本文档是初识防火墙的引路者，阅读本文后您将对防火墙配置过程有了初步认识，并完成防火墙基本配置。

1.1 设备出厂配置

防火墙设备出厂配置如下表。

表1-2 防火墙出厂配置

如需恢复出厂配置，请在Web界面中选择“系统 > 配置文件管理”,单击“恢复出厂配置”。

1.2  连线

按下图连接管理网口、内网口GE0/0/2和外网口GE0/0/3。图中管理PC与设备管理网口连接，用于登录Web界面。如果使用命令行配置，首次登录请使用Console配置线连接管理PC的串口与设备的Console口。

图1-6 防火墙线缆连接

1.3  登录Web界面

操作步骤

【1】将管理员PC网口与设备的管理口（MEth 0/0/0或GigabitEthernet 0/0/0）通过网线直连或者通过二层交换机相连。

【2】将管理员PC的IP地址设置为192.168.0.2～192.168.0.254范围内的IP地址。

【3】在管理员PC的浏览器中输入地址：https://192.168.0.1:8443。

输入地址登录后，浏览器会给出证书不安全的告警提示，选择继续浏览。

【4】如果是首次登录设备，弹出创建管理员帐号界面。输入用户名、密码、确认密码，然后单击“创建”。

首次登录创建的管理员，拥有系统管理员权限和Web服务类型。

【5】帐号创建成功，在弹出的提示框中单击“确定”。

【6】进入登录界面，输入已经创建的用户名、密码登录设备，单击“登录”。

访问Web界面登录地址时，浏览器无法验证设备提供的默认证书，会有安全告警提示。可以在此界面上单击“下载根证书”下载证书，然后双击证书文件进安装，下次登录就没有安全告警提示了。

【7】新帐号首次登录，系统弹出修改初始化密码界面。输入当前密码、新密码、确认密码，单击“确定”。

【8】重新进入登录界面，输入帐号和新密码，单击“登录”。

防火墙Web界面

防火墙Web界面采用横向板块+竖向菜单的导航方式，界面布局如下图所示。

图1-7 Web界面布局

后续处理

• 选择“网络 > 接口”，可以修改管理口的IP地址，修改后需要重新登录。

• 选择“系统 > 管理员 > 管理员”，可以新建其他管理员。防火墙支持管理员绑定不同的权限角色。

1.4  配置三层接入

防火墙缺省工作在三层，通常作为企业Internet出口网关，实现内外网通信的同时进行安全防护。此种模式设备通过路由协议转发各个网段之间的报文。因此，这种接入方式也被称为“路由模式”。

防火墙三层接入部署在内外网之间时，通常还需要负责内网的私网地址与外网的公网地址之间的转换，也就是NAT功能，因此这种接入方式又常被称为“NAT模式”。

图1-8 防火墙三层接入组网图

初始接入时，请使用Web界面提供的快速向导，根据企业的Internet接入方式将防火墙快速接入Internet。然后在此基础上进行高级配置。

• 静态IP：如果从网络服务商处获得固定的IP地址，请选择此接入方式。

• PPPoE：如果从网络服务商处获得用户名和密码进行拨号，请选择此接入方式。

• DHCP：如果从网络服务商自动获取IP地址，请选择此接入方式。

执行快速向导后，防火墙具备的基本配置如下：

• 上网接口：加入untrust区域，并通过管理员选择的接入方式获取到公网IP地址。

• 局域网接口：加入trust区域，私网IP地址配置完毕；如果管理员在向导中启用了局域网DHCP服务，则局域网接口开启DHCP服务器功能为局域网PC分配IP地址及DNS服务器地址。

  局域网接口为局域网PC分配的DNS服务器为防火墙局域网接口的IP地址，防火墙作为DNS代理接收PC的DNS请求，然后再将DNS请求发往DNS服务器。

• 源NAT：存在一条Easy IP方式的源NAT策略，出接口是上网接口的所有流量的源IP地址被转换为上网接口IP地址。
  

• 路由：存在一条缺省路由，出接口是上网接口，将流量转发至Internet。

• 安全策略：未配置，需要自行手工配置安全策略，允许局域网用户访问Internet。

【1】使用三层Internet接入向导：静态IP

数据准备

操作步骤

（1）选择“系统 > 快速向导”。

（2）单击“下一步”。

（3）根据需要修改主机名、管理员密码，然后单击“下一步”。如果无需修改，单击“跳过”。

（4）根据设备的所在地配置系统时间，然后单击“下一步”。

（5）选择接入互联网方式为“静态IP”，然后单击“下一步”。

（6）配置接入互联网参数，然后单击“下一步”。

（7）配置局域网接口，然后单击“下一步”。

（8）启用局域网接口的DHCP服务，并使用默认的IP地址范围。然后单击“下一步”。

当防火墙作为局域网PC的网关时，可以使用局域网接口为PC分配IP地址。

（9）核对配置信息无误后，单击“应用”。

（10）系统提示配置成功，单击“完成”。

（11）配置基础安全策略，允许局域网PC访问Internet。

（12）配置局域网PC自动获取IP地址、DNS服务器地址，步骤略。

【2】使用三层Internet接入向导：PPPoE

背景信息

操作步骤

（1）选择“系统 > 快速向导”。

（2）单击“下一步”。

（3）根据需要修改主机名、管理员密码，然后单击“下一步”。如果无需修改，单击“跳过”。

（4）根据设备的所在地配置系统时间，然后单击“下一步”。

（5）选择接入互联网方式为“PPPoE”，然后单击“下一步”。

（6）配置接入互联网参数，然后单击“下一步”。

（7）配置局域网接口，然后单击“下一步”。

（8）启用局域网接口的DHCP服务，并使用默认的IP地址范围。然后单击“下一步”。

当防火墙作为局域网PC的网关时，可以使用局域网接口为PC分配IP地址。

（9）核对配置信息无误后，单击“应用”。

（10）系统提示配置成功，单击“完成”。

（11）配置基础安全策略，允许局域网PC访问Internet。

（12）配置局域网PC自动获取IP地址、DNS服务器地址，步骤略。

【3】使用三层Internet接入向导：DHCP

背景信息

操作步骤

（1）选择“系统 > 快速向导”。

（2）单击“下一步”。

（3）根据需要修改主机名、管理员密码，然后单击“下一步”。如果无需修改，单击“跳过”。

（4）根据设备的所在地配置系统时间，然后单击“下一步”。

（5）选择接入互联网方式为“DHCP”，然后单击“下一步”。

（6）配置接入互联网参数，然后单击“下一步”。

（7）配置局域网接口，然后单击“下一步”。

（8）启用局域网接口的DHCP服务，并使用默认的IP地址范围。然后单击“下一步”。

当防火墙作为局域网PC的网关时，可以使用局域网接口为PC分配IP地址。

（9）核对配置信息无误后，单击“应用”。

（10）系统提示配置成功，单击“完成”。

（11）配置基础安全策略，允许局域网PC访问Internet。

（12）配置局域网PC自动获取IP地址、DNS服务器地址，步骤略。

【4】配置基础安全策略

前提条件

快速向导已经运行完毕。

操作步骤

（1）选择“策略 > 安全策略 > 安全策略”。

（2）新建安全策略，允许局域网PC访问Internet。

转自：网络民工

 热文推荐  

• 蓝队应急响应姿势之Linux
  

• 通过DNSLOG回显验证漏洞
  

• 记一次服务器被种挖矿溯源
  

• 内网渗透初探 | 小白简单学习内网渗透
  

• 实战|通过恶意 pdf 执行 xss 漏洞
  

• 免杀技术有一套（免杀方法大集结）(Anti-AntiVirus)
  

• 内网渗透之内网信息查看常用命令
  

• 关于漏洞的基础知识
  

• 任意账号密码重置的6种方法
  

• 干货 | 横向移动与域控权限维持方法总汇
  

• 手把手教你Linux提权