前面第一章把内网VLAN划分好了,并且VLAN之间已经做了互通或者ACL,第二章则把WIFI覆盖配置完毕,实现了不同的SSID连接不同的VLAN,今天我们来做一下华为防火墙的配置,一是上网策略,二是服务器端口映射,需要提醒大家的是,本章已经默认三层交换机和防火墙之间能够正常通讯,双向的默认路由都已经在第一章做过了,没看过第一章的朋友,可以先回头看一下。
华为防火墙的配置,以WEB方式为主进行讲解,将电脑IP地址手动设置为192.168.0.2,子网掩码:255.255.255.0,其他不必设置,浏览打开https://192.168.0.1:8443
华为防火墙登录界面
默认的用户名是admin,密码:Admin@123,第一次登录后,要求更改密码,密码要求有大小写英文字母和特殊符号,更改密码后会要求重新登录,然后才能进入配置界面
进入配置界面
1、编辑内网接口,内网接口IP配置为192.168.124.1 255.255.252.0,对应核心交换机里面配置的几个VLAN,注意内网接口的安全区域选择trust
配置内网接口
内网接口允许https和ping
2、编辑外网接口,填写运营商提供的IP地址,注意外网接口的安全区域选择untrust,为方便管理员在外网远程管理防火墙,勾选启用访问管理和https
允许管理员在外网配置防火墙
3、新建一条策略路由,下一跳地址填写宽带运营商提供的网关地址
新建策略路由
新建策略路由,下一跳地址是运营商的网关
4、新建一条安全策略,允许trust到untrust的访问,即允许内网所有设备连接internet
允许访问外网
经过以上步骤,内网计算机等联网设备就能正常上网了。
5、根据客户要求VLAN125禁止上外网,那么我们要做一条相应的安全策略,并且这条策略一定要放到刚才这条安全策略的上面!
禁止VLAN125上网
6、有几台服务器,软件供应商要在外网通过远程桌面的形式调试,我们需要在防火墙上做NAT策略
开放服务器3389端口,允许在外网远程桌面
通俗地讲,今天就是配置内网接入internet,并且禁止VLAN125访问internet,然后就是服务器的端口映射,明天我们将为出差员工配置拨入式的VPN,方便出差员工使用公司内部资源,感兴趣的朋友敬请关注和转发,谢谢!
推荐阅读:洛阳信息网