SonicWALL防火墻基本配置

SonicWall網(wǎng)絡(luò)向?qū)渲?...........................................................

SonicWall規(guī)則配置.................................................................

SonicWall一般規(guī)則配置........................................................

SonicWall服務(wù)器規(guī)則向?qū)渲?.................................................

SonicWall對(duì)象配置.................................................................

SonicWallVPN配置.................................................................

SonicWall網(wǎng)絡(luò)向?qū)渲?/p>

首次接觸SonicWALL防火墻設(shè)備，我們將電源接上，并開(kāi)啟電源開(kāi)關(guān)，將X0口和你

的電腦相連（注：請(qǐng)用交叉線）SonicWALL防火墻默認(rèn)的IP地址為68,我

們也可以通過(guò)setuptool.exe這個(gè)小工具探知SonicWALL防火墻的IP地址。如圖所示：

當(dāng)網(wǎng)線和電源等都連接好之后，我們?cè)O(shè)置一下本機(jī)的IP地址，以便和SonicWALL防火

墻處于同一個(gè)網(wǎng)段。如圖所示：

」-本地連接屬性|?|X-舊『

岫）工具d）高級(jí)?

常規(guī)高級(jí)

更索文件夾區(qū)▼

Internet協(xié)議(TCP/IP)屬性0?

LA8或高速Interne

如果網(wǎng)絡(luò)支持此功能，則可以獲取自動(dòng)指派的IP設(shè)置.否則，

本地連接您需要從網(wǎng)絡(luò)系統(tǒng)管理員處獲得適當(dāng)?shù)腎P設(shè)置?

己連接上，有

Intel?PRO

O自動(dòng)森得IP地址（Q）

。使用下面的IP地址⑤I：

IP地址9：192.168.168.12

子網(wǎng)俺螞&）：255.255.255.0

默X網(wǎng)關(guān)也）：192.168.168.168

設(shè)置好IP地址后，我們?cè)贗E閱讀器的地址欄輸入SonicWALL防火墻的IP地址，防火墻將

彈出網(wǎng)絡(luò)配置向?qū)Ы缑?/p>

點(diǎn)next,提示我們是否修改管理員密碼，依據(jù)須要我們將密碼設(shè)置為實(shí)際密碼,

|http://192.168.168.168-SonicVALI--Setuplizard-licrosoftInternetEx...|-

Step1:ChangePassword

YoumustchangetheadministraorpasswordforyourSonicWALL

PleaseselectastrongpasswordAstrongpasswordshouldbeacombinationof

numbersandlettersupto32characterslong

Thepassvzordyouselectwillbecase-sensitive.Itshouldnotbeawordthat

appearsinthedictionary,anditshouldnotcontainpersoralinformationsuch

asbirthdates,namesofrelatives,orlicenseplatenumbeis.Itshouldbe

somethingeasytoremember,butdifficulttoguess,suchms.111k3ch33sM.

Tocontirue,clickNext

?BackNext〉|Cancel

點(diǎn)next,提示我們修改防火墻的時(shí)區(qū)，我們選擇中國(guó)的時(shí)區(qū)。

點(diǎn)nexl,輸入相關(guān)的信息，1P地址、掩碼、網(wǎng)關(guān)、DNS服務(wù)器等，假如不知道此處該如何

設(shè)置，請(qǐng)和你的ISP聯(lián)系.

itep4:WANNetworkMode:NATEnabled

FillinthefollowingnetworksettingstogettotheInternet.

YouwillneedtofillinthefollowingfieldstoconnecttotheInternet

AJIthesevaluesmustbeenteredasnumericalIPaddresses(suchas2)

Ifyoudonothavetheinformation,pleasecontactyour[SP.

SonicWALLWANIPAddress:

WANSubnetMask:

Gatewav(Router)Address:

DNSServerAddress:

DNSServerAddress#2(optional):

Tocontinue,clickNext.

?BackNext*Cancel

點(diǎn)nexl,提示我們?cè)O(shè)置LAN口的IP和掩碼，我們依據(jù)自己的規(guī)劃和網(wǎng)絡(luò)的實(shí)際狀況設(shè)置,

此處我沒(méi)有修改。

：ep5:LANSettings

ReviewtheSonicWALL'sSNnewotksettings.

PleaseenterthenetworkinformationfortheSonicWALL'sLAN.

Youcan;hoosethisinformationarbitrarily,butit'sagoodideatouse

,private,addresses(suchas10.0.01or192.1681681)

Thedefaultvaluesbeloww川woricwellformostnetworks.

SonicWALLLftNIPAddress:68

SNSubnetMask:

Tocontirue,clickNext.

iCWALL^?BackNext*Cancel

點(diǎn)next,設(shè)置DHCPserver的相關(guān)配置，假如不開(kāi)啟，把勾取消即可。

Step6:LANDHCPSettings

YoucanenableandconfigureyourSonicWALL'sDHCPServerontheLAN.

IfyouwishtouseSonicWALL'sDHCPServerontheLAN,checkthe"EnableDHCP

ServeronLWcheckboxbelowandenterarangeofIPaddressestoassigntothe

networkdevices.

TheaddressrangemustbeinthesamesubnetastheConicWALLWeb

Managementaddress,currently68/

Therangebelowalreadyexists.Youmaychangeithereifyouwish.

QEnableDHCPServeronLAN

LANAddressRange:67

Tocontinue,clickNext.

<BackINext>Camel

點(diǎn)next,防火墻將把前面做的設(shè)置做一個(gè)摘要，以便我們?cè)僖淮未_認(rèn)是否設(shè)置正確，假如有

和實(shí)際不符的地方，可以點(diǎn)back返回進(jìn)行修改。依據(jù)我們前面的設(shè)置，防火墻開(kāi)啟了NAT

模式——即在LAN內(nèi)的PC訪問(wèn)WAN外的互連網(wǎng)時(shí)，將轉(zhuǎn)換其IP地址為WAN口地址。

Step/:SonicWALLContigiirationSummary

ReviewthedummaiyofyourSonicWALL'iconfiguration

WANlEerfdce-NATEnabled（StaticAssi（|ned）

IPAdcress:192.168.121.100

SubnetMask.255255.255.0

Gateway192.168121.1

DNS51139269

LANInterface-Enabled

IPAdcress:192.168.168168

SubnetMask

DHCFEnabled:192,168168.1-192168168.167

Toapprythesesettings,clickApply.

<BackAPPWCancel

點(diǎn)apply,設(shè)置生效。

Congratulations!

YouhavesuccessfullycompletedtheSonicWALLSetupWizard.

AdditionalandadvancedconfigurationoptionscanbefoundintheSonicWALL

WebManagementInterface.

Remember,fromnowonyouwilllogintotheWebManacementInterfaceat:

URL：?ittp(S)：//68

UserName:admin

Password:<setaspreviously

Next,youshouldclickhereorvisitSonicWALL'SWebSitetoregisteryourunit.

Thiswillbenecessarybeforeyoucantakeadvantageoffirmwareupdates

andotheroptionalfeatures.

Toclosethiswindow,clickClose.

Close

點(diǎn)close,回到登陸界面

輸入帳號(hào)密碼后，點(diǎn)login

假如登陸后沒(méi)有彈出網(wǎng)絡(luò)配置向?qū)В覀兛梢韵鹊卿涍M(jìn)去，然后點(diǎn)擊Wizards進(jìn)行配置。

System

=Status

?Licenses

■Administration

■Certificates

ABTime

■Schedules

■Settings

■Diagnostics

■Restart

Network

SoniePoint

Firewall

VoIP

VPN

Users

S可5嗎Serviews

Log

Wizards

Help

Logout

'爭(zhēng)https://222.73.41.7SonicWALLConfigurationWizardMicrosoftInternetExplorer-r

WelcometotheSonicWALLConfigurationWizard

SelectoneofthewizardsbelowtoeasilyconfigureyourSonicWALL:

OSetupWizard-ThiswizardwillhelpyouquicklyconfiguretheSonicWALL

tosecureyourInternetconnection.Oncecompleted,youcanusethe

SonicWALLWebManagementInterfaceforadditionalconfiguration.

?PorlShieldInterfaceWizardSegmentandconfigurethointegrated

25-portmanagedswitchofthePR01260.

?PublicServerWizard-QuicklyconfigureyourSonicWALLtoprovide

publicaccesstoaninternalserver.

?VPNWizard-Createanewsite-to-siteVPNPolicyorconfiguretheWANGroupVPM

toacceptconnectionsfromtheSonicWALLGlobalVPNClient

Tocontinue,clickNext.

Cancel

指Done目.Internet

點(diǎn)next后就可以按著.上面的方法接著做。

當(dāng)把配置做好以后，我們將防火墻的XI口接到ISP進(jìn)夾的網(wǎng)線上，將X0口接到內(nèi)網(wǎng)交換

機(jī)上。這時(shí)，我們可以找一個(gè)內(nèi)網(wǎng)的機(jī)器，測(cè)試是否可以訪問(wèn)外網(wǎng)：

SonicWall規(guī)則配置

SonicWall一般規(guī)則配置

這時(shí)，我們已經(jīng)可以訪問(wèn)外網(wǎng)了。此時(shí)的策略是默認(rèn)允許內(nèi)網(wǎng)的全部機(jī)器可以隨意的訪問(wèn)

外網(wǎng)，為了符合公司的平安策略，我們假如要相關(guān)的平安策略，限制一些訪問(wèn)的協(xié)議。通常

有兩種做法：?種是先限制全部的協(xié)議，在逐步開(kāi)放須要訪問(wèn)的協(xié)議：另?種是先開(kāi)放全部

的協(xié)議，在逐步禁止不能訪問(wèn)的協(xié)議。

我們以第一種為例，選擇firewall—>accessrules,選擇從LAN到WAN,

我們可以看到有一條默認(rèn)策略是允許LAN的機(jī)器可以隨意訪問(wèn)WAN外的隨意服務(wù),

我們先將此策略修改為禁止，點(diǎn)此規(guī)則的編輯圖標(biāo)，彈出如下界面,

在action出選擇deny,點(diǎn)OK,我們可以望見(jiàn)已經(jīng)禁止了全部的訪問(wèn):

AccessRules(LAN>WAN)Items'to1>of1)"

ViewStyle:OAHRules(*)MatrixODrop-downBoxes

這時(shí)，我們?cè)偬砑釉试S訪問(wèn)的服務(wù)等，可依據(jù)IP、協(xié)議、時(shí)間、用戶、帶寬等做限制。

我們簡(jiǎn)潔的做一個(gè)允許內(nèi)網(wǎng)中某一個(gè)IP2可以訪問(wèn)外網(wǎng)的服務(wù)為例，點(diǎn)

add,選擇服務(wù)為，選擇源網(wǎng)絡(luò)IP,假如例表中沒(méi)有，我們可以添加

選擇目的網(wǎng)絡(luò)為any,選擇時(shí)間等，也可以依據(jù)默認(rèn)設(shè)置，點(diǎn)OK

我們可以看到規(guī)則已經(jīng)生效，通過(guò)測(cè)試，發(fā)覺(jué)可以訪問(wèn)。

AccessRules(LAN>WAN)Items1to2(of2)00

ViewStyle:OAIIRulesGMatrixODrop-downBoxes

SonicWall服務(wù)器規(guī)則向?qū)渲?/p>

假如公司對(duì)外有服務(wù)器要開(kāi)放，我們可以點(diǎn)publicserverWizard,

OH

ViewStyle:OAHRules?MatrixODrop-downBoxes

點(diǎn)擊后，出現(xiàn)如下界面

點(diǎn)next,我們選杼相關(guān)的報(bào)務(wù)，以ftp服務(wù)為例，假如有別的相關(guān)的服務(wù)，我們選杼other,

自己進(jìn)行定義,

21:PublicServerType

Selectthetypeofpublicservertowhichyouwishtoallowpublicaccess.

Pleaseselectthetypeofservertowhichyouwishtoprovidepublicaccess.

Selectingoneofthepre-definedserverswildefaulttotheservicescommonly

associatedwiththatservertype.Youmayuncheckunwantedservices,butat

leastoneservicemustbeselected.

Ifaparticularserviceisnotlisted,youcanchoose?Other'andonthefollowing

stepsyouwillhavetheopportunitytocreatenewservicesor

defineaservicegroupthatencompassesallofyourneeds.

ServerType:WebServer▼

WebServer

Services:

FTPServer

MailServer

TerminalServicesServer

Other

Tocontinue,clickNext

<BackNext>Cancel

我們點(diǎn)next,我們輸入服務(wù)名和服務(wù)器的私有IP地址

Step2:ServerPrivateNetworkConfiguration

Entertheserver'sprivate(internal)addressinformation.

Pleaseenteranametoidentifythisserver,andtheserver'sprivate(internal)

IPaddress.ANetworkobjectrepresentingtheprivateserverwillbecreated,

asneeded,usingthenameandIPaddressinformationyouprovide,andwill

beassignedtotheappropriateZone.

IfyouenteranIPaddressthatmatchesanexistingNetworkObject,that

objectwillberenamedwiththeServerNameyouspecif/here.Youmay

alsoenteranoptionalcommenttohelpfurheridentilytheserver.

Ifyoudonotknowthisinformation,pleasecontacttheserver'sadministratoror

yournetworkadministratorbeforecontinuing

Tocontinue,clickNext.

'NKWALL^*BackNext>Cancel

點(diǎn)next,我們輸入服務(wù)器的公網(wǎng)地址，默認(rèn)是WAN口地址

>tep3:ServerPublicInformation

Entertheserver'spublicnetworkinformation.

Pleasespecifytheserver'spublic(external；IPaddress.Thedefaultvalueisthat

of^ourSonicWALL'sWANinterface,andshouldonlybechangedifthisserver

willbeaccessedovertheInternetbyadifferentaddress.

Specifyingadifferentaddresswillresultin:hecreationofpublicserver

NetworkObjectthatwillbeboundtotheWANZone

Ifyouareuncertainofthisaddress,youareencouragedtoleaveitatthedefault.

ServerPublicIPAddress:00

Tocontinue,clickNext.

<BackNext*Cancel

點(diǎn)next,出現(xiàn)前面配置的摘要，假如配置沒(méi)有問(wèn)題，我們可以點(diǎn)apply

Step4:PublicServerConfigurationSummary

Reviewthesettingsforyourpublicserver

Pleasereviewthesettingsbelowandclick"Appl/'tocreatethenewobjectslistedbelow.

ServerAddressObjects

1.CreateftpPrivate'assignedtoLANZoneforHost3.

2.ReuseWANPrimaryIP'addressobjectassignedtoWANZonefor00.

SetverServiceGroupObject

1.CreateftpServices'withFTPService.

SeiverNATPolicies

1.CreateInboundServerNATPolicytorewritepacketstooriginaldestinationWANPriman

IP'totranslateddestinationYtpPrivate'.

2.CreateOutboundServerNATPolicytorewritepacketsfromftpPrivate'totranslated

sourceWANPrimaryIP'.

3.CreateLoopbackNATPolicytoallowaccessfromallinternalzonestotheserverat

publicIPaddress192,168.121100.

SenrerAccessRules

1WAN>LAN-Allow'Any'toWANPrimarylP'forServiceGroupftpServices'.

SimilarruleswillbecreatedfromalllowersecurityzonestotheLANzone.

Toapplythesesettings,clickApply.Tocontinue,clickNext.

<BackApply>Cancel

點(diǎn)apply后,規(guī)則生效。

SonicWall對(duì)象配置

增加版防火墻由于增加了對(duì)象的概念，在防火墻規(guī)則中，通常，我們須要引用這些對(duì)象,

詳細(xì)有：地址對(duì)象、時(shí)間對(duì)象、服務(wù)對(duì)象、用戶對(duì)象等四大對(duì)象。這些定義的對(duì)象還可以進(jìn)

一步定義成組，并且，組還可以包括組，從而構(gòu)成豐南的規(guī)則限制。防火墻默認(rèn)已經(jīng)定義了

很多有用的對(duì)象，但不肯定滿意我們的真實(shí)網(wǎng)絡(luò)環(huán)境，須要依據(jù)實(shí)際須要自己定義。

我們首先介紹地址對(duì)象：

當(dāng)我們登陸防火墻后，點(diǎn)networks,選擇addressobjects,可以望見(jiàn)已經(jīng)定義了很多有用

的地址對(duì)象和組。我們可以自己定義不同的地址對(duì)象，洛界面拖至底部，點(diǎn)add,

在name處給我們定義的對(duì)象取個(gè)名字，以便能見(jiàn)名知意，在zoneassignment處，選擇相

應(yīng)的平安區(qū)域，如LAN、WAN、DMZ等，在type出，可選擇host、range、network、MAC

等多種類型，在地址處，輸入相關(guān)的地址或者掩碼。

AddressObjects

1LANPrimaryIP

2

3WANPrimaryIP

WAN

5X2IP

6X2Subnet

7X3IP

8X3Subnet

9DefaultGateway

10

11

12WANRemoteAccessNetworkso.o.o.oro.o.o.o

□1399-9

?I?

Add...ueleie

當(dāng)我們想把多個(gè)網(wǎng)絡(luò)地址組合在一起時(shí)，我們可以定義地址組，選擇addgroup,在name

處取一個(gè)名字，并將我們須要的地址對(duì)象從左邊移到右邊框即可。

當(dāng)我們定義好地址對(duì)象和地址組后，我們就可以在規(guī)則里面引用這些地址對(duì)象。

下面我們介紹服務(wù)對(duì)象：

選擇firewall,選則services，將界面拖至底部，點(diǎn)add，

38ISAKMPUDP500__________

)

39Kazaa/Fasri5http://192.168.121.100-Add1ServicRJ叵區(qū)

40KarharnsTCName:

41KerberosUDProtocol:-SelectIPType--v

-SelectPType-

42LDAPPortRange:

ICMP(1)■

]43LPR(UnixPrSubType:IGMP(2)

TCP⑹

44LeaveGroupUDP(17)

ReadyGRE(47)

]45LotusNotesESP(50)

AH(51)

Cancel

46MGCPTCPEIGRP(88)

OSPF(89)

]47MGCPUDPPIMSM(103)

L2Tp(115)

電完畢

48MMSTCPIPInternet

49MMSUDPUDP1755

50MSSQLTCP1433

Add...Delete

在彈出的界面中，我們可以給定義的服務(wù)取一個(gè)名字，在protocol中選擇協(xié)議類型，如

TCP、UDP等,在portrange處，我們填寫(xiě)相關(guān)的端口。

38ISAKMPUDP500

□39Kazaa/Fasti

40KerberosTC

□KerberosUD

42LDAP

43LPR(UnixPr

44LeaveGroup

45LotusNotes

46MGCPTCP

47MGCPUDP

48MMSTCP

S22Syslog

024nmbuktu

E26VNC

S27VOIP

S28WinMX

S29YahooMess

AddGroup...

Services

Name

1BearShare

完畢Internet

在name處取一個(gè)名字，將左邊我們須要的服務(wù)移到右邊框即可。

卜面介紹時(shí)間對(duì)象，選擇system,點(diǎn)schedules,我們可以看到已經(jīng)預(yù)定義了一些時(shí)間對(duì)象,

我們也可以自己定義，點(diǎn)add

同樣取一個(gè)名字，在days處，可以選擇相關(guān)的星期，在起先時(shí)間處輸入起先時(shí)間，在s停

止是就處輸入停止時(shí)間，點(diǎn)add就可以在schedulelist處生成一條時(shí)間對(duì)象，可以這樣生成

多條時(shí)間對(duì)象。

ScheduleName:worktime

Day(s):□Sun3Mon[ZlTueE]Wed

0ThursZlFri□Sat□/Ml

StartTime:.13|:口。(24HourFormat)

StopTime:豆：|oo(24HourFormat)

JAdd

ScheduleList:M-T-U-TH-F09:00to12:OO

M-T-U-TH-F13：OOto18:OO

DeleteDeleteAll

Ready

OKCancel

點(diǎn)OK后，時(shí)間對(duì)象生效，并可被規(guī)則引用。

卜面介紹用戶對(duì)象，選擇user

點(diǎn)localuser,我們可以添加用戶，點(diǎn)adduser,

輸入用戶名和密碼，即升，當(dāng)然，我們也可以修改其所屬的用戶組等。一

選擇localgroup后，點(diǎn)addgroup,可添加用戶組，在members處可選擇組的用戶。

這些對(duì)象通常都是我們?cè)谝?guī)則里面須要引用的對(duì)象，須要提前做好規(guī)劃和配置。

SonicWallVPN配置

舉例如下：

總部：NSA3500

內(nèi)網(wǎng)地址：

外網(wǎng)地址：

產(chǎn)品ID號(hào)UniqueFirewallIdentifier：0006B138F17C

分布：TZ150

內(nèi)網(wǎng)地址：

外網(wǎng)地址:ADSL

產(chǎn):品ID4-UniqueFirewallIdentifier：0006B345F19A

共享密鑰：123456

產(chǎn)品ID號(hào):

50川加4COMPRI><lNSIV1：INTIKNITSK'VRITY-

System

NetworkVPN>Settings

SonicPoint

FirewallVPNGlobalSettings

VoIP

日

VPNEnableVPN

JniqueFirewallIdentifier:0006B138F17C^

6Settings

■Advanced

■DHCPoverVPNVPNPolicies

?L2TPServer

網(wǎng)絡(luò)拓?fù)淙缦?

NSA3500VPN配置

1.添加TZ150內(nèi)網(wǎng)IP地址:

SystemA

□14ftpPrtvate6/255255.255255HostLAN

Network

□15電Public22273418T255255255255HostWAN矽@

■Inttrfaett

□8080PrMtt19216820026r2552552552WHostL*N

,g?lchPori)16

*Failover&L8□178080Public222.73418f255255255255HostWAN

■Zones

□188086PmateHostLAN

■DNS

trMde”O(jiān)bjteU□198086PublicHO$tWAN

|(endianIP

?RouftngName

□20smtpPrhateHOStLAN

■HATPolkittZoneAssignment.VPNM.

■ARPU21sm(pPublicHostWAN

眠M(jìn)ork1|

■DHCPStrvtrTYH

□228066PrhateHOStIAN源?

■IPX制p”NeMK)rk192168166|0

SoniePoht□238066PublicHOStWAN卡貌

Ntlmask2S52562550

Frewall

24VDnOHCPClient?NetworkVPN

VoJP

VPN—□251921681680R*xWNetivorkVPN

1rn

Users□26xiaochua^gOK||Cane劇NehvorkVPN

SecurityServices

n27tco65100Pnvat8HostLAN上泉

⑥

Log1□Done.■[rteenet

28group