联想网御防火墙PowerVWeb界面操作手册_4网络配置.pdf

网御防火墙 PowerV Web 界面操作手册 第4章 网络配置 本章主要介绍防火墙的网络配置，由以下部分组成：网络设备，域名服务器，静态路由， 策略路由，UPnP 服务器，DHCP 服务器和HA （高可靠性）。 4.1 网络设备 联想网御防火墙PowerV 可配置的网络设备有：物理设备，VLAN 设备，桥接设备，VPN 设备，别名设备，冗余设备和拨号设备。下面对各类设备的特点做一简要说明。 物理设备：防火墙中实际存在的网口设备，不能删除，也不能添加。增减网络接口硬件 模块会自动在网络配置中显示出来，不需要手动操作。其中第一个物理设备是默认的管理设 备，它的默认IP 地址是 10.1.5.254，这个地址允许管理，PING 和TRACEROUTE 。物理设 备是其他设备的基础，如果增减网络接口硬件模块，与这个设备相关的其它设备都会受到影 响，这一点需要特别注意。 VLAN 设备：是一种在物理设备基础上创建的设备。与交换机的TRUNK 口相联的防火 墙物理设备上可以创建VLAN 设备，以实现不同VLAN 之间的互联。它可以工作在路由模 式下，也可以工作在透明模式下。同一个物理设备上可以创建VLAN ID 为0 至4095 的VLAN 设备。同一物理设备上创建的不同VLAN 设备，VLAN ID 必须不同，用于接收和发送带有 相应VLAN ID 的数据包。不同物理设备上创建的VLAN 设备的VLAN ID 可以相同。 桥接设备：是将多个物理设备和 VLAN 设备置于透明模式，并且进行分组的设备。启 用此设备的防火墙相当于一个二层交换机，但它同时可以过滤三层的内容。防火墙可以创建 多个桥接设备，桥接设备绑定的物理设备或VLAN 设备必须是启用并且工作在透明模式的 设备。这些桥接设备可以和工作在路由模式下的物理设备和VLAN 设备共存。 VPN 设备：是启用VPN 功能必须要启用的设备。整个防火墙系统中只能有一个VPN 设备，但是VPN 设备的绑定设备可以选择。系统通过绑定的设备来发送和接收加密后的数 据包。VPN 设备也可以启用带宽管理功能，但这要求其绑定的设备没有启用带宽管理。VPN 设备的IP 地址、掩码与它的绑定设备的IP 地址、掩码一致。 别名设备：用于给物理设备配置多个IP 地址。每个物理设备可以关联的别名设备是16 个，这类似于资源定义中地址池的功能，但是在地址池中配置的IP 不能选择“用于管理”， “允许PING ”，“允许TRACEROUTE ”等属性。同时要注意的是设备的IP 地址不能重复。 冗余设备：是将两个物理设备用做一个虚拟的设备，这两个物理设备同一时间只有 一 个处于启用状态，如果处于启用状态的设备失效，则另一个设备启用。冗余设备可以工作在 全冗余和半冗余两种模式下。在全冗余模式下，加入冗余设备的两个物理设备的IP 地址， 掩码，MAC 地址（如果冗余设备设置了MAC 地址）都将使用冗余设备的IP 地址，掩码和 MAC 地址。在半冗余模式下，加入冗余设备的两个物理设备使用它们各自的参数。冗余设 备默认工作在半冗余模式下。 拨号设备：用于启用 ADSL 拨号功能所必须要启用的设备。系统中只能有一个拨号设 备，但是拨号设备绑定的物理设备可以选择。系统通过绑定的设备来发送和接收PPoE 的数 据包。拨号设备也可以启用带宽管理功能，但这要求其绑定的设备没有启用带宽管理。拨号 设备的IP 地址、掩码每次ADSL 拨号成功后，自动获得。 配置防火墙的过程中，必须首先配置网络设备，再配置防火墙安全策略。如果网络设备 联想集团有限公司 4-1 网御防火墙 PowerV Web 界面操作手册 的配置发生了改变，建议对相关的安全策略也进行调整。 4.1.1 物理设备 物理设备初始情况下工作在路由模式，也就是说该设备上绑定有IP 地址，可以与其它 设备进行数据包的路由转发。其中第一个物理设备（fe1 或某些型号是 ge1 ）是默认的可管 理设备。它的默认IP 地址是10.1.5.254，子网掩码为255.255.255.0，这