全方位讲解硬件防火墙的选择(6)

　　图5：网络拓扑结构

　　NGFW4000有3个标准端口，其中一个接外网（Internet网），一个接内网，一个接DMZ区，在DMZ区中有网络服务器。安装防火墙所要达到的效果是：内网区的电脑可以任意访问外网，可以访问DMZ中指定的网络服务器， Internet网和DMZ的电脑不能访问内网；Internet网可以访问DMZ中的服务器。

　　1、配置管理端口

　　天融信网络卫士NGFW4000防火墙是由防火墙和管理器组成的，管理防火墙都是通过网络中的一台电脑来实现的。防火墙默认情况下，3个口都不是管理端口，所以我们先要通过串口把天融信网络卫士NGFW4000防火墙与我们的电脑连接起来，给防火墙指定一个管理端口，以后对防火墙的设置就可以通过远程来实现了。

　　使用一条串口线把电脑的串口（COM1）与NGFW4000防火墙的console 口连接起来，启动电脑的"超级终端"，端口选择COM1，通信参数设置为每秒位数9600，数据位8，奇偶校验无，停止位1，数据流控制无。进入超级终端的界面，输入防火墙的密码进入命令行格式。

　　定义管理口：if eth1 XXX.XXX.XXX.XXX 255.255.255.0

　　修改管理口的GUI登录权限： fire client add topsec -t gui -a 外网 -i 0.0.0.0-255.255.255.255

　　2、使用GUI管理软件配置防火墙

　　安装天融信防火墙GUI管理软件"TOPSEC集中管理器"，并建立NGFW4000管理项目，输入防火墙管理端口的IP地址与说明。然后登录进入管理界面。

　　（1）定义网络区域

　　Internet（外网）：接在eth0上，缺省访问策略为any（即缺省可读、可写），日志选项为空，禁止ping、GUI、telnet。

　　Intranet（内网）：接在eth1上，缺省访问策略为none（不可读、不可写），日志选项为记录用户命令，允许ping、GUI、telnet。

　　DMZ区：接在eth2上， 缺省访问策略为none（不可读、不可写），日志选项为记录用户命令，禁止ping、GUI、telnet。

　　（2）定义网络对象

　　一个网络节点表示某个区域中的一台物理机器。它可以作为访问策略中的源和目的，也可以作为通信策略中的源和目的。网络节点同时可以作为地址映射的地址池使用，表示地址映射的实际机器，详细描述见通信策略。