一、实验拓扑如下:
说明:这是一个简单的网络拓扑,PC的网关直接指向防火墙,其实这个拓扑与下面的拓扑是相似的。拓扑中的防火墙是一台虚拟机版的,部署在VMware环境中。
二、IP地址信息:
普通PC的IP:192.168.1.200/24
PA防火墙内网口IP:192.168.1.1/24
PA防火墙外网口IP:10.109.2.254/24三、详细配置:
其实要配置一台出口防火墙保证内网PC可以正常上网,那么主要需要配置的参数有如下:
1)、接口
2)、安全域
3)、路由
4)、NAT策略
5)、安全策略
下面详细介绍:
1、接口配置
登录防火墙之后点击“NETWORK”菜单,然后在左侧点击“interface",这时右侧会列出防火墙的接口,直接点击要配置的接口,这时会弹出接口配置窗口,如下:
这里有几个参数需要注意:
interface type:layer3,这里我们配置的是三层接口,所以选择layer3,这里也有其它接口类型,可以根据不同的场景进行选择。
virtual router:default,这里我们没有创建其它virtual router,所以这里就选择default,可以理解为防火墙本墙。
security zone:Trust,这里需要说明一下,默认情况下防火墙里没有安全域,我这里选择的trust是在配置接口的时候创建的,创建方法如下:
点击New Zone。
这里输入zone的名称,然后OK即可。
说明:在PA防火墙中是先创建接口,还是先创建安全域?哪个先都行。其它有些品牌的防火墙可能需要先创建好再选择。
好了,我们现在回来接着说接口配置,当我们配置完以上几个参数后点击IPv4标签
在这里点击Add给接口配置IP地址,我配置的是192.168.1.1。配置完点击”Advanced"标签:
在这里主要是给接口指定一个配置文件,这个配置文件是干什么用的?比如你想PING这个接口,或理SSH这个接口……等等,都需要配置这个配置文件。
当然了,这里默认也是没有配置文件的,需要我们自己手动创建,方法如下:
我们可以点击下接列表框,直接新建一个profile
这里配置一个profile的名字,下面的选项就根据实际需要选择了。完成之后点击OK
为接口选择完profile之后,我们先点OK,这时内网口就完成配置了。
按照同样的方法配置外网口,配置完成如下图所示:
通过上图,可以看到我们配置的接口类型、配置文件 、IP地址及安全域。
在这里需要注意一下,上图网口的图标是绿色的,其实你刚配置完还是灰色的,必须Commit之后,配置才能生效,那个图标才能变成绿色。
配置完接口之后我们可以测试一下:
这时,测试PC到防火墙的内网口已经通了。
————————————未完,待续————————————
