配置思路
1、网络配置,配置公网端口IP配置,内网端口IP配置
2、路由配置,配置下一跳是公网网关的默认路由
3、安全策略配置,配置安全策略
4、NAT配置,配置上网NAT转换
一、网络配置
1.1公网端口配置
在网络-接口-连接外网的端口,点击修改
外网端口设置如下:
安全区域:untrust
选择静态IP,IP地址、掩码、默认网关根据运营商提供的公网IP填写
首选DNS服务器、备用DNS服务器设置114.114.114.114 8.8.8.8
启用访问管理可以根据需求可以启用ping,其他的不建议启用。
1.2内网端口配置
根据内网IP规划配置内网端口IP
笔者用的是172.XX.248.12/30位的子网,防火墙配置路由模式,配置ip:172.xx.248.14,交换机端口配置路由模式,配置ip:172.xx.248.13与内网通信
设置如下:
安全区域:trust
模式路由
IP地址填写规划ip地址
网关不填写
访问管理开启https管理
二、路由配置
在网络-路由-静态路由,新建路由表,设置如下:
目的地址:0.0.0.0/0.0.0.0
出接口:外网接口
下一跳:公网IP的网关
优先级:单链路出口 默认60即可。
三、安全策略配置
在策略-安全策略-新建,新建互联网上网安全策略,设置如下:
源安全域:trust
目的安全域:untrust
动作:允许
勾选记录策略命中日志
四、NAT策略配置
在策略-NAT策略-源NAT新建NAT策略,设置如下:
NAT类型:NAT
源安全域:trust
目的类型:出接口,接口选择外网接口
转换方式:出接口地址
至此,内网ip通过防火墙即可访问互联网。
本文章仅介绍了防火墙端配置,内网交换机上还需要配置vlan、dhcp、路由等这里不赘述。
如果笔者的文章帮助到你,请收藏点赞,以免后续忘记找不到。