黑盾防火墙安装实例
福建省海峡信息技术有限公司
目录
黑盾防火墙的管理方式 部署黑盾防火墙 黑盾防火墙的安装实例一（路由模式） 黑盾防火墙的安装实例二（桥模式） 黑盾防火墙的安装实例三（混合模式）
一、黑盾防火墙的管理方式
A、黑盾防火墙的三种主要管理方式
部署黑盾防火墙
黑盾防火墙网络拓朴规划
规划网络的拓朴结构、黑盾防火墙部署的位置及 不同区域的划分
确定黑盾防火墙的工作模式
黑盾防火墙工作模式主要有透明模式、路由模式 和混合模式三种。 根据网络拓朴规划确定防火墙的工作模式
确定网络应用服务和防火墙配置参数
规划好网络结构之后，就要具体定义网络参数，请尽可能确定以下各项内
黑盾防火墙的安装实例一 （路由模式）
黑盾防火墙部置的网络拓朴
确定黑盾防火墙的工作模式
确定防火墙使用路由（NAT）工作模式
确定网络应用服务和防火墙配置参数
1）与外网连接的网关或路由器地址： 61.154.11.254 2）防火墙外网口的IP地址、子网掩码 : 61.154.11.187-189/24 3）防火墙内网口的IP地址、子网掩码: 192.168.0.252/20 4）防火墙DMZ口的IP地址、子网掩码: 10.0.0.254/24,172.16.0.1/16 5）防火墙管理主机的IP地址: (内)192.168.15.3 6）对外WEB服务：61.154.11.188:443,80,808010.0.0.1:443,80,8080 7) 对外DNS服务： 61.154.11.187:5310.0.0.10:53 8）企业安全策略 允许内网(192.168.15.0/24)访问外网，允许访问所有服务； 允许从外网向DMZ网络进行WEB和DNS服务； 允许DMZ（10.0.0.01和10.0.0.10）访问外网，允许访问所有服务；
在系统设置管理主机管理规则新增管理规则，如图：
5）配置对象组
在对象定义地址池手动创建，如图
根据安全策略需求添加其它地址池，如图
在对象定义服务类型手动创建，如图：
根据安全策略需求添加其它服务类型，如图
6）配置NAT功能
在IP包转换源地址转换新建规则，如图：
新建其它的源地址转换，如图：
在对象定义服务类型手动创建，如图：
8）配置NAT功能
在IP包转换源地址转换新建规则，如图：
在IP包转换目标地址转换新建规则，如图：
9）配置防火墙安全规则
在访问控制IP过滤规则新建规则，如图：
根据安全策略需求新建其它规则，如图
9）配置VPDN功能
A)配置VPDN的网络管理 在VPN设置VPDN配置网络管理编辑，定一个供VPDN用户使 用网段，如图
安装配置黑盾防火墙系统
1）从DMZ口登录黑盾防火墙
2）配置黑盾防火墙外网口IP及网桥 添加外网口IP：在系统设置网口配置外网口添加IP，如图：
配置桥接口并配置桥IP
注：先把内网和EXT口加入到网桥，并配置好桥IP，DMZ口等内网管理主机配置好后再加入桥
3）配置防火墙默认路由和静态路由
安装配置黑盾防火墙系统
1）从DMZ口登录黑盾防火墙
2）配置黑盾防火墙网桥接口
在系统设置网口配置网桥将内网和外网加入桥接口。如图：
配置网桥IP
在系统设置网口配置网桥IP地址设置，如图
3）新增管理主机
在系统设置管理主机管理主机手动创建，如图：
在系统设置管理主机管理规则新增管理规则，如图：
确定网络应用服务和防火墙配置参数
1）与外网连接的网关或路由器地址： 218.86.118.177 2）防火墙外网口的IP地址、子网掩码 : 218.86.118.178/30 3）防火墙桥接口的IP地址、子网掩码: 10.188.91.200/24 4）防火墙管理主机的IP地址: (内)10.188.91.46 5）对外WEB服务： 10.188.91.91 6）企业安全策略 允许内网(10.188.91.0/24)访问外网及EXT网络，允许访问所有服务； 允许从外网访问内部网络WEB服务； 允许DMZ(10.188.91.0/24 )访问外网及EXT网络，允许访问所有服务；
4）配置对象组
在对象定义地址池手动创建，如图
5）配置防火墙安全规则
在访问控制IP过滤规则新建规则，如图：
6）保存配置
黑盾防火墙的安装实例三 （混合模式）
黑盾防火墙部置 的网络拓朴
确定黑盾防火墙的工作模式
确定防火墙使用混合工作模式（内网口，DMZ口，EXT口 做桥；桥与外网口做路由）
在系统设置路由配置新建默认路由或新建静态路由，如图：
5）新增管理主机
在系统设置管理主机管理主机手动创建，如图：
在系统设置管理主机管理规则新增管理规则，如图：
6）从内网管理主机登陆防火墙，将DMZ口加入到桥接口中
7）配置对象组
在对象定义地址池手动创建，如图
根据安全策略需求添加其它地址池，如图
Eth2（DMZ口）:
IP1：10.1.0.1/16 IP2：192.168.0.1/16 IP3：172.16.0.1/16
管理主机（DMZ口） ：
10.1.0.2， 192.168.0.2，
172.16.0.2
缺省用户名： 超级管理员：admin 规则管理员：rule 系统审计员：audit 只有预先设成管理主机的IP地址才能进行管理 在管理主机上用IE等游览器访问url地址： https://10.1.0.1 或 https://192.168.0.1 或 https://172.16.0.1
B）新建VPDN用户
在VPN设置VPDN配置用户管理新建用户，定一个供VPDN用 户使用网段，如图
C）新建一个VPDN的地址池
D）新建VPDN的访问规则
10）保存配置
3Q!
-HTTPS远程管理：TCP 443（使用IE4.0以上版本） -CONSOLE口本地管理 -SSH远程管理
B、CONSOLE口本地管理方式
通过终端或仿真终端如Windows下的超级终端进行配置 参数为：波特率9600，8-N-1（还原默认配置即可）
C、Https 远程管理方式
黑盾防火墙出厂配置：
确定网络应用服务和防火墙配置参数
1）内网口和外网口做网桥 2）防火墙网桥的IP地址、子网掩码 : 172.26.50.254/24 3) 防火墙DMZ口的IP地址、子网掩码: 172.16.0.1/16 4）防火墙管理主机的IP地址: (内)172.26.50.253 5）对外不提供服务 6）企业安全策略 允许内网(172.26.50.0/24)访问外网，允许访问所有服务；
在IP包转换目标地址转换新建规则，如图：
根据需求新建其它的目标地址转换，如图：
7）配置防火墙安全规则
在访问控制IP过滤规则新建规则，如图：
根据安全策略需求新建其它规则，如图
8）保存配置
黑盾防火墙的安装实例二 （桥模式）
黑盾防火墙部置的 网络拓朴ቤተ መጻሕፍቲ ባይዱ
确定黑盾防火墙的工作模式
确定防火墙使用桥工作模式
安装配置黑盾防火墙系统
1）从DMZ口登录黑盾防火墙
2）配置黑盾防火墙各网口IP
在系统设置网口配置选择相应的网口添加IP，如图：
3）配置防火墙默认路由
在系统设置路由配置新建默认路由，如图：
选择相应出口，输入网关地址，如图：
4）新增管理主机
在系统设置管理主机管理主机手动创建，如图：
容：
1）与外网连接的网关或路由器地址 2）防火墙外网口的IP地址、子网掩码 3）防火墙内网口的IP地址、子网掩码 4）防火墙DMZ口的IP地址、子网掩码 5) 桥接口的组成和桥IP地址、子网掩码 6）防火墙管理主机的IP地址（一般放在内部网络） 7）对外开放的相关服务 8）企业安全策略，如： 是否允许内网访问外网，允许访问哪些服务； 是否允许从外网向内部网络进行WEB和FTP等服务； 内部用户访问外网是否进行流量控制、时间限制和内容限制； 这些参数确定之后（如需其它参数根据实际网络拓朴及需求来定），就可 以按照网络结构图安装配置黑盾防火墙系统了。