.配置全新的天融信防火墙NGFW4000_可以和10.10.2.0/24，配置完后，网用户10.10.1.0/24配置一台全新的天融信防火墙NGFW4000服务器通过防火墙上网，外网用户可以通过访问防火墙的外网接口地址来访问网的WEB服务器的外网地址进行访问。WEB10.10.1.200，并且网用户也可以通过网络说明：218.90.123.121/30防火墙外网接口地址：192.168.0.253/30防火墙网接口地址：192.168.0.254/30：核心交换机防火墙VLAN10.10.1.0/24VLAN的：核心交换机用户群A10.10.2.0/24VLAN：核心交换机用户群B的10.10.1.254的默认网关：用户群A10.10.2.254的默认网关：用户群B218.90.123.122/30防火墙至出口的默认网关：192.168.0.253核心交换机至防火墙的默认网关：10.10.1.200/32服务器地址：（通过防火墙映射成公网地址）WEB网简单拓扑图如下：..INTERNET从上图中可以看出，防火墙位于核心交换机至这里着重介绍的是出口防火墙的配置，出口的中间。我们首先需通过某种方式对防火墙进行管理配置。、连接防火墙1描述了防火墙的出厂预设置：首先查看防火墙的出厂随机光盘，里面其中有个防火墙安装手册，管理用户12345678talent或管理员密码管理员用户名superman系统参数TopsecOS设备名称5同一管理员最多允许登录失败次数5最大并发管理数目5最大并发管理地点..5同一用户最大登录地点分钟空闲超时3物理接口192.168.1.254/24：IPEth0（或LAN口）Shutdown其他接口服务访问控制口）上的服务请求（或LANWEBUI管理（通过浏览器管理防火墙）：允许来自Eth0LAN口）上的服务请求管理中心）：允许来自管理（通过TOPSECEth0（或GUILAN口）上的服务请求SSH远程登录管理）：允许来自Eth0（或SSH（通过LAN口）上的服务请求升级（对网络卫士防火墙进行升级）：允许来自Eth0（或（或Eth0地址）：允许来自地址或PING到网络卫士防火墙的接口IPVLAN虚接口的IPPING（口）上的服务请求LAN禁止其他服务地址对象any地址段名称255.255.255.255–0.0.0.0地址段围区域对象area_eth0区域对象名称eth0绑定属性允许权限日志192.168.1.253：IP地址日志服务器IP514端口日志服务器开放的日志服务端口UDP的关闭）高可用性（HA接口，我们将一台电脑直接与ETHO192.168.1.254从中可以看出，管理口为ETH0口，地址为WEB就进入了，然后在浏览器上访问192.168.1相连，然后配置一个段的地址，管理界面（如出现安装证书问题，直接点继续浏览此），如下。..、配置防火墙接口2将ETH1配置成外网接口，ETH2配置成网接口，依次选择左边菜单的“网络管理”->“接口”，在ETH1接口一行点击最后的蓝色图标，如下图，进入ETH1接口配置模式。然后输入外网地址，接口模式为“路由”，最后点“确定”，如下图。..同理，将ETH2接口地址设置成网地址：、路由配置3这里有两种路由要写，一是至外网出口的默认路由，下一跳为218.90.123.122，还有一种是至网核心交换机的回程路由，共有两条，下一跳都是指向192.168.0.254。依次选择左边菜单的“网络管理”->“路由”，然后点击“添加”，添加一条至外网的默认路由，如下。..再依次添加两条回程路由：这样，出去的路由有了，回去的路由也有了。、访问控制4..默认防火墙是阻止所有经过的包，所以需对访问控制项进行设置。按扭，如下图就出现了添加窗口，在源”，点击”“添加点击菜单的“防火墙”->“访问控制默认，直接点击确选项”“，“服务”不选（包含所有服务），围窗口和目的窗口均选择“ANY[]”定。这样，就允许所有的数据经过防火墙了。当然，可以通过详细的设置来控制不同网段的电脑，这里就不在叙述了。）5、配置地址转换（NAT，点击添加，区域->资源管理选择菜单的”“首先新建区域，“”“”将、外网的区域新建好。..下来配置源地址转换，选择“防火墙”->“地址转换”，点击添加，选择“源地址”转换，在源选项上，将“高级”的钩打上，然后将“n