综合案例案例1：路由模式下通过专线访问外网路由模式下通过专线访问外网，主要描述总公司接入网络卫士防火墙后的简单配置，总公司的网络卫士防火墙工作在路由模式下。

（提示：用LAN 或者WAN 表示方式。

一般来说，WAN 为外网接口，LAN 为内网接口。

）图 1 网络卫士防火墙的路由模式网络状况：●总公司的网络卫士防火墙工作在路由模式。

Eth1 属于外网区域，IP 为202.69.38.8；Eth2 属于SSN 区域，IP 为172.16.1.1；Eth0 属于内网区域，IP 为192.168.1.254。

●网络划分为三个区域：外网、内网和SSN。

管理员位于内网中。

内网中存在3个子网，分别为192.168.1.0/24，192.168.2.0/24，192.168.3.0/24。

●在SSN 中有三台服务器，一台是HTTP 服务器（IP 地址：172.16.1.2），一台是FTP 服务器（IP 地址：172.16.1.3），一台是邮件服务器（IP 地址：172.16.1.4）。

用户需求：●内网的机器可以任意访问外网，也可访问SSN 中的HTTP 服务器、邮件服务器和FTP 服务器；●外网和SSN 的机器不能访问内网；●允许外网主机访问SSN 的HTTP 服务器。

配置步骤：1) 为网络卫士防火墙的物理接口配置IP 地址。

进入NETWORK 组件topsec# network配置Eth0 接口IP work# interface eth0 ip add 192.168.1.254 mask255.255.255.0配置Eth1 接口IP work# interface eth1 ip add 202.69.38.8 mask255.255.255.0配置Eth2 接口IP work# interface eth2 ip add 172.16.1.1 mask255.255.255.02）内网中管理员通过浏览器登录网络卫士防火墙，为区域资源绑定属性，设置权限。

设置内网绑定属性为“Eth0”，权限选择为禁止。

设置外网绑定属性为“Eth1”，权限选择为允许。

设置SSN 绑定属性为“Eth2”，权限选择为禁止。

3)定义地址资源定义HTTP 服务器：主机名称设为HTTP_SERVER，IP 为172.16.1.2。

定义FTP 服务器：主机名称设为FTP_SERVER，IP 为172.16.1.3。

定义邮件服务器：主机名称设为MAIL_SERVER，IP 为172.16.1.4。

定义虚拟HTTP服务器：主机名称设为V_SERVER，IP 为202.69.38.10。

6）定义路由案例2：混合模式下通过ADSL 拨号访问外网案例2：混合模式下通过ADSL 拨号访问外网，主要描述分公司网络卫士防火墙的配置，分公司的网络卫士防火墙工作在混合模式下。

值得注意的是，分公司是通过ADSL 拨号与外网进行连接的。

图 2 网络卫士防火墙的混合模式网络状况：●分公司的网络卫士防火墙工作在混合模式。

Eth1 为路由接口，属于外网区域，通过路由器与外部网络及ISP 相连（该接口由ADSL拨号获取公网IP）；Eth0 和Eth2 均为交换接口，Eth0 工作在Trunk 方式下，Eth2 工作在Access 方式下；Eth0 下连接着2 个VLAN，VLAN-1 和VLAN-2；Eth3 下连接着1 个VLAN，VLAN-3。

●VLAN-1 的IP 为192.168.10.1/24；VLAN-2 的IP 为192.168.25.1/24；VLAN-3 的IP 为192.168.95.1/24。

●管理主机位于VLAN-1 内。

用户需求：●防火墙通过ADSL 拨号获取eth1 的公网IP 地址。

●VLAN-1 内的机器可以任意访问外网（NAT 方式），VLAN-2 和VLAN-3 内的机器禁止访问外网，但允许VLAN-2 访问VLAN-3。

●外网的机器不能访问VLAN-1 与VLAN-2；外网的机器可以访问VLAN-3。

配置步骤：1）通过CONSOLE 口登录网络卫士防火墙，配置基本信息。

进入network 组件topsec # network添加VLAN-1 work# vlan add id 1配置VLAN-1 的管理IP work# interface vlan.0001 ip add 192.168.10.1 mask255.255.255.0配置eth0 接口为交换接口work# interface eth0 switchport mode trunk设置eth0 接口属于VLAN-1 work# interface eth0 switchport trunk allowed-vlan 00012）管理员通过VLAN-1 的管理IP 登录网络卫士防火墙，并绑定eth1 口和ADSL 的拨号属性、设置区域资源及VLAN。

设置区域（外网）绑定属性为“adsl”；权限设为允许访问。

添加VLAN-2 管理IP 设为“192.168.25.1”，MASK 设为“255.255.255.0”。

添加VLAN-3 管理IP 设为“192.168.95.1”，MASK 设为“255.255.255.0”。

设置eth0 接口属于VLAN-2，VLAN 范围设为“1-2”。

3）设置接口设置接口eth2 设置为“交换接口”；接口类型为“access”；VLAN 范围为“3”。

4）设置ADSL 拨号参数设置ADSL 拨号参数接口设置为“eth1”；用户名和密码根据ISP 服务商提供的参数值进行设置；绑定属性为“adsl”。

5）定义访问规则VLAN-1 用户通过源地址转换访问外网：转换控制选择“源转换”；源VLAN 选择“VLAN.0001”；目的区域选择“外网”；服务不选，表示全部服务；源地址转换为“adsl”。

7）拨号在防火墙上通过选择网络管理> ADSL 菜单，并点击“开始拨号”按钮进行ADSL拨号。

建立ADSL 连接成功后，在防火墙的路由表中会增加一条内网用户访问Internet 的路由信息：源为“0.0.0.0/0”；目的为“0.0.0.0/0”；网关地址为ISP 分配的公网IP 地址（如：169.254.125.124）；接口为与Eth1 口绑定的ppp0 口（拨号成功后，系统自动创建了一个ppp0 口）。

案例3：建立VPN 隧道建立VPN 隧道，主要介绍在如上所述的网络环境中，如何在总公司与分公司之间建立IPSec VPN 隧道。

图 3 网络卫士防火墙的VPN 隧道模式网络状况：●总公司防火墙工作在路由模式下，接口Eth1（IP：202.69.38.8）通过路由器与Internet 相连；分公司防火墙工作在混合模式下，接口Eth1 通过路由器与Internet相连，且Eth1 口通过ADSL 拨号获取公网IP。

●总公司防火墙的Eth0 口与Eth2 口分别连接公司内网区和SSN 区域，内网区有三个子网：192.168.2.0/24、192.168.3.0/24、192.168.1.0/24。

●分公司防火墙的Eth0 口与Eth2 口分别连接内网的三个Vlan：VLAN-1、VLAN-2和VLAN-3，其中VLAN-1 的IP 为192.168.10.1/24。

用户需求：●分公司的VLAN-1 所在子网192.168.10.0/24 与总公司子网192.168.2.0/24 之间建立基于预共享密钥认证的VPN 通信。

配置步骤：1）配置总公司防火墙，具体的配置步骤请参见案例1。

2）配置分公司防火墙，具体的配置步骤请参见案例2。

下面只描述与建立VPN 隧道有关的操作。

3）在总公司防火墙上开放“IPSecVPN”服务开放IPSecVPN 服务:服务名称为“IPSecVPN”；控制区域为“area_eth1”；控制地址为“any”。

4）在分公司防火墙上开放服务开放IPSecVPN 服务:服务名称为“IPSecVPN”；控制区域为“area_eth1”；控制地址为“any”。

5）在总公司防火墙上绑定虚接口绑定虚接口:虚接口名为“ipsec0”；绑定接口名为“eth1”；接口地址为“202.69.38.8”。

6）在分公司防火墙上绑定虚接口绑定虚接口:虚接口名为“ipsec0”；绑定接口名为“eth1”；接口地址为“0.0.0.0”。

7）在总公司防火墙上添加静态隧道，隧道参数采用默认设置。

添加静态隧道:隧道名：zong-fenIKE 协商模式：主模式认证方式= 预共享密钥，密钥= 123456本地标识：@202_8对方标识：@0_0对方地址：0.0.0.0本地子网：192.168.2.0本地掩码：255.255.255.0对方子网：192.168.10.0对方掩码：255.255.255.0主动发起协商：是8) 在分公司防火墙上添加静态隧道，隧道参数采用默认设置。

添加静态隧道隧道名：fen-zongIKE 协商模式：主模式认证方式= 预共享密钥，密钥=123456本地标识：@0_0对方标识：@202_8对方地址：202.69.38.8本地子网：192.168.10.0本地掩码：255.255.255.0对方子网：192.168.2.0对方掩码：255.255.255.0主动发起协商：是提示本案例中分公司防火墙采用的是ADSL 拨号的方式，故其IP 设置为0.0.0.0。

如果建立隧道的两台防火墙均为ADSL 环境，则可以通过DDNS 方式，利用域名来建立隧道。

1．案例4：网络情况介绍及应用需求描述：a．局域网内共5个VLAN，其中VLAN1用于网络设备管理，VLAN10、11、12用于局域网内用户，VLAN20为内部服务器，对应的子网规划：VLAN1：192.168.0.0/24 GW：192.168.0.254VLAN10：192.168.10.0/24 GW：192.168.10.254VLAN11：192.168.11.0/24 GW：192.168.11.254VLAN12：192.168.12.0/24 GW：192.168.12.254VLAN20：192.168.20.0/24 GW：192.168.20.254防火墙内口位于VLAN1，分配IP为192.168.0.253，OA Server位于VLAN20，分配IP为192.168.20.250 b．SSN内的服务器对Internet及内部局域网提供WEB、Email、FTP服务，内部OA服务器对局域网用户及分支机构用户提供OA服务c．从ISP那里申请到一段61.144.102.0/29段公网IP，共8个IP，缺省路由是61.144.102.6，可用IP 有5个，分配如下：防火墙外口：61.144.102.1WEB：61.144.102.2FTP：61.144.102.3Email：61.144.102.4备用：61.144.102.5其中SSN那3台服务器的IP由防火墙实现一对一地址翻译d．分支机构与防火墙建立VPN隧道访问内部OA服务器：分支机构1、2也安装VPN网关直接与防火墙建立Site-to-Site的VPN隧道；ADSL拨号分支机构与远程移动办公用户采用VPN Client软件与防火墙建立Client-to-Server的VPN 隧道。