SonicWALL配置基础手册专业资料.doc

SonicWALL防火墙原则版配备 SonicWall原则版网络向导配备 1 SonicWall原则版规则向导配备 7 SonicWall原则版普通规则向导配备 7 SonicWall原则版服务器规则向导配备 12 SonicWall原则版普通规则直接配备 15 SonicWall原则版服务器1对1 NAT配备 18 SonicWall原则版透明模式配备 19 SonicWall原则版网络向导配备 初次接触SonicWALL防火墙设备，咱们将电源接上，并启动电源开关，将X0口和你电脑相连（注：请用交叉线），SonicWALL防火墙默认IP地址为192.168.168.168，咱们也可以通过setuptool.exe这个小工具探知SonicWALL防火墙IP地址。如图所示： 当网线和电源等都连接好之后，咱们设立一下本机IP地址，以便和SonicWALL防火墙处在同一种网段。如图所示： 设立好IP地址后，咱们在IE浏览器地址栏输入SonicWALL防火墙IP地址， 点next，提示咱们与否修改管理员密码， 暂时不修改，点next，提示咱们修改防火墙时区，咱们选取中华人民共和国时区。 点next，提示咱们设立WAN口地址获取类型，这时候，咱们需要和ISP相联系，并选取有关类型，这里以静态地址为例： 咱们点next，输入有关信息，IP地址、掩码、网关、DNS服务器等，如果不懂得此处该如何设立，请和你ISP联系。 点next，提示咱们设立LAN口IP和掩码，咱们依照自己规划和网络实际状况设立，此处我没有修改。 点next，防火墙询问咱们在LAN口与否启动DHCP server功能，并与否是默认网段，咱们可依照实际状况做调节，决定开始或关闭，以及网段地址等，如下图： 点next，防火墙将把前面做设立做一种摘要，以便咱们再一次确认与否设立对的，如果有和实际不符地方，可以点back返回进行修改。按照咱们前面设立，防火墙启动了NAT模式——即在LAN内PC访问WAN外互连网时，将转换其IP地址为WAN口地址。 点apply，设立生效。并需要重起防火墙，点restart重起。 当把配备做好后来，咱们将防火墙X1口接到ISP进来网线上，将X0口接到内网互换机上。这时，咱们可以找一种内网机器，测试与否可以访问外网： SonicWall原则版规则向导配备 SonicWall原则版普通规则向导配备 当咱们做如上配备后，此时方略是默认容许内网所有机器可以任意访问外网，为了符合公司安全方略，咱们如果要有关安全方略，限制某些访问合同。普通有两种做法：一种是先限制所有合同，在逐渐开放需要访问合同；另一种是先开放所有合同，在逐渐禁止不能访问合同。 咱们以第二种方式为例。选取firewall， 咱们可以点右上角rule wizard，也可以直接点add，以使用规则向导为例： 点next，咱们选取规则类型，public server rule咱们在DMZ或者LAN有服务器，需要对外发布，——即容许来自WAN口PC可以访问咱们服务器而做端口映射。而general rule则是前面强调针对LAN或DMZ区访问外网权限控制。咱们以此为例，选取general rule。 点next，选取咱们需要控制合同和服务，此处咱们选取web， 点next，选取针对web执行动作，由于默认已有一条规则容许内网可以任意访问外网，咱们为控制内网访问权限，选取deny，同步尚有TCP连接超时时间，默认是15分钟，可依照需要做修改。如无特殊规定，可使用默认设立。 点next，此处设立此规则源接口和源IP地址，依照需要做一配备，咱们此处选取LAN192.168.168.12做规则控制。 点next，此处选取规则生效目接口和目IP地址，*表达任意地址。 点next，此处设立规则生效时间，默认是始终身效，可依照需要修改时间。 点next，有关规则设立选项已经设立好了。 点apply，规则生效，在规则列表最上面一条，即是咱们刚才通过规则向导设立规则。 SonicWall原则版服务器规则向导配备 如果咱们在DMZ区或者LAN区尚有某些服务器需要对外发布，那么，咱们也需要添加有关规则，以容许来自外网访问。以web服务为例，通过规则向导来配备，如下： 点rule wizard， 点next，选取public server rule 点next，咱们选取需要对外发布服务类型，此处选取web，输入服务器IP地址，并选取其所处接口，此处选取LAN口， 点next， 点apply，规则生效 咱们可以看到，在规则列表中第4条即为咱们添加规则。在咱们添加这条规则背后，服务器IP地址被映射成了WAN口地址，并自动添加了有关NAT配备。 SonicWall原则版普通规则直接配备 通过前面向导配备，咱们可以发现，添加普通规则时，其配备过程相对复杂，由于，咱们可以直接添加方略，而不用通过向导配备。如下， 在firewall 界面，access rules下，直接点add： 咱们以禁止内网IP为192.168.168.12PC不容许访问外网ftp服务为例，在action处，选取deny，在service处选取ftp，source处选取LAN口，在地址段处添写IP，192.168.168.12， 在destination处选取WAN口，地址保存*号，表达任意地址。 如果咱们不需要做进一步设立，如规则生效时间，带宽等，可直接点OK生效，如果需要做进一步设立，选advanced，修改咱们需要设立时间， 如果要做带宽限制，选取bandwidth，将enable勾选，并输入有关带宽控制规定。（注：由于本条规则deny，因此带宽控制不可用） 点OK，规则生效。 规则列表中第2条即为咱们添加规则。 SonicWall原则版服务器1对1 NAT配备 如果咱们有多余公网IP地址，并且但愿服务器可以单独拥有一种公网IP地址，即咱们需要对服务器做1对1NAT时，咱们需要通过如下配备来实现： 点network，选取 one-to-one NAT，咱们勾选enable one-to-one NAT 点add， 在弹出界面中，咱们输入有关服务器IP和公网IP，在range length处，咱们可以添入有关数字，如果只有1个服务器，添1，如果添入数字为其她数字如5，则，私网地址处，将从咱们添入地址开始，公网地址处，也将从咱们添入公网地址开始，一一相应，并递增直到段长度结束。 点OK后，NAT生效。如下图。 在做完1对1NAT后，咱们选取到firewall界面，选取access rules，来添加有关规则， 同样可通过rule wizard来做向导配备，其界面如前所述。 SonicWall原则版透明模式配备 如果需要将防火墙布置成透明模式，在咱们登陆防火墙时，在弹出向导设立页面选取cancel， 输入默认帐号密码 点login，然后选取networks 咱们点LAN相应编辑条，并在IP地址处输入予以防火墙IP地址，并把掩码做相应修改，以符合实际状况。 点OK，配备生效。 此时，咱们选取WAN口模式，选取透明模式， 选取后生效， 点WAN口编辑图标，修改WAN口网关地址，以便可以和其她网络进行通讯。 点intranet， 在这里，如果咱们选取第二个选项，点add后，添加IP将属于LAN，其于IP属于WAN口；如果咱们选取第三个选项，点add后，添加IP将属于WAN，其于IP属于LAN口。咱们可以选取一种添加比较简朴选项。以选取第二个选项为例。 点add，添加属于LAN口IP， 点OK，添加IP生效。如果尚有别地址需要添加，咱们可以点add，进一步添加。 即完毕网络方面配备，如果需要做规则等，可通过前面论述配备。