PS:深信服的设备只有400能够通过console连接,一般用户是无法连接的,所以大家不要妄想着从Console连接设备了,开局就通过MANAGE进入Web就可以
- 接通电源后,开机
- 拿一根网线,一端连接防火墙的MANAGE口,另一端连接自己笔记本电脑的网口
- 防火墙MANAGE带外管理地址默认是10.251.251.251,将自己笔记本网卡的地址也改为相同网段
- 用ping测试一下网络有没有连通
直接在浏览器输入默认管理地址登录(https://10.251.251.251)
基础架构规划:
PC可通过防火墙进行路由转发即可
AF开启路由模式,充当下联PC的网关
将路由器下的另一端网线连接至防火墙的eth1口
1、先创建两个区域wan和lan,然后引用接口
2、为引用的接口设置地址,能看到接口呈绿色状态,说明网线是已经连接好了
3、类型选择路由,区域选择wan,把wan口的属性给勾选上,设置一个静态的IP地址,我这边出口路由的内网网段是192.168.3.0/24,网关地址是192.168.3.1
4、设置内网的接口地址
区域选择内网,静态设置一个地址,这地址就充当下联PC的网关,所以网关这一栏就不用填了
5、设置下联网段的DHCP
6、DHCP设置
接口选择刚刚设置的eth2的内网接口;88段分配的地址范围选择88.2开始,因为88.1防火墙的AF接口使用了,DNS就不设置了,使用系统的DNS设置,稍后我们去专门设置DNS地址
7、DNS设置
DNS首选可以设置为TP出口路由器的地址,备选设置成114.114.114.114,然后开启DNS代理,这样下联的PC就不用自己解析DNS了,由防火墙解析就OK
8、设置NAT源地址转换
因为AF不是直接做的出口设备,要通过TP才能够上网,所以要设置源地址转换
源区域选择lan,源地址选择私有地址,目的区域选择wan,目的地址选择全部,将地址转换为出接口地址,就能够直接与TP通讯了
9、设置允许上网规则
深信服的AF是默认拒绝所有用户出外网的,所以要新增加一条允许所用用户出外网的规则,策略是从上往下匹配,所以不会有影响
新增加一个策略组,然后设置允许用户上网规则
定义一个名称,调用刚才增加的策略组,源区域选择lan,地址选择私有地址
目的区域选择wan,地址选择全部,动作选择允许,这样一条允许用户上网的规则就生成了
10、测试网络连通性
打开命令行,输入login admin(admin是账号名称),然后输入密码
先pingTP出口路由的网关,回显已ping通了,说明防火墙wan口设置的IP地址没有问题
再ping外网百度域名,回显找不到主机,说明目前防火墙只能和直连的TP通讯,无法与外网通讯,那么就要加一条默认路由
11、设置静态路由
12、再通过命令行做ping测试,测试网络连通性 加完静态路由以后,网络就通了
接下来测试PC是否能够正常上网(拔掉网线,将PC网口的地址改回自动)
电脑已获得到防火墙下发的地址,而且网络通讯也是正常的
使用PC通过下联88.1地址登录防火墙,也能够正常访问