上海逍創(chuàng)網(wǎng)絡(luò)科技有限公司地址:上海市裕德路92號江南裕德大廈207室Tel(021)54257880/51079007Fax(021)289008441-SonicWALL防火墻基本配置SonicWall網(wǎng)絡(luò)向?qū)渲?SonicWall規(guī)則配置 SonicWall一般規(guī)則配置 SonicWall服務(wù)器規(guī)則向?qū)渲?SonicWall對象配置 SonicWallVPN配置 SonicWall網(wǎng)絡(luò)向?qū)渲檬状谓佑|SonicWALL防火墻設(shè)備，我們將電源接上，并開啟電源開關(guān)，將X0口和你的電腦相連（注：請用交叉線），SonicWALL防火墻默認的IP地址為68，我們也可以通過setuptool.exe這個小工具探知SonicWALL防火墻的IP地址。如圖所示：當網(wǎng)線和電源等都連接好之后，我們設(shè)置一下本機的IP地址，以便和SonicWALL防火墻處于同一個網(wǎng)段。如圖所示：設(shè)置好IP地址后，我們在IE瀏覽器的地址欄輸入SonicWALL防火墻的IP地址，防火墻將彈出網(wǎng)絡(luò)配置向?qū)Ы缑纥cnext，提示我們是否修改管理員密碼，根據(jù)需要我們將密碼設(shè)置為實際密碼，點next，提示我們修改防火墻的時區(qū)，我們選擇中國的時區(qū)。點next，提示我們設(shè)置WAN口的地址獲取類型，這時候，我們需要和ISP相聯(lián)系，并選擇相關(guān)的類型，這里以靜態(tài)地址為例：點next，輸入相關(guān)的信息，IP地址、掩碼、網(wǎng)關(guān)、DNS服務(wù)器等，如果不知道此處該如何設(shè)置，請和你的ISP聯(lián)系。點next，提示我們設(shè)置LAN口的IP和掩碼，我們根據(jù)自己的規(guī)劃和網(wǎng)絡(luò)的實際情況設(shè)置，此處我沒有修改。點next，設(shè)置DHCPserver的相關(guān)配置，如果不開啟，把勾取消即可。點next，防火墻將把前面做的設(shè)置做一個摘要，以便我們再一次確認是否設(shè)置正確，如果有和實際不符的地方，可以點back返回進行修改。按照我們前面的設(shè)置，防火墻開啟了NAT模式——即在LAN內(nèi)的PC訪問WAN外的互連網(wǎng)時，將轉(zhuǎn)換其IP地址為WAN口地址。點apply，設(shè)置生效。點close，回到登陸界面輸入帳號密碼后，點login如果登陸后沒有彈出網(wǎng)絡(luò)配置向?qū)?，我們可以先登錄進去，然后點擊Wizards進行配置。點next后就可以按著上面的方法接著做。當把配置做好以后，我們將防火墻的X1口接到ISP進來的網(wǎng)線上，將X0口接到內(nèi)網(wǎng)交換機上。這時，我們可以找一個內(nèi)網(wǎng)的機器，測試是否可以訪問外網(wǎng)：SonicWall規(guī)則配置SonicWall一般規(guī)則配置這時，我們已經(jīng)可以訪問外網(wǎng)了。此時的策略是默認允許內(nèi)網(wǎng)的所有機器可以任意的訪問外網(wǎng)，為了符合公司的安全策略，我們?nèi)绻嚓P(guān)的安全策略，限制一些訪問的協(xié)議。通常有兩種做法：一種是先限制所有的協(xié)議，在逐步開放需要訪問的協(xié)議；另一種是先開放所有的協(xié)議，在逐步禁止不能訪問的協(xié)議。我們以第一種為例,選擇firewall—>accessrules,選擇從LAN到WAN，我們可以看到有一條默認策略是允許LAN的機器可以任意訪問WAN外的任意服務(wù)，我們先將此策略修改為禁止，點此規(guī)則的編輯圖標，彈出如下界面，在action出選擇deny，點OK，我們可以看見已經(jīng)禁止了所有的訪問：這時，我們再添加允許訪問的服務(wù)等，可按照IP、協(xié)議、時間、用戶、帶寬等做控制。我們簡單的做一個允許內(nèi)網(wǎng)中某一個IP2可以訪問外網(wǎng)的http服務(wù)為例,點add，選擇服務(wù)為http，選擇源網(wǎng)絡(luò)IP，如果例表中沒有，我們可以添加選擇目的網(wǎng)絡(luò)為any，選擇時間等，也可以按照默認設(shè)置，點OK我們可以看到規(guī)則已經(jīng)生效，通過測試，發(fā)現(xiàn)可以訪問。SonicWall服務(wù)器規(guī)則向?qū)渲萌绻緦ν庥蟹?wù)器要開放，我們可以點publicserverWizard，點擊后，出現(xiàn)如下界面點next，我們選擇相關(guān)的服務(wù)，以ftp服務(wù)為例，如果有別的相關(guān)的服務(wù)，我們選擇other，自己進行定義，我們點next，我們輸入服務(wù)名和服務(wù)器的私有IP地址點next，我們輸入服務(wù)器的公網(wǎng)地址，默認是WAN口地址點next，出現(xiàn)前面配置的摘要，如果配置沒有問題，我們可以點apply點apply后，規(guī)則生效。SonicWall對象配置增強版防火墻由于增加了對象的概念，在防火墻規(guī)則中，通常，我們需要引用這些對象，具體有：地址對象、時間對象、服務(wù)對象、用戶對象等四大對象。這些定義的對象還可以進一步定義成組，并且，組還可以包括組，從而構(gòu)成豐富的規(guī)則控制。防火墻默認已經(jīng)定義了許多有用的對象，但不一定滿足我們的真實網(wǎng)絡(luò)環(huán)境，需要根據(jù)實際需要自己定義。我們首先介紹地址對象：當我們登陸防火墻后，點networks，選擇addressobjects，可以看見已經(jīng)定義了許多有用的地址對象和組。我們可以自己定義不同的地址對象，將界面拖至底部，點add，在name處給我們定義的對象取個名字，以便能見名知意，在zoneassignment處，選擇相應(yīng)的安全區(qū)域，如LAN、WAN、DMZ等，在type出，可選擇host、range、network、MAC等多種類型，在地址處，輸入相關(guān)的地址或者掩碼。當我們想把多個網(wǎng)絡(luò)地址組合在一起時，我們可以定義地址組，選擇addgroup，在name處取一個名字，并將我們需要的地址對象從左邊移到右邊框即可。當我們定義好地址對象和地址組后，我們就可以在規(guī)則里面引用這些地址對象。下面我們介紹服務(wù)對象：選擇firewall，選則services，將界面拖至底部，點add，在彈出的界面中，我們可以給定義的服務(wù)取一個名字，在protocol中選擇協(xié)議類型，如TCP、UDP等，在portrange處，我們填寫相關(guān)的端口。點OK即添加成功。同樣，我們可以將服務(wù)定義成組，以便同時引用，點addgroup，在name處取一個名字，將左邊我們需要的服務(wù)移到右邊框即可。下面介紹時間對象，選擇system，點schedules，我們可以看到已經(jīng)預(yù)定義了一些時間對象，我們也可以自己定義，點add同樣取一個名字，在days處，可以選擇相關(guān)的星期，在開始時間處輸入開始時間，在s停止是就處輸入停止時間，點add就可以在schedulelist處生成一條時間對象，可以這樣生成多條時間對象。點OK后，時間對象生效，并可被規(guī)則引用。下面介紹用戶對象，選擇user點localuser，我們可以添加用戶，點adduser，輸入用戶名和密碼，即可，當然，我們也可以修改其所屬的用戶組等。選擇localgroup后，點addgroup，可添加用戶組，在members處可選擇組的用戶。這些對象通常都是我們在規(guī)則里面需要引用的對象，需要提前做好規(guī)劃和配置。SonicWallVPN配置舉例如下：總部：NSA3500內(nèi)網(wǎng)地址：22,外網(wǎng)地址：9,24UniqueFirewallIdentifier：0006B138F分布：TZ150內(nèi)網(wǎng)地址：54,外網(wǎng)地址：ADSLUniqueFirewallIdentifier：0006B345F1共享密鑰：123456產(chǎn)品ID號：網(wǎng)絡(luò)拓撲如下：NSA3500VPN配置1.添加TZ150內(nèi)網(wǎng)IP地址：2.配置VPN1.點擊添加AddVPN--Add2.generalname：vpn_fendianIPsecPrimaryGatewayNameorAddress：（這里輸分布的外網(wǎng)地址，如果分布ADSL上網(wǎng)則輸入）SharedSecret：123456LocalIKEID：0006B138FPeerIKEID(optional)：0006B3453.networkChooselocalnetworkfromlist：LANPrimarySubnetChoosedestinationnetworkfromlist：fendianIP4.proposalsExchange：AggressiveMode其余配置不要改動5.Advanced在下面兩個選項前打勾EnableKeepAliveEnableWindowsNetworking(NetBIOS)Broadcast6.點擊OK。NSA3500這邊的VPN配置結(jié)束。TZ150VPN配置VPN-Settings--Add2．GeneralName：vpn_zongbuIPsecPrimaryGatewayNameorAddress：9SharedSecret：123456Network：3．ProposalsExchange：AggressiveMode其余配置不要改動5.Advanced在下面兩個選項前打勾EnableKeepAliveEnableWindowsNetworking(NetBIOS)Broadcast點擊OKVPN配置結(jié)束。曾磊