配置防火墙

操作步骤

1. 在管理PC上配置网口的IP地址为192.168.0.2（可以是192.168.0.2～192.168.0.254中的任何一个），子网掩码为255.255.255.0，然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。
2. 配置公网地址。
   1. 选择“网络 > 接口”，选择连接Internet的网络接口，假设为GE0/0/7。
   2. 设置“模式”为“路由”，“安全区域”选择“untrust”，“连接类型”和“IP地址”请根据实际IP地址的获取方式进行配置。
      图1 静态IP配置方式
      
      图2 DHCP配置方式
      
      图3 PPPoE配置方式
      
   3. 单击“确定”，完成配置。
3. 配置内网地址。
   1. 选择“网络 > 接口”，选择内网核心/接入交换机的网络接口，假设为GE0/0/6。
      图4 选择接口
      
   2. 设置“模式”为“路由”，“安全区域”选择“trust”，“连接类型”和“IP地址”请根据实际IP地址的获取方式进行配置。
      图5 配置接口
      
   3. 单击“确定”，完成配置。
4. （可选）配置静态路由。

   在步骤2时如果采用了静态IP的方式，且没有配置默认网关，此场景下需要配置静态路由。其他场景不需要配置静态路由，如：静态IP方式（配置了默认网关）、DHCP或PPPoE的方式。

   1. 选择“网络 > 路由 > 静态路由”，单击“新建”。
      图6 新建静态路由
      
      
   2. 设置“目的地址/掩码”为“0.0.0.0/0.0.0.0”，“出接口”为上行接口（如：GE0/0/7），“下一跳”配置为网关地址，请向租户获取该地址。
      图7 配置静态路由
      
   3. 单击“确定”，完成配置。
5. 配置出接口方式的源NAT策略（easy-ip方式），以便内网用户可以使用防火墙的公网IP地址来访问Internet。
   1. 选择“策略 > NAT策略 > NAT策略”，在“NAT策略”页签中，单击“新建”。
      图8 新建NAT策略
      
      
   2. 按照如下参数配置NAT策略，其中“源地址”请根据实际情况选择。
      图9 配置NAT策略
      
   3. 单击“确定”，完成配置。
6. （可选）配置DHCP。

   如果客户需要防火墙作为DHCP服务器，为内网交换机/PC分配IP地址，这种情况下需要配置DHCP。

   1. 选择“网络 > DHCP服务器 > 服务”，单击“新建”。
      图10 新建DHCP服务
      
   2. 请根据DHCP服务器规划（可选），配置DHCP。
      

      若“DNS服务”配置为“使用系统的DNS设置”，则在边界防护与响应服务部署之后，需要手动创建一条trust到local的安全策略，并放通dns服务，具体配置参见7.b。

      图11 配置DHCP
      
   3. 单击“确定”，完成配置。
7. 配置业务参数（边界防护与响应服务）。
   1. 确认安全策略已成功下发。

      设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。

      安全策略下发后，如图12所示。共有5条安全策略，其中default安全策略被自动修改为禁止。

      

      如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。

      图12 安全策略
      
   2. （可选）配置trust到local的安全策略并放通dns服务。

      在6.b中“DNS服务”配置为“使用系统的DNS设置”时，此处需要手动创建一条trust到local的安全策略并放通dns服务。

      图13 配置安全策略
      
   3. 选择“系统 > 升级中心”，检查“入侵防御特征库”和“反病毒特征库”是否在线升级成功，升级需要10分钟左右，请耐心等待。如果不成功，请单击“立即升级”。
      图14 特征库升级
      
   4. 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。
      图15 配置系统时间
      
   5. 单击右上角“保存”按钮，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。
      图16 保存配置