海康防火墙web配置

这个防火墙我们应该怎么去配置啊？防火墙呢，我们其实已经登录进来啊，在这里面按照我们当前的这个规划的话，呃，一杠零，杠零的接口配置 ip 呢是幺九二点幺六八点幺零幺点二 啊，二十四位啊，所属的区域呢是 trust 区域，然后连接互联网的是幺呃，一杠零，杠一是 on trust 区域， ip 地址呢是一点一点一点一啊，二十四位，然后连接这边 外本服务器的呢是一杠零杠二，呃， ip 地址是幺九二幺六八五十点二五四。那么这时候呢，也就说我们做的第一步就是在防火墙上呢，把接口的安全区域和接口上的 ip 地址呢，我们先给它配置好， 那么也就说我们在这里面我们去看一下，比如说 g 一杠零杠零，这是我连接的内网的接口啊， 安全区域是 trust 区域， ip 地址是幺九二点幺六八点幺零幺点二， 昨晚野马二十四位的野马。好，那其他的话我们就不用做任何配置了，当然你要像仿开该接扣的一些权限的话，你可以在这边啊放打勾就行了，但是这里面的话，他一个比如说入端口的一些带宽啊，可以控制他的一些带宽，怎么样 啊？这边的话下面还有一些高级啊，就是 ipv 四的啊，最小的这个传输单元呀，可以，这个一般我们都不要去改啊，都不要去改， 觉得在这里面我们主要是配置 ip 啊，当然在这里面的话，我们这个接口上要配置 ip 地址，我这里面使用的这个模式呢，就是路由模式啊， 那如果我这个防火墙作为一个透明传输的防火墙，就是透明传输，那么我们就需要去配置交换，也就是交换机防火墙变成了一个二层设备。啊啊啊，工作在二层的一个啊，那么也就说可以使用交换的方式， 那我在这里使用路由。好，这是第一个，然后一杠零杠一呢，是我官网的接口 啊，官网接口呢，这边呢是 on trust 区域啊， ip 地址呢？是一点一点一点一，野马呢？是二十四位的野马 啊，当然这这里面有一个默认网关啊，其实默认网关呢和我们的路由有关系啊，那么你可以在我们这个防火墙上呢配出缺省路由，如果缺省路由啊，比如说我的缺省路由的话，指向到 s p 啊，我如果配置全程路由，那我在我这里呢就不需要去配置我的默认网关啊，如果我不配置出去的全程路由，那我可以去配置我的默认网关，比如说一点一点二， 那我当配置了默认网关，那我出去的路由呢？我可以不用配置，所以二选一啊，自己呢根据自己的实际需要呢去确定啊，其他的都是一样的。 好，我配置了默认网关，然后呢我们再配置我的这个一杠零杠二这个接口， 它是 d m z 区的这个接口啊， ip 地址是幺九二点幺六八点点二五四，东莞野马二十四。 好，我们确定啊，这面我没有配，没有默认网关，这样的话，我们接口上的 ip 呢，我们就配置完成了，这是第一步， 配置完成以后，那我们想一想，我们下一步要配置什么？我出去的路由对不对啊？我们去配置路由，对这个核心交换机来讲，我所有的数据包肯定是要送给防火墙啊， 去送你防护墙，所以呢，我们在核心交换机上我需要去配置 ip router speak， 我的所有的数据报文呢，要送到这个防火墙上面，所以呢他的吓一跳呢，就是我这个幺九二点幺六八点幺零幺点二， 对防火浆来讲，我刚才配置了它的一个缺声网关，是吧？所以呢，我就不用去配置缺声漏油了。 但是对防火的墙来讲，我要去到我内部的路由，我还是需要去配置的啊，内部路由，那么也就说我要到我的围栏十，围栏二十，围栏三十，围栏四十，我数据包在防火墙上怎么去走， 对吧？把数据包呢要送给交换机啊，交换机接口上的地址呢？是幺九二点幺六八点幺零幺点幺啊，这个，那么所以呢，我们在这个防火 墙上我去配置路由，在这里面的话，我们去找他的路由路由，静态路由，新建一个静态路由， 那么这是我出去路由啊，我可以把它删掉，我要配置我返程的路由，返程路由是我的目的，网段是幺六二点幺六八十点零，网段原版呢是二十四对的原版， 那我这个数据包怎么走呢？我要送给我的，吓一跳，吓一跳呢，就是我的这个交换机的那个接口和垃圾幺九二零幺六八点幺零幺点幺，对吧？然后确定 这样的话，我就有出去路由和返程的路由啊，当然我是只有能够到达这个未来市主机这个网段，但是除了这个网段以外啊，除了这个网段以外，我们还有 为了二十三十四十，是吧？所以呢，我们还需要在这里面呢继续去创建，把刚才的那个二十、三十、四十我们全部要创建。好吧， 不行啊，在上课呢，去喝水了， 好了，我们下面呢继续啊， 所以呢，在这里面大家去想一下，我这里面要到内部网段，其实有好几个网段，好几个网段呢，我们就是到十网段的，二十网段，三十 四床的都要去写，那么我们在这里呢，其实为了简便一点的话，我们其实可以把路由呢做一个汇总，那我这样去写行不行？大家去看一下啊，我这样去写行不行？ 下一跳呢是幺九二点，幺六八点，幺六幺点，行不行 啊？我们这样写其实也是可以的，为什么？在这里表示，只要是我导我的地址是只要是幺九二点幺六八开头的地址，我都可以使用这条路由啊，都可以使用这条路由。所以呢，当我写了下面的这条路由以后 啊，当我使用了下面的这条，呃，上面这条路由以后，那我下面这条路由呢，可以不需要这条路由呢， 就是多余的我们就可以删除掉啊，就可以删除掉，要保留这一条路就行啊，保留这条路就行，好吧 啊，在这里面的话，我们看继续路由，反正的路由有啦，除去路由有啦，那么我们下一步呢需要去做策略啊，策略就是刚才给大家讲过 啊，不同区域之间的数据包要通信，必须要放行相应的安全策略，我内部内部主机要去访问公网的主机，那么我就要放行 trust 去到我的这个 on trust 去之间的这个安全策略必须要去放行 啊，必须要放心啊，我们去看一下啊，去看一下如何去放行。这个安全策略在策略里面呢，有安全策略去新建一个安全 策略，安全策略呢，他要有一个名称啊，就是打心的这个部分啊，红色心的呢，必须要去填的，所以呢名称的话我们在这里呢去啊给他修改一下，比如说我内部主机到我的这个互联网的主机之间的一个安全策略， 对吧？然后呢这个原安全区域是哪个区域啊？是我内部主机的区域，是吧？ trust 区域。那我到我目的主机是哪个区域啊？ on trust 区域，就是这是有个方向性的问题 啊。然后呢我们的原地址就说我 trust 区域里面的哪些允许哪些地址可以去访问互联网，那么在这里面我们可以使用 ime 啊，可以使用 imei 啊，也可以，你可以也可以写的具体一点，比如说，呃， 我这里的话，可能也就是技术部、生产部、研发部和行政部，比如说我研发部的电脑我不希望他去访问互联网，那么我就可以 把这个 pc 三这边呢可以排除掉啊，比如说研发部的啊，这边这个啊排除掉，禁止。研发部的电脑呢，去访问互联网啊，也是可以的。所以呢在这里面的话你可以去写具体的，比如说幺幺零八十点零网段， 二十点零王段，四十点零王段，那么你不要写三十点零王段啊，也是可以的。呃，当然在这里面的话，他还有一个反选，是吧？一个反选的话也就是我幺九幺八三十点零王段，我添加进来进行反选， 那么也就说除了幺九二点幺六八三十点零网段，其他的网段我都是可以去访问互联网也是可以的 啊，木地网段的话我们就不用去写啊，因为木地网段是我互联网的网，因为大家知道互联网的地址肯定是非常多的啊，所以你也写不过来，我们在这里就不用去写啊，当然这里面还有一些涉及到的一些服务网，就说我内部主机要访问互联网的哪些服务 啊？根据你自己实际需要呢，可以去点，当然一般情况下的话我们不选啊，你要选的话就是特定了，我选了个 http 啊，比如说我只选了一个 b g p， 那我访问只能去访问 b g p 了，除了 b g 非 p 这个协议以外的其他协议我都用不了。现在这个就局限性啊 啊，比如说下面呢，还有些其他的啊，比如说请选择一些应用，当然这里面的一些应用的话，你可以提前去定义啊，允许哪些应用可以去访问 互联网，对吧？那比如说这下面的话，这是允许啊，这里面你看他这个内容上，他对数据包的内容进行一个安全检查，比如说反病毒了，入侵防御了啊， url 过滤了，但是这里面他有相应的这个配置文件啊，你要去选就行了 啊，你去或者是提前去做好去选啊，去升级啊，去弄好就行，然后呢最后我们点确定就行， 这样的话，我内部去防互联网的这个安全策略呢，就已经做好了啊，做好了，做好安全策略以外，我们刚才还有给大家讲过，就说我要内部去防互联网的话，必须要做耐腿策略， 就是把我们的内部主机地址转换成啊，我互联网的这主机地址呢，去访问互联网， 对吧？所以呢，在这里面我们需要去配置这个策略，里面有一个。 net 策略 啊，去新建一个。 net 策略啊，名称的话，我们内部的主机呢？去访问互联网的主机啊，这是一个 mat 啊，这是一个 mat 啊，然后呢原区域呢？是 trust 区域啊，目的区的话是 on trust 区域，是吧？ 然后这原地址就是你可以允许哪些地址做 matt 转换啊？或者是不允许哪些地址做 matt 转换，和刚才我们也是一样的，目的地址我们就不用去写啊，目的地址呢？我们去不用去写。然后如果 我这个坐标的地址转换，是转换成地址池里面的地址呢？还是转换成出接口的地址，这时候的话大家要考虑这个问题啊，如果是出接口的地址，选择出接口哈，他转换成就是一点一点一点一，如果我要写出接口是个地址池，那么我就要去定义一个地址池， 比如说一点一点一点十啊，比如说我们在这里用地址池吧，我们可以去试一下，你要这边要用地址池的话，你必须首先要有地址池，是吧？那我们在这里呢就可以新建一个地址池，比如说地址池啊 一啊，这个地址持范围就是我工网，比如说一点一点十到一点一点一点二十，这些地址呢是我从运营商那里获取的，运营商是可以给我来用的。 当我的内部主机数量特别庞大，比如说几百台上千台的电脑需要去上网，那我一般情况下就需要定地址池了，如果我的内部主机只有几十台，那我就不需要用这个地址池，而是使用出接口就行。好吧，然后呢，我们直接点 啊确定啊，这时候呢选择这个地址池就行啊，然后我们点确定就可以了，这样的话这个是网络地址转换，我们就完成了。 那么也就说在这里面大家可以看到我出去的路由，返程的路由，那我的安全策略，还有我的网络 nice 策略，我都配置完成。配置完成啊，我内部主机呢，那么如果当然我这个 sp 这边的设备，我要配置完成的话，他就可以去上网，我们在 sp 这边我会去检查 啊。呃，我们先去看一下我们街头上的 ip 来讲，我只需要配置两个 ip 地址就行啊，比如说一点一点二和二点二点二点二，然后对于这个终端电脑来讲的话，我配置 ip 地址就行 啊，路由这一块的话我们就不用配置，那我们配置完成以后，我们下面呢去做一下测试，那我用我的 pc 七去访问我的这个二点二点二点一， 要去拼一下，二点二点二点一 啊，大家最后发现呢，我这里面是拼空了，虽然拼的时候前三个 pro 都是丢弃的，就说不不 可达啊，但是后面呢他是通了的，那么也就说明我内部去访问互联网的主机啊，通信正常。那这一块的话，就是我们刚刚给大家讲的这个内部主机访问互联网，通过防火墙上面把 wifi 方式如何去配置的。

火墙了进行配置了，首先呢我们在这里去看一下，因为在这里面呢防火墙呢作为透明步数，那么防火墙我们就说发出去的数据包从 g 零杠零接口呢要 进入的防火墙啊，那么所以呢，这边这个接口呢，我们去规划成 trust 区域，从记零杠一的接口啊，出去的时候呢，他这边连接到我们的互联网，所以呢这个区呢，我们设置为 on trust 区域啊， 然后呢，因为我们是透明部署，那么这两个接口他我们要设置成二层接口啊，就是交换接口。然后呢放行的伪烂的数据呢啊，我 sw 这边没有配置任何伪烂，所以呢伪烂都是一啊，都是伪烂一机，这样的话我们 放行就行了。第二个呢就是啊，我们数据数据的数据和返程的数据啊，那么也就说我要放行 trust 的区域到安全 on trust 区域的安全策略，同时啊外部数据要流入到防火墙进来以后，那么我们需要去放行 on trust 区域到 trust 区域的安全策略， 那我们看一下如何去配置的。首先呢，我们在网络里面找到接口，找到接口，找到接口以后呢，呃， g 一杠零杠零这个接口啊，就是我的内部 啊，那我们去编辑一下这个啊，我们再去确认一下 g 一杠零杠零接口是 trust 区域啊，那么 g 一杠零杠一零杠一呢是 r trust 区域， 所以呢我们在这里面对应的接口呢，就是啊，记一段零杠零这个接口呢，我们先调整成二成模式啊，就是交换模式，然后呢这个安全区域呢是 trust 区域 啊， sos 啊，就放心，未来呢是未来一啊，放心未来一好，我们点应用点确定就行。然后呢我们再到第二个接口上 啊，右侧的这个接口呢，它也是二层的模式， 然后所属安全区域呢是 on trust 区域，所属的围栏呢是围栏一好，我们应用点确定配置完成以后，我们要 去放行安全策略啊，放行两个策略，一个呢是啊， trust 区域到 on trust 去之间的安全策略， 然后区域呢是原区域是 trust 区域啊，地址我们就不用管了 啊，目的区呢是 on trust 区，因为它是透明的啊，我们要保证啊，出去的和进来的数据流量都能够正常通行，这是 trust 到 on trust 区的安全区啊，注意，这里面要去修改一下下面的这个操作。操作呢是允许 啊，允许呢就是放行啊，数据包从两个啊，转速区的啊，转速区之间的数据流的通信，那么我们还要去创建另外一个 on trust 区到 trust 区啊，外部流入到内部啊，园区呢是 on trust 区域 啊，目的区呢是 trust 区域啊，然后呢我们去允许。

海康卫视竟然也出防火墙了，大品牌质量、售后都有保障！视频后面列出了防火墙的使用场景，为我们的最终客户提供监控、门禁、网络安全一体化解决方案。感兴趣的老铁可以评论区留言呦！

那防火墙呢？他用歪板方式也能配啊，用命令行方式也能配啊，这个呢是基于大家的一个习惯啊，基于大家的一个习惯去操作啊，在这里面的话，我们给大家讲讲就是用网页版的方式如何去配置 这个防火墙，当然这个防火墙它在这里面是虚拟的啊，是虚拟的，那么我们怎么去 啊？用我们本地的这台电脑，用本地的浏览器来访问我的这个 外板啊，防我的防火墙，那么这里面的话我们就需要用云朵进行调接啊，啊，我们先拖一个云朵进来，这个云朵的话我们需要去添加啊，去设置一些它的参数，对吧？比如说添加一个 udp 的端口啊，在这里面我们 还需要去添加一个，比如说我这里用的是仪态网端口啊，但是这个端口注意这个 ip 地址幺九幺六八幺三七点一，这个 ip 地址是我 自己设置的这个以太网六，这这个网卡呢？他是一个虚拟网卡啊，注意是虚拟网卡，所以我添加的是一个虚拟网卡，不能把物理网卡添加进来啊，就是擦网线的网卡不能添加这个虚拟网卡。然后呢在虚拟网卡下面的输入端口编号， 入端口编号呢是二出端口编号呢，是一方向通道点增加 啊，这样的话我这个我就配好了，配好以后呢用网线呢进行连接，那我这里连接到的这个 g 零杠零杠零这个端口啊，这个零杠零杠零 端口的，实际上他是我这个防火墙的一个管理端口啊，管理端口，当然这个 g 零杠零杠一他零呢，他这个端口 ip 呢和我这个云朵就是我那个虚拟网卡 必须在同一网段，所以呢比必须要，所以呢我们需要去改一下这个防火墙的记忆零杠零杠零这个端口，他的 ip。 呃，当我们第一次使用这个防火墙的时候呢，去输入用户名，然后呢还要输入他的密码， 呃，输入它的一个旧密码 啊，输入它的新密码 啊，进入系统试图修改设备的名称 s w r 关闭交换机的啊，这面我们不需要关闭啊，然后呢我们去进入到我的接口，比如说零杠零杠零， 对啊，在这个接口下我们去配置 ip， 大家在这边先去看一下它有一个缺陷， ip 啊，这个呢是也就说因为我这个端口呢是防火墙的一个默认的一个管理端口，所以呢它有一个 ip 地址啊，是这个默认的 ip 地址，这个地址呢我们去改一下 幺三七点二，年满二十四位。另外的话要注意这个端口呢，它是已经加入到我这个 trust 的这个安全区域的啊，加入到这个 创可区域里面去的啊，所以呢我们就可以不用再去修改这个设这个接口去添加他的安全区域，我们就不用去添加。呃，另外注意，因为我这里面是通过这个 g 零杠零杠零这个端口呢，去 通过网页的方式去登外边方式去啊，登录这个防火墙，所以呢这个端口上呢，我们需要去开启他的一个权限啊，到底开启什么权限呢 啊？ h t t p s 权限啊，因为我们网页呢它是通过 h t t s 啊，这个协议就说是个加密的超文本传输协议， 把门关住，嗯，然后呢我们去开启啊，开启完成以后，那么我们 就可以了，那么我们下面呢再用我们的浏览器啊，在浏览器里面的话，我们去输入 sttps 报号两斜杠幺九二点幺六八点幺三七 点二，然后这里面注意它有一个端口啊，就是冒号八四四三啊，这个端口 啊，要输这个必须要输这个八四四三的端口才行啊，才能登录到防火墙高级里面呢，有一个继续访问啊，这时候呢大家可以看到我防火墙的这个登录界面呢，已经出来了 啊，用户名啊，密码啊，那我们输进去以后呢点登录就行 啊，那么登录完成以后，当然这是一个快速向导啊，当然在这个我们可以直接点取消啊，就行啊，确定啊，同意啊，确定，那么看到的界面实际上就是我们防火墙的界面啊， 啊，在这个防火墙里面我们去做配置就行了。这本其实整个界面呢也比较简单啊，比如说第一个界面，比如我们的日制的一些告警信息 啊，这边呢是我们资源使用的情况，比如说我 cpu 啊，内存、 cf 卡这边是我的哪些接口？嗯，接入的接入网线啊，对吧？ 然后呢这下面的一些 license 啊，授权的一些信息，流量接口流量的一些信息等等系统的一些信息啊，还有一些呢， 也就是说这里面的一些事件啊啊等等，我这根据这些图表呢来了解啊，防火墙他的运行情况啊，这里面还有些监控啊，这个监控呢，也就是说你看一些系统日志的一些消息， 在这边可以看的比较清楚啊，看的比较清楚，包括各种报表，还有绘画表啊，都可以看看。看的是比较清楚的啊，这边策略这边是对向网络， 那么我们就可以，对啊，我们这个防火墙啊进行，按照我们实际需求呢，可以进行配置了啊，进行配置了，那我们下面呢去看一下。

防火墙的这个网页版的配置如何去配？首先呢我们创建云朵是吧？在云朵上面呢我拉出来了一个虚拟网卡，我虚拟网卡呢是幺点幺二八幺三七点幺， 然后呢用我的虚拟网卡连接到防火墙上，在防火墙登录之前呢，我首先呢呃，用命令横的方式先登录防火墙啊，用户名密码啊，我们重新设一下啊，用户名 at 密密码 啊，第一次使用的时候呢，我们要去修改一下密码啊，我们输入旧密码，输入新密码 啊，再确定性密码。做完以后呢，我们进入防火墙了，我们首先呢 连接到进入到 g 零杠零杠零这个接口啊，这个接口呢，我们去查看一下啊，这个接口，这个接口我们配置的 ip 地址呢？我们首先呢配置成和我虚拟网卡是同一网站的地址， ip 地址呢是幺九二点幺六八点幺三七点二，连满二十四位。然后在这个接口上呢，我们需要去开启啊，开启权限，比如说 s t t p s 的权限 啊，要开启这个权限，当我开启 h t t p s 的权限以后，那我用浏览器啊就可以登录到防火墙了。这时候呢我们打开防火墙 啊，打开我们的一台，打开我们的浏览器，在浏览器里面我们去看一下啊，这是 我们的浏览器输入 h t t p s 啊，冒号两斜杠幺九二零幺六八点幺三七点二， 呃，他呢使用的是端口，是八四四三六端口啊，我们敲回车啊，这时候呢我们点连接点高级啊，点继续访问，这样的话我们就可以登录到防火墙 啊，防火墙的用户名这密码呢，我们刚才已经做了修改啊，按照我们修改后的 密码呢，我登录到防火墙，那防火墙呢？我这边点取消啊，这边是一个快速配置的一个向导，那我们取消掉，然后呢再点确定啊，再点同意就行啊。那么在这个防火墙里面我们先去看一下啊，防火墙里面， 那么我们这边呢是我的面板是吧？面板呢有一些系统的一些报警日志啊，这边是资源的一些信息啊，接口的状态 啊，莱斯尔信息啊，证书之类的，还有我们这边这边呢还有些其他的系统信息，还有一些各种状态都在这边可以看到。 呃，这边的话是一个监控的状态，比如说我的系统日志，业务日志告警，还有我的各种绘画等等 啊，都可以在这边呢，具体的都能看得到啊，绘画表等等都有，这边是策略是吧？这边是对象，这边是网络啊，这边是系统，那么我们在这里面呢，我们首先去配置网络，主要是首先去配置我们的接口上的 ip 啊，那么这个接口上的 ip 的话，就是按照我们这 规划来走的。记忆一杠零杠零这个接口啊，我们说这个一杠零杠零，这个接口我配置的 ip 呢是我内网的幺九二点幺六八点十幺零幺点 二啊，然后呢它这个区域呢是 trust 区域，这边呢是 一杠零杠一是吧？这边是我们 unchart 区域， ip 呢是一百点零点零点一， 那下面这个 d m z 其实一杠零杠二，呃，他呢这是配置 ip 是十点零点零点二，对吧？我们按照这个接口我们来做设置一杠零杠零呢，他是我连接内网的，那么所以在这里 我进行把它编辑一下啊，这边呢有一个编辑啊，好点开编辑。安全区呢，是 trust 区啊，该接口是 ask trust 区，地址呢？幺九二点幺六八点 幺零幺点二。野马的话是二十四的野马啊，其他不用配，默认网关 ds 服务器不用配，网点确定就行啊。 h 三 c 是不是老课啊？是新课，是新课才做的课程啊？是今年才做的课程， 不是老课程啊，用的模拟器也是最新版的，就是五点零点八的那个版本。用的设备呢？是啊， s 五八二零还有 s 四三六零零是华三的主流设备啊，就是目前用的最多的设备。呃，一杠零杠一这个接口， 呃，我们这个区域呢，它是官网区域啊，就是 on trust 区域， ip 地址是一百点零点零点一，原码的话是二十四位的原码 啊。网关的话我们不用配啊，如果你我当然我这个 top 不用配。你要是连接有路由器啊，比如说连接有 rsp 的网络设备的，我们需要去配置默认的网关。 好，这样的话我们这个区域我就配好了。下面这个接口呢，我再去配下面这个接口呢，它是 d m z 区啊，然后 ip 地址呢？是 十点零点零点二也满了，二十四这个也没有网关，直接点确认。那么这样的话，我把接口上的 ip 和区域呢，我就划分完成啊，划分完成以后呢，我们需要去配置什么 路由，是不是啊？我们要去配置路由，那配置路由的话，我在这台设备上呢，我要去配置静态路由，静态路由的话，你看我这是防火墙，我主要是配返程的路由，能够到达 pc 所处网段的路由，对吧？那我怎么去配呢？ 我去新建一个路由啊，目的地址呢？是幺九二点幺六八点十点零，野马的话是二十四位的野马，我要到这个地方去，我的吓一跳，在哪里啊？是连接我的交换机是吧？交换 机的 ip 是多少？幺九二幺六八幺零幺点幺啊，那么剩下我们直接点确定就行啊，这样的话我们路由呢我就配好了，路由配置完成以后呢，我们去配置安全策略， 点开策略啊，策略里面的话我们选择安全策略里面点新增啊，新建安全策略名字的话就是我们刚才给大家取了一些名字，是吧？刚才我们之前给大家讲过，比如说，呃，我内部的主机是 trust， 去访问我的互联网 on trust， 那么原区原区域是什么？是不是 trust 区域啊？那目的区域是 on trust 区域，原地址是我们的幺九二零幺六八点点零，野马二十四位的 地址啊，打上勾确定，那目的地址呢？我们不用去写啊，因为互联网主题太多，这里面还有什么时间段呀？还有什么服务啊？这个服务我们不用去配啊，那么也就是我允许访问互联网的所有服务， 然后呢？剩下的什么入侵防御啊， ur 过滤啊，这个我们就不用配了，这是模拟器啊，如果在我们征集环境下的话，有需要的话可能会去配这些啊， 你要反病毒，反病毒的配置文件，那我们把反病毒的配置文件都要写上是吧？比如说入侵防御的一些防御的一些东西，防御的一些文件啊，我们提前给他定好，然后去做就行。 当然我们这边呢，我们就啊，不管他啊，我们直接点，允许我们的这个 个安全策略我们就做完啊， trust 到 ontrus 的安全策略就做完了，那么我们还需要去创建什么？我的这个。 net 策略是吧。 net 策略的话，我们选择这个新建。呃， trust 到 untrust 区域对吧？原 it 地址转换，原区域呢是 trust 区域，目的区域呢是 untrust 区域啊，然后原地址呢？是幺九二零幺六八点四点零年满二十四位的地址 确定啊，目的地址不用去写啊，这里面呢，看原地址转换。为什么出接口的地址啊？出接口地址呢？指的是出接口的地址呢？指的就是 eip 的方式啊，如果你要用地址吃的地址，那我还要去创建一个地址吃才行。 这里面的话，我们通常用出接口啊，好，那么圆我们做的是不是啊？这个圆。 net 地址转换圆。 net 的策略我们配置完成，那么我们实际上呢？我这台路由器啊，我这台 pc， 我要访客令腿机呢，他就能正常通信了 啊，我们去拼一下啊，我们去拼啊，一百点零点零点二是吧？一百点零点零点二就是我 kate 啊，互联网的主机 啊，是不是能够正常通信啊，可以正常通信了吧，对吧？然后呢？呃，如果我要去配置这个，比如说我这个 clint 一要去防 f t p， 那我在防防火墙如何去配？ 我们在这里面的话，你看啊，我们如何区别呢？一个是安全策略，是不是安全策略我还是要去做。安全策略呢，是从我们 on track 区域到我们 d m z 区啊，园区的话就是 on track 区域啦，目标 区，目标安全区呢就是 d m z 区，原地址我们不用取，但是我目的地址必须要写啊，就是我的这个。呃， f t p 服务器的地址十点零点零点一吧，野马的话是三十二位的。野马是我这台主机 啊，看一下啊，我这地址是不是这个地址啊？四点零点零点一啊，对，好吧，然后呢，如果你要去使用服务的话，我可以使用所有的服务啊，或者的话 你不用选也是所有的，或者的话你就用 f t p 行不行啊？当然你要用 f t p 也行啊，这样的话我的外部用户只能去访问我的 f t p 的服务。 嗯，然后下面的动作呢是允许啊，点确定就行，这样的话我们安全策略就做了。做完安全策略以后呢，我们要做服务器的映射，那么我们去新建 那映射的名称的话就是 t u 土地，然后呢我们加个 f t p， 就说我访问外部用户，去访问我内部的 f t p 服务器安全区，你可以去不用去选啊，可以去选也可以不用去选 啊，如果你要精准一点的话，你肯定去选，你要去选区域的话，你肯定是选择的是 alter 的区域，但是我们这里面其实还有 内部服务器内部的用户，是吧？内部用户是 trust 区域，外部用户是 on trust 区，那么你可以把 trust 区和 on trust 区域呢都选择上，然后呢来访问，所以呢我这里呢可以使用 trust 区域啊，也可以去使用 on trust 区域。这边能不能用分割 哦，还不行啊。那还不行，你可能到时候要叫见两条。那我就不写，不写的话就是所有区域都都能用，然后公网地址呢是一百点零点零点十， 四网地址的话是十点零点零点一，对吧？那我们这里面要指定协议是吧？协议呢是 tcp 协议啊， ftp 呢是 tcp 啊，公王的端口号呢是二十一啊，四网的端口啊也是二十一， ftp 的端口号都二十一 是吧。然后呢，我们直接点确定一句啊，允许夫妻使用逛地支上网配置黑洞漏油啊你。当然这个黑洞配置黑洞漏油，打上勾也行啊。好，这样的话我们就钻啊，钻完以后呢要注意，这里面呢有个安全防护，里面有个 a spf， 就是我刚才讲的 啊， s p f 呢，它可以保证系统对多通道的协议呢进行临时的去协商端口的正确 啊，过滤和耐特，虽然这一句话非常重要，虽然，但是 f t p 呢，它是默认的啊，打上勾了， 那么比如说你要还要需要用其他的服务，其他服务可能是也是多端口，多端口多通道协议的话我必须要打上勾才能用，否则你就用不了，这样的话我就配置好了，配置完成以后我用我的 ct 去登录一下，我先这边登出，我用一百点零点零点十去登录 啊，大家可以看到我呢已经可以去访问我的啊内部 f t p 服务器了，对吧？大家已经看到了，那么这边的话也是我们 clean 二，呃，我这边先登出啊，然后我再重新登录一下。 能不能登录啊？大家想一想我能不能登录上进去。 登录不进去是吧。肯定登录不进去。为什么登录不进去？你看我连接服务器失败是吧为什么连接服务器失败啊。原因是我们这边还缺少一个步骤啊。什么步骤？ 在我们的安全策略里面需要再增加一个安全策略。这个安全策略呢是 t 土地是吧。 trust 区域到 d m z 区啊园区呢是 trust 区域目的区呢是 d m z 区。原 ip 地址幺九二零幺六八点十点零年码二十四位的地址 啊目的地址呢？是我的十点零点零点一。野马的话三十二位的主机 好确定，然后服务的话你可以选也可以不用选啊。你要想选就写个 f t p 吧啊写个 f t p 也行啊。好，然后我们打上确定就行然后呢下面 我们点确定就行啊这样的话有了安全策略看到没有？有了安全策略有了安全策略以后我再用我的这个啊我再登一下啊 哎他怎么了 还不让登啊 t 土地 啊十点零点零点一啊幺九二幺六八啊十点零二五点零没有错。是不是 跟。 net 没有关系啊跟 net 没有关系。呃服务器端口映射我这边是也做了呀。啊 啊已经联通啊这本测试是联通的呃我们再去测一下啊。 哎看还是没有联通。没有联通啊没有联通 啊。这边没有问题啊。哦这边设置了一个 ontrot 区啊看到没有？这是我前面啊可能是我前面写了。写了以后呢。呃他 我把它删掉啊啊然后我们点确定哦 on trust 是吧那我使用 any 吧啊，加个 any 啊，把这个就说安全区域呢，有要求啊， any， 然后呢？我 设置成 any， 然后呢我们再试一下啊，这时候呢，你看就登录成功啊。所以呢，在这里面要注意啊，因为我刚才前面点了一下，这下面东西选了一下啊，就说 想了一下，他就给了一个值，叫 on trust， 我现在把它改成艾米，所有区域呢都可以去访问啊，否则呢，你还要单独再重新再建一个啊，再重新再建一个啊， trust 区域的一个安全策略才行。好吧，这样的话我们防火墙呢就正常通信了啊，防火墙就正常通信。

确定这样的话，我们啊防火墙我们就配置完成啊，那么我们下面呢要配置路由器啊，路由器呢，他实际上呢先配置内网接口 啊，先进入系统识图修改设备的名称二一，进入的接口零杠零，接口上配的 ip 地址呢是幺九二零幺六八点四点二五四啊，做完原码二十四位 啊，我们进入接口零杠机配置 ip 地址，一点一点一点一，这是个公网地址。好，配置完成以后 啊，我们要配置 d s c p 服务器，是吧，我们可以去启用 d s c p 服务器，然后去配置那 d s c p 的 ip 地址池，比如说 号是名称，网关呢，就是我们内部主机的网关点二五四啊，配置的网段是幺九二点幺六八点 十点零啊，这个网段此网野马呢是二十四尾的野马，就是三个二五点零 ds 服务器列表八点八点八点八二，配置完成， ok， 这样的话，我们给下面的 pc 呢去配置他的，呃啊，去启用啊，先禁用一下啊，然后再启用 启用 d s c p， 那我们稍等片刻呢，可以看到它能够获取到地址，如果能够从 r e 上获取地址，说明我 f 防火墙的透明模式呢，我就配置好了，那我 我们下面呢就说内部主机要仿互联网，对吧，那么在 r e 上呢，我们还需要去配置一个缺省的路由 啊，缺省路由呢，下一跳是送到的 s p 啊，所以下一跳呢就是一点一点二，因为 r 一呢，它是直连到我的内部主机的，所以呢不用配置返程路由。 在这里呢，我们还需要去配置网络地址转换，就是把我们的四网地址呢转换成逛地址，所以呢，我创建一个基本防控制列表，允许我内部的流量呢，都能去访啊，做地址转换， 配置完成以后，我们进入接口，零杠一，在这接口下呢，启用 netbox alt 两千， alt bond 两千。好，配置完成， 那我们再看 s p 啊， s p 这个设备呢，是云商设备啊，它呢主要是在这里呢，就是配置两个接口， ip 啊， 第一个接口啊，零杠零啊，这地址一点一点一点二，野马二十四啊，我们再去配置另外一个还回口，还回口呢，主要是模拟互联网的一台主机啊，这个主机的地址是八点八点八点八， 年码二十四。配置完成以后，我们下面去做一下测试啊。首先看一下 p c 一 啊， ip 地址，它已经获取到了幺九二点一六八十点三啊，那么我们用 pc 音呢去拼啊，这个八点半点半，看一下我访问互联网正正常不正常 啊，大家发现现在是拼的通啊，说明我透明网桥的模式啊，透防火墙，透明植入部署呢，配置完全正确。好，这块的话我们就讲到这里啊，谢谢大家。

这个界面呢，它就是一个防火墙的一个界面啊，登录进来的一个界面，比如说这边有一些信息资源是吧？比如说它 cpu 的占用率啊，内存占用率啊，还有什么 cf 卡使用率啊， 这边来一些日志告警的一些信息啊，下面这是一些我们正在使用的一些接口啊，连接了哪些接口 啊？下面呢有一些我们的这个授权啊，就是哪些功能啊？我们得到授权了， 我这边呢有一些流量统计等等，还有一些系统日志的，系统的一些信息等等啊等等。那么在这里面的话，我们主要是通过后面这几个啊，主要是策略对向网络啊，这是我们 三个用的是比较多的，那我们看一下，那么在我们这里面的话，防火墙这一块我们要配置的话， 一个呢就是需要去配置接口啊，接口上左手的啊，这个是 安全区域是吧？所以呢我们把这个安全区域和 ip 地址呢要记下来啊，记忆一杠零杠零是我的内网 ip 地址幺幺幺八幺零幺点二所在的安全区域呢是 trust 区域一，杠零杠一呢是 on trust 区域， ip 地址一点一点一点一， 这边呢还有一个一杠零杠二这个接口呢是我的啊，这边是标本服务器啊，所以呢是用 d m z 去 ip 地址是幺九幺六八五十点五四。那所以呢我们先去配置接口啊，怎么配呢？ 点开网络啊，在网络里面这边有接口是吧？点开接口以后呢，我们首看一杠零杠零这个接口呢，呃，我们去把它配一下 啊，这边呢我们有一个编辑啊，我们直接点编辑就行。 呃，安全区域是 trust 区域啊， ip 地址是幺幺九二点幺六八点幺零幺点二，野马呢是二十四位啊，所以呢，写法一定要注意啊，确定 一杠零杠一呢，这个接口是连接互联网的啊，所以呢是 on chart 的区域。哎，我刚编辑错了吗？ 啊，选择错了啊，注意，是一杠零杠一啊，是这个 区域呢，是 uncharth 的区域， ip 地域是一点一点一点一，野马呢是二十四位的野马， 好确定。还有一杠零杠二， 它所在区呢是 d m z 区， ip 地址是幺九二点幺六八点幺哦，五十点二五四四万元嘛，二十四元。好确定 啊，我们配置完成以后呢，也就接口上呢，我们 ip 配完了，对吧？配完接口以后呢，我们要去考虑路由的问题啊，那么交换 机这边的路由呢，我们之前已经配置过了 啊，已经配置了所有数据包呢，送到了我交换呃，防火墙了，对于防火墙来讲，我所有数据包呢送到 s p 啊，所以呢，我们在这里呢就要去配置路由，那么在左边呢，有一个路由选择静态路由，在静态路由里面呢，我们去新建路由啊， 然后新建的路由呢，也就说我首先配置一个默认的确成路由，吓一跳呢，就是送到 s p 二，就是 s p 一，一点一点一点二， 好确定，这是我出去的路由，那么我还要去建呢，返程的路由就是我防火墙呢， 数据包能够到达我下面的啊，这些围栏的主机啊，全部都需要去到达是吧，所以呢，我们 目的地址呢是幺九二点幺六八，我们也可以在这里面的话我们可以做一个路由巨横是吧？点零点零，只要是 ip 地址是幺九二点幺六八开头的啊，地址那么我们都可以啊， 幺九二点幺六八，对啊对吧，这样的话我也就说我返程的数据包只要是匹配到幺九二点幺六八，那么我就送到我的核心交换机，核心交换机那边 ip 呢是幺九二点幺六八点幺零幺点幺 啊，所以呢这条路由呢就够了啊，或者呢你写几条明细路由也行 啊，可以写几条明细路由。呃路由配置完成以后呢我们就要考虑什么安全策略对吧？我内部主机我要去访问互联网的主机我要放行 trust 区域到 ruttrust 区域之间的安全策略 啊，去选择策略安全安全策略，新建安全策略。 trust 到 on trust 区域的安全策略 啊。原区域的话是 trust 区域目的目的安全区域呢是 on trust 区域啊，原地址的话我们可以写也可以不写啊，如果你不写的话就是所有地址都可以访问，如果你要去写的话我们也可以去使啊，使用这个也行。 幺幺幺六八啊，点零点零，那么代表我啊下面的围栏十，围栏二十，围栏三十，围栏四十的主机呢都可以去访问 互联网是吧？呃目的地址我们就不用写啊，服务啊这些我们都不用去写， 然后呢去允许啊，这样的话我这个安全策略呢就完成了。安全策略完成以后呢还需要去注意的是什么呢？就是我内部主机要去访互联网的话需要去做网络地址转换 啊，需要去做网络地址转换？呃，去看一下网络地址转换，我怎么去做这下面呢？是一个。 net 策略啊，新建一个。 net 策略列啊， tip to you net。 呃，原区域的话，原安全区域是 truck 区域啊，然后目的安全区域呢？是 on truck 区域。原地址我们可以不写啊，所有地址都能做目的转换。然后呢？从什么地方出去呢？出接口 啊，我出接口啊，正好我这 note 地址转换呢，我就完成了啊。完成以后呢，我们下面呢就可以去测试一下我内部主机去访问互联网的 啊，克林特对吧？用 pc 七呢去拼二点二点一 啊，大家可以看一下啊，其实已经通了，对吧？那通了的话，说明啊，我防火墙的配置呢，是完全正确的啊。防火墙完全是正确的。

客户宁愿多花两百，也不希望我用命令行去调试这类防火墙。那么今天我们来讲一个如何通过外部页面简单配置防火墙的一个配置教程。好，那么我们首先第一步呢，我们需要输入防火墙的一个登录地址呢，他默认是幺九二点幺六八点零点幺。 呃，这里有一个八四四三，这个端口号已输入。好，接下来呢，登录这个界面以后呢，我们就可以通过用户名和密码去登录这台华为的防空墙了。点，登录在这里呢，我们通过一个快速炫脑是比较简单的，我们这里呢点击下一步。 好，那么接下来在这个这个密码我们可以不管，我们直接点击下一步啊，然后呢，这个时间也可以不用配我们直接下一步啊。接下来这里面有几个方式啊，一个是静态，就是我们如果是专线的话，可以通过静态地址， 那他如果是动态地址，我们可以选 dsp， 如果是拨号话直接选 pppov 拨号。好，那么这里我们是一个专线地址，我们直接点，下一步，我们选择咱们这个防火墙的接口地址，就是上外网的接口地址，我们选择进啊一杠零，杠一。 好，那么接下来呢，这里呢有一个地址呢，是二二零点幺幺点幺二点九零。 呃，此网页码是二五五点二五五点二五五点二五二啊，网关呢是二二零点幺幺点幺二点八九。 好，这时呢我们把 ds 可以填个幺幺四点幺幺四点幺幺四点幺幺四。好，我们直接点击下一步。好，这时他其实让我们去选择一个，呃，烂口地址，就我们内网地址，我们可以选择一杠零，杠零啊，那么 ip 地址呢？是 幺九二点幺六八点零点一啊，此网页码是三二五点零，我们直接点下一步。 好，接下来我们直接 dicp 也可以打勾，如果呢？你想，呃静态化管理，你就不需要打勾，我们点下一步啊，接下来我们就直接点击应用啊，其实我们整个防火墙就已经配置完了，点击完成以后呢，其实这个防火墙就已经配置完，就可以正常上网了。 好，那么这里我们可以点击这个 cli 控制台，他就会提示呃，一个命令行情界面，在这个界面我们去做个测试，看我们刚才配置到底对不对，我们去拼加个原地址是幺九二点幺六八点零点一，这我们内网网关， 再去拼一个外网地址二二零点幺幺点幺二点八九啊，这时呢，我们敲回车啊，如果能够拼通，说明我们的外网上网肯定是没问题的。

如何使用 mf 页面来配置一台生幸福的防火墙，一分钟教你轻松搞定。首先第一步，大家要知道这台防火墙的 ip 地址是幺零点二五幺点二五幺点二五幺杠二十四位，我们只要把网线的一头连在这个 madj 门头上面， 网线的另外一头连到我们电脑的网卡上面，接下来我们就可以开始配置了。首先第一步我们点击以太网三，选择右键，点击属性，然后我们在属性里面选择协议版本四，然后在这里面呢使用下面的 ip 地址， 幺零点二五幺点二五幺点两百指望元宝三个五点零，点击了确定。第二步，我们打开网页，在地址栏里面输入，幺零点二五幺点二五幺点二五幺，点击推车。好，我们就进入到生幸福的防火墙 的配置页面，在这里面呢我们输入用户名密码，点击登录好，我们可以看到生幸福的防火墙的话，他可以在线升级，我们点击他把它关闭呀，在这里面我们可以进行网络配置，你说在接口下面配地址， 然后呢我们安全防护的对象，你比如说有 ips， vivo 实时漏洞分期等等。然后呢我们也可以在生幸福的防火墙上面跑 ss 为偏，跑 ipc 口为偏。如果说大家不知道怎么配置的话，我们可以点击最后一个配置向导， 大家可以看到我们的防火墙有三种部署模式，路由模式、透明模式跟镜像模式，大家点击这个开始配置啊，就可以按照他这个需求来，一步一步来。

大家好，我是精彩网络技术，在我们企业内部呢，经常会使用防火墙，那么防火墙呢，主要是对我们企业内部网络呢做一个安全防护啊，在这里面我们来看一下，我们企业内部网络呢，主要在 pc 这一段，这个呢我们会把它划分到一个区域叫 trust 区域， 而我们其内部的外边服务器我们一般会放在 dmz 区，在我们这里面做几个配置，首先呢我们在接口上呢，要配置 ip 地址，其次呢我们把该接口呢，我们要划到相应的这个区域，比如说 trust 区域， 而我们右边这个接口呢，我划到 dmz 区。然后呢我们再放行 chance 的到 dmz 区域的啊，区域的安全策略，这样的我我们 pc 一呢就可以访问服务器了，而我们服务器呢，他不能主动访问 pc 一啊，因为我们没有放行 dmz 到 trust 去。好，下面我们看具体的配置。首先打开防火墙，进入系统，试图关闭信息东西， 进入记忆一杠零杠零接口，配备 ip 地址幺零点零点零点二二十四位。退出去创建 fast 区域 啊，增加我们这个接口啊，一杠零杠零。好，这是第一个。然后呢我们再进入接口一杠零，杠一，配置 ap 地址幺九二点幺六八点 十点一二十四位。那么退出去创建 dmz 区域归家接口记忆一杠零杠一。 下面呢，我们要做安全策略，要放行什么呢？要放行 pc 一到 sever 一这个两个区域的安全策略。首先呢创建安全策略的名称叫 t 五 b 圆区域，我们设置为 retrust 区域，目标区域是 dmz 区， 原 ip 地址是幺零点零点零点零，王段二十四， 目的地址 是幺九二点幺六八点十点二， 他是一个主机地址啊，就是三十二位的严码程度啊，然后呢，在我们激活 啊，最后这个安全策略 xx 追妹子，好，下面呢，我们来配置 pcip 地址啊， pcip 地址我们已配好了， ip 地址是十点零点零点一，那么紫外线嘛，是三个二，五点零，网关是十点零点零点二， 那么服务器的 ip 地址我们也配好了。好，下面呢，我们直接用 pc 一去拼一下 pc 二 星幺九二点幺六八零十点二， 我们发现是通着的，是吧？那么如果我们服气来访问我们 pc 呢，我们来看一下他是否能够正常访问，那么我们访问的地址是幺零点零点零点一，我们平时给报， 最后我们发现是什么是失败的啊，是，原因就在于我们并没有把 dmz 一区放行， trust 啊的安全策略，好，我们就讲到这里，学会了吗？学习更多网络知识，关注老师。

web 端 关闭 m e 加密，设定超级密码进入设备。 web 端设置门禁，配置门餐术，在门餐术内可以修改开门时间、超级密码门名称等信息。 卡片安全界面启用或关闭艾米卡加密默认加密，加密默认十三山区。