方式的NAT策略,简化配置。
5. 在运营商网络的设备上配置回程路由,该配置由运营商完成,本举例中不作介绍。
二、操作步骤
步骤1 配置接口GigabitEthernet 1/0/1。
1. 选择“网络 > 接口”。
2. 单击GE1/0/1对应的 ,按如下参数配置。
安全区域
untrust
模式
路由
IPv4
连接类型
静态IP
IP地址
1.1.1.1/255.255.255.0
默认网关
1.1.1.254
3. 单击“确定”。
步骤2 配置接口GigabitEthernet 1/0/3。
1. 选择“网络 > 接口”。
2. 单击GE1/0/3对应的 ,按如下参数配置。
安全区域
trust
模式
路由
IPv4
连接类型
静态IP
HUAWEI USG6000 系列 & NGFW Module
典型配置案例 2 接入 Internet
IP地址
10.3.0.1/255.255.255.0
3. 单击“确定”。
步骤3 配置DHCP服务器。
1. 选择“网络 > DHCP服务器 > 服务”。
2. 单击“新建”,按如下参数配置。
3. 单击“确定”。
步骤4 配置安全策略,允许内部网络中的PC访问Internet。
1. 选择“策略 > 安全策略”。
2. 单击“新建”,按如下参数配置。
此处只给出了完成本举例所需的安全策略的基本参数, 具体使用时,请根据实际情
况设置安全策略中的其他参数。
3. 单击“确定”。
步骤5 配置NAT策略,当内部网络中的PC访问Internet时进行地址转换。
1. 选择“策略 > NAT策略 > 源NAT”。
2. 在“源NAT策略列表”中单击“新建”,按如下参数配置。
HUAWEI USG6000 系列 & NGFW Module
典型配置案例 2 接入 Internet
3. 单击“确定”。
----结束
三、结果验证
1. 检查接口GigabitEthernet 1/0/1的状态。
a. 选择“网络 > 接口”。
b. 查看接口GigabitEthernet 1/0/1的公网地址配置是否正确,物理状态和IPv4状态
是否为Up。
2. 在内部网络中的PC上通过ipconfig/all命令检查网卡是否正确分配到私网地址和DNS
地址。此处以Windows XP操作系统为例,其它操作系统请以实际显示情况为准。
Ethernet adapter 本地连接:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
Physical Address. . . . . . . . . : 00-1B-21-B4-0B-35
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.3.0.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.3.0.1
DHCP Server . . . . . . . . . . . : 10.3.0.1
DNS Servers . . . . . . . . . . . : 9.9.9.9
Lease Obtained. . . . . . . . . . : 2012年8月2日 9:38:14
Lease Expires . . . . . . . . . . : 2012年8月13日 9:38:14
3. 检查内部网络中的PC是否能通过域名访问Internet,若能访问,则表示配置成功。
否则,请检查配置。
四、配置脚本
#
sysname NGFW
#
HUAWEI USG6000 系列 & NGFW Module
典型配置案例 2 接入 Internet
interface GigabitEthernet1/0/1
ip address 1.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/3
ip address 10.3.0.1 255.255.255.0
dhcp select interface
dhcp server ip-range 10.3.0.1 10.3.0.254
dhcp server gateway-list 10.3.0.1
dhcp server dns-list 9.9.9.9
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/3
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 1.1.1.254
#
security-policy
rule name policy_sec_1
source-zone trust
destination-zone untrust
source-address 10.3.0.0 24
action permit
#
nat-policy
rule name policy_nat_1
source-zone trust
egress-interface GigabitEthernet1/0/1
source-address 10.3.0.0 24
action nat easy-ip
#
return