資源描述:
《SonicWALL防火墻配置手冊》由會員上傳分享�����,免費在線閱讀���,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�。
1����、網(wǎng)絡安全專業(yè)分銷13811271509weiweilao@hotmail.comSonicWALL防火墻標準版配置SonicWall標準版網(wǎng)絡向?qū)渲?SonicWall標準版規(guī)則向?qū)渲?SonicWall標準版一般規(guī)則向?qū)渲?SonicWall標準版服務器規(guī)則向?qū)渲?2SonicWall標準版一般規(guī)則直接配置15SonicWall標準版服務器1對1NAT配置18SonicWall標準版透明模式配置19SonicWall標準版網(wǎng)絡向?qū)渲檬状谓佑|SonicWALL防火墻設(shè)備,我們將電源接上����,并開啟電源開關(guān),將X0口和你的電腦相連(
2�����、注:請用交叉線)����,SonicWALL防火墻默認的IP地址為192.168.168.168,我們也可以通過setuptool.exe這個小工具探知SonicWALL防火墻的IP地址����。如圖所示:當網(wǎng)線和電源等都連接好之后��,我們設(shè)置一下本機的IP地址�����,以便和SonicWALL防火墻處于同一個網(wǎng)段��。如圖所示:網(wǎng)絡安全專業(yè)分銷13811271509weiweilao@hotmail.com設(shè)置好IP地址后�����,我們在IE瀏覽器的地址欄輸入SonicWALL防火墻的IP地址�,點next����,提示我們是否修改管理員密碼,網(wǎng)絡安全專業(yè)分銷13811271509
3���、weiweilao@hotmail.com暫時不修改����,點next�����,提示我們修改防火墻的時區(qū)��,我們選擇中國的時區(qū)��。網(wǎng)絡安全專業(yè)分銷13811271509weiweilao@hotmail.com點next�����,提示我們設(shè)置WAN口的地址獲取類型�����,這時候��,我們需要和ISP相聯(lián)系����,并選擇相關(guān)的類型,這里以靜態(tài)地址為例:我們點next���,輸入相關(guān)的信息�,IP地址����、掩碼����、網(wǎng)關(guān)����、DNS服務器等,如果不知道此處該如何設(shè)置�����,請和你的ISP聯(lián)系��。網(wǎng)絡安全專業(yè)分銷13811271509weiweilao@hotmail.com點next����,提示我們設(shè)置LAN口的I
4、P和掩碼�����,我們根據(jù)自己的規(guī)劃和網(wǎng)絡的實際情況設(shè)置�,此處我沒有修改。點next����,防火墻詢問我們在LAN口是否開啟DHCPserver的功能�,并是否是默認的網(wǎng)段,我們可根據(jù)實際情況做調(diào)整�,決定開始或關(guān)閉,以及網(wǎng)段地址等����,如下圖:網(wǎng)絡安全專業(yè)分銷13811271509weiweilao@hotmail.com點next,防火墻將把前面做的設(shè)置做一個摘要��,以便我們再一次確認是否設(shè)置正確�����,如果有和實際不符的地方���,可以點back返回進行修改�。按照我們前面的設(shè)置���,防火墻開啟了NAT模式——即在LAN內(nèi)的PC訪問WAN外的互連網(wǎng)時�����,將轉(zhuǎn)換其IP地址為W
5�����、AN口地址�����。點apply���,設(shè)置生效����。并需要重起防火墻�����,點restart重起�。網(wǎng)絡安全專業(yè)分銷13811271509weiweilao@hotmail.com當把配置做好以后,我們將防火墻的X1口接到ISP進來的網(wǎng)線上��,將X0口接到內(nèi)網(wǎng)交換機上�����。這時,我們可以找一個內(nèi)網(wǎng)的機器����,測試是否可以訪問外網(wǎng):SonicWall標準版規(guī)則向?qū)渲肧onicWall標準版一般規(guī)則向?qū)渲卯斘覀冏鋈缟系呐渲煤螅藭r的策略是默認允許內(nèi)網(wǎng)的所有機器可以任意的訪問外網(wǎng)�����,為了符合公司的安全策略��,我們?nèi)绻嚓P(guān)的安全策略�����,限制一些訪問的協(xié)議�。通常有兩種做法:一種是
6����、先限制所有的協(xié)議,在逐步開放需要訪問的協(xié)議���;另一種是先開放所有的協(xié)議����,在逐步禁止不能訪問的協(xié)議。我們以第二種方式為例���。選擇firewall�,我們可以點右上角的rulewizard�,也可以直接點add,以使用規(guī)則向?qū)槔壕W(wǎng)絡安全專業(yè)分銷13811271509weiweilao@hotmail.com點next�����,我們選擇規(guī)則類型��,publicserverrule我們在DMZ或者LAN有服務器��,需要對外發(fā)布�����,——即允許來自WAN口的PC可以訪問我們的服務器而做的端口映射��。而generalrule則是前面強調(diào)的針對LAN或DMZ區(qū)訪問外網(wǎng)的權(quán)
7�����、限控制。我們以此為例�,選擇generalrule。網(wǎng)絡安全專業(yè)分銷13811271509weiweilao@hotmail.com點next���,選擇我們需要控制的協(xié)議和服務����,此處我們選擇web����,網(wǎng)絡安全專業(yè)分銷13811271509weiweilao@hotmail.com點next,選擇針對的web的執(zhí)行的動作�����,由于默認已經(jīng)有一條規(guī)則允許內(nèi)網(wǎng)可以任意的訪問外網(wǎng)��,我們?yōu)榭刂苾?nèi)網(wǎng)的訪問權(quán)限���,選擇deny,同時還有TCP連接超時的時間����,默認是15分鐘,可根據(jù)需要做修改。如無特殊要求��,可使用默認設(shè)置���。點next�����,此處設(shè)置此規(guī)則的源接口和源IP地
8�����、址����,根據(jù)需要做一配置�,我們此處選擇LAN的192.168.168.12做規(guī)則控制。點next�����,此處選擇規(guī)則生效的目的接口和目的IP地址����,*表示任意的地址�。網(wǎng)絡安全專業(yè)分銷13811271509weiweil
