6、修改缺省管理员帐号的密码，单击“确 定”，进入Web界面。
透明墙配置
防火墙连接
透明墙配置
透明墙配置
1、现网状态判定 2、防火墙连接 3、参数确认 4、地址配置 5、服务配置 6、安全策略配置
透明墙配置
参数确认
透明墙配置
参数确认
项目 说明与示例 参数示例： 接口号：GigabitEthernet 1/0/1 接口类型：trunk 允许通过的VLAN：1、100 安全区域：Untrust 安全I区地址：10.0.0.0/24 安全I区服务端口：TCP 8888 参数示例： 接口号：GigabitEthernet 1/0/2 接口类型：trunk 允许通过的VLAN：1、100 安全区域：Trust 安全I区地址：10.0.0.0/24 安全I区服务端口：UDP 6666
透明墙配置
防火墙连接
登录设备Web界面对管理员PC浏览器的要 求如下： Internet Explorer浏览器：6.0～9.0版本 Firefox浏览器（推荐）：10.0及以上版本 Chrome浏览器：17.0及以上版本 1、将管理员PC网口与设备的MGMT接口 （GigabitEthernet 0/0/0）通过网线或者 二层交换机相连。 2、将管理员PC的网络连接的IP地址设置为 在192.168.0.2～192.168.0.254范围内的 IP地址。
防火墙的区域
防火墙的访问规则和策略（如ACL）不是应用在端口上，而是 在区域间之间，通过区域的优先级值来表示inbound或 outbound的方向。 安全级别高的区域向级别低的区域访问是出站方向 {inbound} 安全级别低的区域向级别高的区域访问是入站方向 {outbound} 防火墙的同一安全区域内的端口之间访问不需要安全策略检 查，不同安全区域的端口之间进行访问，需要有安全策略的检 查和控制管理
安全I区
安全II区
透明墙配置
透明墙配置
1、现网状态判定 2、防火墙连接 3、参数确认 4、地址配置 5、服务配置 6、安全策略配置
透明墙配置
地址配置
1、通过二层以太网接口实现设备间互联之前，请先确定待使用的 接口。然后将接口切换为二层以太网接口，将接口加入VLAN A、选择“网络 > 接口”。 B、单击待配置的接口所在行的 C、根据已经确认的参数配置以太网接口的参数。
透明墙配置
地址配置
1、配置名称为安全I区的地址集，将几个不允许访问服务器的IP地 址加入地址集。 A、选择“对象 > 地址 > 地址”。 B、单击“新建”配置地址集，然后单击“确定”。
透明墙配置
地址配置
1、配置名称为安全I区的地址集，将几个不允许访问服务器的IP地 址加入地址集。 A、选择“对象 > 地址 > 地址”。 B、单击“新建”配置地址集，然后单击“确定”。 2、配置名称为安全I I区的地址集，将几个不允许访问服务器的IP 地址加入地址集。 A、选择“对象 > 地址 > 地址”。 B、单击“新建”配置地址集，然后单击“确定”。
• 使用签名和特征，而不是端口号和协议来对应用进行定义，以识别报文 的真实属性和所携带的不安全因素。 • 集成SA（Service Awareness，业务感知）功能，并且使用专业的硬件 系统来检测报文的真实应用和内容。 • 集成IPS功能，性能更高，威胁的识别和阻断结合得更加紧密。 • 丰富而完善的可视化管理、审计、报表功能，使得网络管理员可以掌握 全面真实的网络状况，以帮助管理员更好地做出防护措施。
路由墙配置（作为出口）
服务配置
配置DHCP服务器。 选择“网络 > DHCP服务器 > 服务”。 单击“新建”，按如下参数配置
单击“确定”。
路由墙配置（作为出口）
安全策略配置
配置安全策略，允许内部网络中的PC访问Internet。 选择“策略 > 安全策略”。 单击“新建”，按如右参数配置。 单击“确定”。
透明墙配置
透明墙配置
1、现网状态判定 2、防火墙连接 3、参数确认 4、地址配置 5、服务配置 6、安全策略配置
透明墙配置
透明墙配置
1、现网状态判定 2、防火墙连接 3、参数确认 4、地址配置 5、服务配置 6、安全策略配置
透明墙配置
现网状态判定
组网：透明墙，两区域隔离
透明墙配置
透明墙配置
1、现网状态判定 2、防火墙连接 3、参数确认 4、地址配置 5、服务配置 6、安全策略配置
网络定位
网络定位
防火墙外观结构
百兆防火墙USG6507
对应原防火墙USG2205
防火墙外观结构
千兆防火墙USG6550
对应原防火墙USG5150
防火墙外观结构
防火墙USG6507前面板局部图
防火墙的区域
防火墙区域： Local区域 Trust区域 Untrust区域 DMZ区域 安全区域的优先级（安全级别）： 优先级值越大安全级别越高，不同区域的安全级别值不 能相同。
处只给出了完成本举例 所需的安全策略的基本 参数，具体使用时，请 根据实际情况设置安全 策略中的其他参数。
谢谢！
透明墙配置
安全策略配置
1、配置安全策略，引用之前配置的地址集及服务集。 A、选择“策略 > 安全策略 > 安全策略”。 B、单击“新建”，配置安全I区到安全II区的策略 C、单击“新建”，配置安全II区到安全I区的策略
透明墙配置
结果验证
1、安全I区到安全II区的服务内的数据能访问 2、安全I区到安全II区的服务外的数据不能能访问 3、非安全I区、安全II区的地址访问全部受阻
防火墙的工作模式
1、路由模式 相当于路由器的位置个功能，放在网络中是以三层设备 的角色，接口都必须配置IP地址。 2、透明模式 在原有的网段中放置防火墙进行过滤工作，但是不改变 原有的网段配置，防火墙仅作为一个二层设备连接，相当于一 个二层交换机，接口不能配置IP地址。 3、混合模式 有两个防火墙，主要为了实现备份和冗余，一个是路由 模式，一个是透明模式，不推荐。
透明墙配置
防火墙连接
3、在管理员PC中打开网络浏览器，访问需 要登录设备的GigabitEthernet 0/0/0，缺 省IP地址https://192.168.0.1:8443 4、在登录界面中输入缺省的系统管理员的 用户名“admin”和密码“Admin@123”， 单击“登录”。
5、将管理员PC的网络连接的IP地址设置为 在192.168.0.2～192.168.0.254范围内的 IP地址。
透明墙配置
透明墙配置
1、现网状态判定 2、防火墙连接 3、参数确认 4、地址配置 5、服务配置 6、安全策略配置
透明墙配置
安全策略配置
1、配置安全策略，引用之前配置的地址集及服务集。 A、选择“策略 > 安全策略 > 安全策略”。 B、单击“新建”，配置安全I区到安全II区的策略
透明墙配置
安全策略配置
1、配置安全策略，引用之前配置的地址集及服务集。 A、选择“策略 > 安全策略 > 安全策略”。 B、单击“新建”，配置安全I区到安全II区的策略
透明墙配置
安全策略配置
1、配置安全策略，引用之前配置的地址集及服务集。 A、选择“策略 > 安全策略 > 安全策略”。 B、单击“新建”，配置安全I区到安全II区的策略 C、单击“新建”，配置安全II区到安全I区的策略
透明墙配置
透明墙配置
1、现网状态判定 2、防火墙连接 3、参数确认 4、地址配置 5、服务配置 6、安全策略配置
透明墙配置
服务配置
1、分别为Server1和Server2配置自定义服务集server1_port和 server2_port，将服务器的非知名端口加入服务集。 A、选择“对象 > 服务 > 服务”。 B、单击“新建”，输入服务名称并添加成员。
透明墙配置
地址配置
1、通过二层以太网接口实现设备间互联之前，请先确定待使用的 接口。然后将接口切换为二层以太网接口，将接口加入VLAN A、选择“网络 > 接口”。 B、单击待配置的接口所在行的 C、配置以太网接口的参数。
透明墙配置
地址配置
2、配置名称为安全I区的地址集，将几个不允许访问服务器的IP地 址加入地址集。 A、选择“对象 > 地址 > 地址”。 B、单击“新建”配置地址集，然后单击“确定”。
ver1和Server2配置自定义服务集server1_port和 server2_port，将服务器的非知名端口加入服务集。 A、选择“对象 > 服务 > 服务”。 B、单击“新建”，输入服务名称并添加成员。
透明墙配置
服务配置
1、分别为Server1和Server2配置自定义服务集server1_port和 server2_port，将服务器的非知名端口加入服务集。 A、选择“对象 > 服务 > 服务”。 B、单击“新建”，输入服务名称并添加成员。
路由墙配置（作为出口）
组网需求
电站在网络边界处部署了NGFW作为安全网关，并从运营商处购买了宽带上网服务， 实现内部网络接入Internet的需求。 具体需求如下： 内部网络中的PC使用私网网段10.3.0.0/24实现互通，要求由NGFW为PC分配私 网地址、DNS服务器地址等网络参数，减少管理员手工配置的劳动量。 内部网络中的PC可以访问Internet。
路由墙配置（作为出口）
参数确认
项目 数据 说明
地址
默认网关 DNS服务器地址
1.1.1.1/24
1.1.1.254 9.9.9.9
运营商分配给企业的公网地址。
运营商提供的默认网关。 运营商提供的DNS服务器地址。
路由墙配置（作为出口）