明御安全网关快速配置手册

2023年12月6日发(作者：)

目录

防火墙配置一：SNAT配置 .......................................................................................................................... 3

防火墙配置二：DNAT配置 .......................................................................................................................... 5

防火墙配置三：透明模式配置 ................................................................................................................. 10

防火墙配置四：混合模式配置 ................................................................................................................. 13

防火墙配置五：DHCP配置 ........................................................................................................................ 16

防火墙配置六：DNS代理配置 .................................................................................................................. 17

防火墙配置七：DDNS配置 ........................................................................................................................ 19

防火墙配置八：负载均衡配置 ................................................................................................................. 21

防火墙配置九：源路由配置 ..................................................................................................................... 23

防火墙配置十：双机热备配置 ................................................................................................................. 24

防火墙配置十一：IP-QoS配置 ................................................................................................................ 27

防火墙配置十二：应用QoS配置 ............................................................................................................. 30

防火墙配置十三：Web认证配置 .............................................................................................................. 33

防火墙配置十四：会话控制配置 ............................................................................................................. 39

防火墙配置十五：IP-MAC绑定配置 ........................................................................................................ 40

防火墙配置十六：禁用IM配置 ............................................................................................................... 42

防火墙配置十七：URL过滤配置 .............................................................................................................. 44

防火墙配置十八：网页内容过滤配置 ..................................................................................................... 48

防火墙配置十九：基于路由静态IPSEC配置 ......................................................................................... 50

防火墙配置二十：基于路由动态IPSEC配置 ......................................................................................... 55

防火墙配置二十一：基于策略静态IPSEC配置 ..................................................................................... 64

防火墙配置二十二：SSLVPN配置 ............................................................................................................ 72

防火墙配置二十三：防病毒配置 ............................................................................................................. 77

防火墙配置二十四：IPS配置 .................................................................................................................. 81

防火墙配置二十五：日志服务器配置 ..................................................................................................... 84

防火墙配置二十六：邮件形式输出日志信息 ......................................................................................... 86

防火墙配置二十七：记录上网URL日志配置 ......................................................................................... 88 防火墙配置二十八：Web外发信息控制 .................................................................................................. 89

防火墙配置二十九：配置管理及恢复出厂 ............................................................................................. 92

防火墙配置一：SNAT配置

一、网络拓扑

二、需求描述

配置防火墙使内网192.168.1.0/24网段可以访问internet

三、配置步骤

第一步：配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置，通过Webui登录防火墙界面如下：

输入缺省用户名admin，密码adminadmin后点击登录，配置外网接口地址 内口网地址使用缺省192.168.1.1

第二步：添加路由

添加到外网的缺省路由，在目的路由中新建路由条目并添加下一条地址

第三步：添加SNAT策略在网络/NAT/源NAT中添加源NAT策略

第四步：添加安全策略在安全/策略中，选择好源安全域和目的安全域后，新建策略 防火墙配置二：DNAT配置

一、网络拓扑

192.168.10.2/24

二、需求描述

1、使用外网口IP为内网FTPServer及WEBServerA做端口映射，并允许外网用户访问该Server的FTP和WEB服务，其中Web服务对外映射的端口为TCP8000。

2、允许内网用户通过域名访问WEBServerA(即通过合法IP访问）。

3、使用合法IP218.240.143.220为WebServerB做IP映射，允许内外网用户对该Server的Web访问。

三、配置步骤

要求一：外网口IP为内网FTPServer及WEBServerA做端口映射并允许外网用户访问该Server的FTP和WEB服务，其中Web服务对外映射的端口为TCP8000。

第一步：配置准备工作 1、设置对象用户/地址簿，在地址簿中设置服务器地址

2、设置服务簿，防火墙出厂自带一些预定义服务，如果我们需要的服务在预定义中不包含时，需要在对象用户/服务簿中手工定义

第二步：创建目的NAT

配置目的NAT,为trust区域server映射FTP(TCP21)和HTTP(TCP80)端口

第三步：放行安全策略

创建安全策略，允许untrust区域用户访问trust区域server的FTP和web应用关于服务项中我们这里放行的是ftp服务和tcp-8000服务

要求二：允许内网用户通过域名访问WEBServerA(即通过合法IP访问）。实现这一步所需要做的就是在之前的配置基础上，增加Trust->Trust的安全策略。 要求三：使用合法IP218.240.143.220为WebServerB做IP映射，允许内外网用户对该Server的Web访问。

第四步：配置准备工作

1、将服务器的实际地址使用web_serverB来表示

2、将服务器的公网地址使用IP_218.240.143.220来表示

第五步：配置目的NAT

创建静态NAT条目，在新建处选择IP映射

第六步：放行安全策略

1、放行untrust区域到dmz区域的安全策略，使外网可以访问dmz区域服务器

2、放行trust区域到dmz区域的安全策略，使内网机器可以公网地址访问dmz区域内的服务器 防火墙配置三：透明模式配置

一、网络拓扑

二、需求描述

1、防火墙eth6接口和eth7接口配置为透明模式

2、eth6与eth7同属一个虚拟桥接组，eth6属于l2-trust安全域，eth7属于l2-untrust安全域。

3、为虚拟桥接组Vswitch1配置ip地址以便管理防火墙

4、允许网段Aping网段B及访问网段B的WEB服务

三、配置步骤

第一步：接口配置

将eth6接口加入二层安全域l2-trust



DAS-GATEWAY(config)#interfaceethernet0/6



DAS-GATEWAY(config-if-eth0/6)#zonel2-trust

将eth7接口设置成二层安全域l2-untrust 物理接口配置为二层安全域时无法配置IP地址第二步：配置虚拟交换机（Vswitch）

如果没有单独接口做管理的话，可以先使用控制线通过控制口登陆下防火墙在命令下



DAS-GATEWAY(config)#interfacevswitchif1



DAS-GATEWAY(config-if-vsw1)#zonetrust



DAS-GATEWAY(config-if-vsw1)#ipaddress192.168.1.254/24



DAS-GATEWAY(config-if-vsw1)#manageping



DAS-GATEWAY(config-if-vsw1)#managehttps

当然也可以在防火墙上单独使用一个接口做管理，通过该接口登陆到防火墙在Web下进

行配置

第三步：添加对象

定义地址对象

定义网段A(192.168.1.1–192.168.1.100)

定义网段B(192.168.1.101–192.168.1.200)

要求允许网段Aping网段B及访问网段B的WEB服务，在这里我们将ping和http服务建立一个服务组

第四步：配置安全策略在“安全”->“策略”中选择好“源安全域”和“目的安全域”后，新建 防火墙配置四：混合模式配置

一、网络拓扑

二、需求描述

1、将eth0口设置成路由接口，eth6和eth7口设置成二层接口。并设置Vswitch接口；

2、设置源NAT策略；

3、配置安全策略

三、配置步骤

第一步：设置接口

1、设置内网口地址，设置eth0口为内网口地址为192.168.1.1/24 2、设置外网口，eth6口连接外网，将eth6口设置成二层安全域l2-untrust

3、设置服务器接口，将eth7口设置成l2-dmz安全域，连接服务器。

第二步：配置Vswitch接口

由于二层安全域接口不能设置地址，需要将地址设置在网桥接口上，该网桥接口即为Vswitch

第三步：设置SNAT策略针对内网所有地址我们在防火墙上设置源NAT，内网PC在访问外网时，数据包凡是从Vswitch接口出去的数据包都做地址转换，转换地址为Vswitch接口地址

第四步：添加路由要创建一条到外网的缺省路由，如果内网有三层交换机的话还需要创建到内网的回指路由。

第五步：设置地址簿在放行安全策略时，我们需要选择相应的地址和服务进行放行，所以这里首先要创建服务器的地址簿。在创建地址簿时，如果是创建的服务器属单个ip，建议使用IP成员方式的话，掩码一定要写32位。

第六步：放行策略 放行策略时，首先要保证内网能够访问到外网。应该放行内网口所属安全域到Vswitch接口所属安全域的安全策略，应该是从trust到untrust

另外还要保证外网能够访问Web_server，该服务器的网关地址设置为ISP网关

218.240.143.1那需要放行二层安全之前的安全策略，应该是放行l2-untrust到l2-dmz策略

防火墙配置五：DHCP配置

一、网络拓扑

网络拓扑

二、需求描述

1、要求内网用户能够自动获取到IP地址以及DNS；

2、要求内网用户获取到IP地址后能直接访问外网

三、配置步骤 第一步：设置DHCP功能点击网络连接，然后选择右边的DHCP列表。如下图绑定接口、设置网关、网络掩码、DNS及地址池后点击确定即可。

如果需要为某主机指定ip地址，可以点击地址绑定，所绑ip必须要在地址池中。

第二步：验证内网PC使用自动获取IP地址的方式来获取IP地址，可以看到PC已经获取到192.168.1.100的ip地址网关为192.168.1.1，DNS地址是218.240.250.101

防火墙配置六：DNS代理配置

一、网络拓扑 二、需求描述将内网用户DNS地址设置成防火墙内网口地址，内网用户可以访问网页，能够解析成功。

三、配置步骤

第一步：配置DNS服务器及DNS代理

点击网络连接，在右边选择DNS列表后，新建DNS服务器和DNS代理，如下图

新建DNS代理时，域服务器可以使用系统配置，此时DNS代理地址使用的是防火墙本身的DNS地址第二步：启用接口DNS代理在网络连接中，编辑内网接口eth0/0

点击高级设置，在高级设置中将DNS代理勾选

第三步：启用接口DNS代理

防火墙配置七：DDNS配置

一、网络拓扑

二、需求描述

1、首先到网站申请一个DDNS账号，然后在该账号下申请一个动态域名

2、在防火墙上设置DDNS账号，并将动态域名绑定在防火墙上。查看DDNS状态是否可以注册到服务器，并测试动态域名是否能够解析。

三、配置步骤

第一步：配置DNS服务器在点击网络/网络连接，在右侧中点击DNS列表中设置DNS服务器地址 第二步：配置DDNS服务点击网络连接，在右侧DDNS列表中，点击新建，创建DDNS名称test，选择绑定接口，添加动态域名，选择服务商，并设置DDNS的用户名和密码，然后点击确定即可。

第三步：验证DDNS是否运行成功在DDNS列表中可以查看到该DDNS的状态及详情。

可以在命令行使用命令showddnsstatetest来查看DDNS运行状态，看是否运行成功。如果UpdateResult状态为UpdateOK说明该DDNS账号已经登陆成功。

DAS-GATEWAY#showddnsstatetest

DdnsName:test

InterfaceName:ethernet0/1

LastUpdateTime(s):-726

LastUpdateResult:UpdateOK

LastUpdateIp:218.240.155.93NextUpdateTime(s):85674

可以在互联网上找一台主机，看是否可以解析，解析出来地址是否正确。

从上图中可以看到，解析出来地址为外网口地址。

防火墙配置八：负载均衡配置

一、网络拓扑

二、需求描述

1、要求内网访问外网时两条外网负载均衡2、一旦其中一条链路出现故障后，可以通过另外一条链路访问外网

三、配置步骤

第一步：设置接口地址，添加安全域（略）

第二步：添加路由，选择均衡方式，设置监控地址

1、防火墙两条外线，首先要创建两条等价的缺省路由，所谓等价指优先级相同。我们在下图中已经创建了第一条缺省路由，网关为222.1.1.1 然后再创建一条缺省路由，网关为218.240.143.217下图可以看到在目的路由中创建的两条缺省等价路由

2、设置均衡方式

防火墙做负载均衡时有三种均衡方式，设置均衡方式只能在命令行下实现

DAS-GATEWAY(config)#ecmp-route-select?

by-5-tupleConfigureECMPHashAs5Tuple

by-srcConfigureECMPHashAsSourceIP

by-src-and-dstConfigureECMPHashAsSourceIPandDestIP

by-5-tuple–基于五元组（源IP地址、目的IP地址、源端口、目的端口和服务类型）作哈希选路（hash）。

by-src–基于源IP地址作哈希选路（hash）。

by-src-and-dst-基于源IP地址和目的IP地址作哈希选路（hash）。默认情况下，基于源IP地址和目的IP地址做哈希选路（hash）。默认防火墙使用的是by-src-and-dst均衡方式

3、设置监控地址设置监控地址的目的是一旦检测到监控地址不能通讯时，则内网访问外网的数据包不再转发到该外网口，只将数据包从另外一条外线转发。4.0R4及之前版本只能在命令行下设置监控地址，4.5R3版本既可以在命令行下设置，也可以在web下对象用户/监控对象配置中实现。

track"track-for-eth0/1"

ip218.240.143.217interfaceethernet0/1

track"track-for-eth0/2" ip222.1.1.1interfaceethernet0/2

注：以上命令只是设置监控对象，监控对象名称为track-for-eth0/1，监控地址是218.240.143.217，监控数据包出接口为e0/1接口

interfaceethernet0/1

zone"untrust"

ipaddress218.240.143.219255.255.255.248

monitortrack"track-for-eth0/1“

注：以上命令为在接口模式下调用创建的监控对象

第三步：设置源NAT策略（略）

第四步：设置安全策略（略）

防火墙配置九：源路由配置

一、网络拓扑

二、需求描述

1、针对内网用户192.168.1.0/24在访问外网时通过eth0/1的外网线路，内网用户192.168.2.0/24在访问外网时通eth0/2的外网线路。

三、配置步骤

第一步：设置接口地址，添加安全域（略）

第二步：添加源路由

在网络/路由/源路由中，新增一条源路由，设置内网网段192.168.1.0/24从下一条网关

第三步：设置源NAT策略（略）

第四步：设置安全策略（略）

防火墙配置十：双机热备配置

一、网络拓扑 二、需求描述将主备设备出现故障后，备用设备能马上顶替主设备转发报文

三、配置步骤

第一步：防火墙上添加监控对象用户可以为设备指定监测对象，监控设备的工作状态。一旦发现到监控对象不通或者设备不能正常工作，即采取相应措施。以下是在命令行下配置监控对象

在A墙上CLI下全局配置监控对象



DAS-GATEWAY(config)#trackjudy



DAS-GATEWAY(config-trackip)#interfaceethernet0/0weight255



DAS-GATEWAY(config-trackip)#interfaceethernet0/1weight255



DAS-GATEWAY(config-trackip)#exit



DAS-GATEWAY(config)#

第二步：防火墙的HA配置首先点击A防火墙上的系统管理/HA

对于HA中的参数我们只需要设置HA连接接口、IP地址、HA簇ID，并在组0中设置优先级并选择下监控对象即可。其他参数可以使用系统默认值 同样在B防火墙上实现HA配置，除优先级设置及HA连接接口地址不同外，其他参数要与A墙参数一致。B墙上设置相同的心跳接口和HA簇，心跳地址要与A墙同网段的心跳地址。其中优先级在初始设置时两台墙一定要设置不同的优先级，数字越小优先级越高。优先级高的防火墙将被选举为主设备。

命令行下配置如下：



DAS-GATEWAY(config)#halinkinterfaceethernet0/2



DAS-GATEWAY(config)#halinkip1.1.1.2/30



DAS-GATEWAY(config)#hacluster1

第三步：配置接口管理地址

处于热备的两台防火墙的配置是相同的，包括设备的接口地址，此时只有一台防火墙处于主状态，所以我们在通过接口地址去管理防火墙时，只能登陆处于主状态的防火墙。如果我们要同时管理处于主备状态两台防火墙的话，需要在接口下设置管理地址，首先我们在A墙上设置内网接口管理地址为192.168.1.91/24

命令行下命令如下：



DAS-GATEWAY(config)#interfaceethernet0/0



DAS-GATEWAY(config-if-eth0/1)#manageip192.168.1.91 然后在防火墙B上设置接口的管理地址

命令行下命令如下：



DAS-GATEWAY(config)#interfaceethernet0/0



DAS-GATEWAY(config-if-eth0/1)#manageip192.168.1.92

第四步：将主设备配置同步到备份设备将两台墙连接入网络中并使用网线将两台防火墙的心跳接口eth0/2连接起来，在主设备上执行以下命令

DAS-GATEWAY(config)#exechasyncconfiguration

此时主设备的配置便会同步到备份设备

防火墙配置十一：IP-QoS配置

一、网络拓扑

二、需求描述 用户环境描述：

出口带宽50Mbps，外网为eth0/1接口，内网连接两个网段：172.16.1.0/24和192.168.1.0/24需求描述：172.16.1.1-172.16.1.100需限制其下载带宽为500K/IP，若出口带宽空闲时可最高到5M/IP，上传不做限制。192.168.1.0/24网段中每IP下载300K，上传整个网段共享10M。

三、配置步骤

第一步：指定接口带宽点击流量管理后，右边任务栏点击的接口带宽，默认带宽为物理最高支持带宽。用户需根据实际带宽值指定接口上/下行（出/入口）带宽，指定出接口ISP承诺带宽值。

第二步：开启全局弹性QoS如需使用弹性QoS功能，在流量管理右边任务栏处开启全局弹性QoS，否则不需要做该设置。

当启用弹性QoS功能时，用户可以为全局弹性QoS设置最大和最小两个门限值，缺省最小门限值为75%，缺省最大门限值为85%。默认情况下，开启弹性QoS功能后，当出口带宽利用率小于75%时，用户可以使用的实际带宽缓慢的呈线性增长（用户可配置该增长速率）；当带宽利用率达到85%时，用户使用的带宽呈指数减少，直到实际限定的带宽；当接口带宽使用率在最小门限和最大门限之间的时候，弹性QoS于稳定状态，即用户带宽不会增加也不会减少。

第三步：配置IPQoS策略在流量管理/IPQoS中设置IPQoS策略，限制172.16.1.1-100每ip下行带宽500K。 匹配IP地址条目可以添加多条，类型支持IP范围和地址条目两种方式。接口绑定可以是内网接口或外网接口，绑定到该接口的QoS策略对流经该接口的所有限定IP范围内的流量均起效。绑定到外网接口时上下行控制策略对应内网用户上传/下载绑定到内网接口上下行对应下载/上传。出口带宽空闲时允许突破500K/IP，每IP最大占用5M带宽。

在IPQoS高级配置中，启动弹性QoS，下行每ip能达到的最大带宽为5M。只有全局QoS与高级配置中弹性QoS都启用时弹性QoS才生效。

在流量管理中设置IPQoS策略限制192.168.1.0/24每IP下载带宽最大300K，上传最大带宽共享10M。 第四步：显示已配置控制策略添加策略后会在IPQoS列表中显示，策略从上至下进行匹配，如多条策略的IP地址范围重叠，请点击策略上方右侧优先级来调节上下顺序。

防火墙配置十二：应用QoS配置

一、需求描述

二、需求描述

用户环境描述： 出口带宽50Mbps，外网为eth0/1接口，内网连接两个网段：172.16.1.0/24和192.168.1.0/24

需求描述：P2P应用需限制其下行带宽为10M，上传最大5M。HTTP和SMTP应用下载保障20M，上传保障10M。

三、配置步骤

第一步：指定接口带宽点击流量管理后，右边任务栏点击的接口带宽，默认带宽为物理最高支持带宽。用户需根据实际带宽值指定接口上/下行（出/入口）带宽，指定出接口ISP承诺带宽值。

第二步：开启应用识别防火墙默认不对带*号服务做应用层识别，如需对BT、xunlei等应用做基于应用的QoS控制，需要开启外网安全域的应用识别功能。在网络连接中针对外网口所属安全域untrust开启启用应用识别。

第三步：配置应用QoS策略-限制P2P在QoS/应用QoS中配置应用Q策略，限制P2P应用下行带宽为10M，上传最大5M。 应用QoS全局有效，对流经该绑定接口的所有限制服务的流量均生效。匹配应用条目可以添加多个，类型支持预定义服务（组）或自定义服务（组）。接口绑定可以是内网接口或外网接口，绑定到该接口的QoS策略对流经该接口的所有限定IP范围内的流量均起效。绑定到外网接口时上行/下行控制策略对应内网用户上传/下载，绑定到内网接口上行/下行对应下载/上传。

第四步：配置应用QoS策略-保障正常应用

在流量管理/应用QoS中设置应用Q策略，HTTP和SMTP应用上行保障10M。

在流量管理/应用QoS中设置应用Q策略，HTTP和SMTP应用下行保障20M。 第五步：显示已配置应用QOS策略

添加后策略会在应用QoS列表中显示，如需修改策略，可选中该策略后编辑。

防火墙配置十三：Web认证配置

一、网络拓扑

二、需求描述

内网用户首次访问Internet时需要通过WEB认证才能上网。且内网用户划分为两个用户组usergroup1和usergroup2,其中usergroup1组中的用户在通过认证后仅能浏览web页面，usergroup2组中的用户通过认证后仅能使用使用ftp。

三、配置步骤

第一步：配置web认证向导 点击配置/主页/网络/Web认证中，在右侧的向导处，点击新建web认证首先设置参数配置

点击下一步后，设置认证用户

也可以新建一个AAA服务器，AAA服务器的类型支持以下四种方式，本实验中我们使用新建的local-aaa-server服务器，使用本地认证的类型。

设置完认证用户后，点击下一步策略配置 在策略配置中选择源、目的安全域以及DNS安全域，一旦选择后，可以看到下方策略处将会创建三条策略。此处相对于4.0版本简化了配置，不需要再手工去创建放行DNS策略、web认证策略及认证后放行的策略。最后点击完成即可！修改Web认证参数设置，通过以下界面可以修改web认证的部分参数

第二步：创建用户及用户组，并将用户划归不同用户组既然要做认证，需要在上设置用户及用户组，在本实验中我们设置了usergroup1和usergroup2两个用户组。并设置了uesr1和user2两个用户，这两个用户分别归属于两个组。

点击对象用户/本地用户，首先在本地服务器中选择之前创建好的local-aaa-server认证服务器，在该服务器下创建usergroup1和usergroup2两个用户组。 然后创建user1和user2并将user1将其归属到usergroup1组中，user2将其归属到usergroup2组中。

第三步：创建角色

在对象用户/角色中设置两个角色，称分别为role-permit-web和role-permit-ftp

第四步：创建角色映射规则，将用户组与角色相对应

在用户对象/角色中，创建一个角色映射role-map1，将usergroup1用户组和role-permit-web做对应，将usergroup2和role-permit-ftp做对应。 第五步：将角色映射规则与AAA服务器绑定

在用户对象/AAA服务器中，将角色映射role-map1绑定到AAA服务器loca-aaa-server上。

第六步：创建安全策略不同角色的用户放行不同服务

在安全/策略中设置内网到外网的安全策略，首先在该方向安全策略的第一条设置一个放行DNS服务的策略，放行该策略的目的是当我们在IE栏中输入某个网站名后，客户端PC能够正常对该网站做出解析，然后可以重定向到认证页面上。第二条我们针对未通过认证的用户UNKNOWN，设置认证的策略，认证服务器选择创建的local-aaa-server。以上两条策略在web认证向导中都已经配置过。下面我们设置针对role-permit-web角色放行http的服务策略如下：

针对role-permit-web角色放行http的服务策略如下：

最后我们看下在防火墙/策略中我们设置了几条策略，在这里我们设置了四条策略，第一条策略我们只放行DNS服务，第二条策略我们针对未通过认证的用户设置认证的安全策略，第三条策略和第四条策略我们针对不同角色用户放行不同的服务。

第七步：用户验证

内网用户打开IE后输入某网站后可以看到页面马上重定向到认证页面，我们输入user1用户名和密码认证通过后，当我们访问某web时访问成功，当我们访问ftp时看到未能打开。

在设备上查看认证状态

以上实验是通过角色映射来实现的控制，指导中只是提供这样一种思路，如果采访简单的方法可以不用设置角色，在策略中直接针对用户组设置相应的服务权限。

防火墙配置十四：会话控制配置

一、网络拓扑

二、需求描述

要求针对内网每ip限制会话数到300条

一、配置步骤

第一步：点击控制/会话限制，选择安全域trust及限制条件，每IP限制300条会话 防火墙配置十五：IP-MAC绑定配置

一、网络拓扑

二、需求描述

1、手工将内网某ip和mac绑定在防火墙上；

2、设置防火墙自动扫描内网某ip网段，然后将扫描的arp信息全部做绑定

三、配置步骤

第一步：手工绑定IP-MAC信息在安全/ARP防护中，可以看到防火墙自学习的arp信息，我们将192.168.1.66的arp信息手工绑定在防火墙上，双击后勾选绑定ip即可，关于ARP认证，绑定ARP时默认开启。该ARP认证功能通过在客户端上安装ARP客户端来起到对防范ARP欺骗及ARP攻击的作用，详细说明请见光盘中的说明书。 如果我们此时防火墙并没有学习到该IP的arp信息，我们可以将起手工输入IP和MAC的方式来绑定，如下图

第二步：在防火墙上自动扫描地址范围在安全/ARP防护/绑定配置中点击扫描添加IP-MAC绑定，输入要扫描的地址范围192.168.1.1-192.168.1.254点击确定，开始扫描

第三步：将扫描后的arp信息全部做绑定

防火墙扫描完后会将学习到的ARP信息显示在arp列表中，如下图。此时我们只要点击下绑定所有配置，防火墙就会将扫描的ARP信息全部绑定在防火墙上。 说明：使用IP-MAC地址绑定功能并不能实现绑定后的IP-MAC可以上网，未绑定的无法访问外网。如果仅允许IP-MAC静态绑定的主机上网，在接口配置模式下，输入以下命令：arp-disable-dynamic-entry。

防火墙配置十六：禁用IM配置

一、网络拓扑

二、需求描述

要求内网用户不能登陆腾讯QQ和MSN

三、配置步骤

第一步：启用外网口安全域的应用程序识别

在网络/网络连接中，将外网口安全域untrust勾选应用程序识别，设置该项的目的可以识别动态端口的应用层协议。 第二步：创建禁用QQ和MSN的策略

在安全/策略中创建从内到外denyQQ*和MSN服务组的策略，如果该方向有permit策略一定要将denyQQ*和MSN服务组的策略放到最上面。

第三步：验证测试

按照以上二步设置完成后，我们可以登陆QQ、MSN测试提示不能再登陆。

防火墙配置十七：URL过滤配置

一、网络拓扑

二、需求描述

限制内网用户访问

限制内网用户访问URL中带有baidu关键字的所有网站

限制内网用户访问门户网站及搜索引擎类网站

三、配置步骤

要求一：限制内网用户访问

第一步：手工设置自定义URL库点击控制/URL过滤，在右侧任务栏点击自定义URL库，新建类型名称不妨用表示，将要过滤的网站URL添加到该自定义库中即可。

第二步：设置URL过滤规则

点击控制/URL过滤，点击新建URL新建规则，名称不妨用限制，选择目的安全域（外网接口所属安全域），在URL类型中勾选刚自定义好的URL库，并设置阻止访问和记录日志。 第三步：测试验证

如下图内网用户在访问首页时便会提示访问被拒绝，但是在访问baidu的其他二级网站时则不受限制。如正常可以访问

要求二：限制内网用户访问URL中带有baidu关键字的所有网站

第四步：设置关键字类型

在控制/URL过滤规则中，在右侧任务栏点击新建关键字类型，类型名称不妨用baidu并在该规则中添加要限制的URL中包含的关键字即可。

第五步：设置URL过滤规则 点击控制/URL过滤，点击新建URL新建规则，名称不妨用限制baidu，选择目的安全域（外网接口所属安全域），在URL关键字类型中勾选刚自定义好的关键字类别，并设置阻止访问和记录日志。

第六步：测试验证

如下图内网用户在访问及其他baidu二级网站时便会提示访问被拒绝。

要求三：限制内网用户访问门户网站及搜索引擎类网站

第七步：设置URL过滤规则

点击控制/URL过滤，点击新建URL新建规则，名称不妨用限制门户及搜索引擎，选择目的安全域（外网接口所属安全域），在URL类型中勾选门户网站与搜索引擎，并设置阻止访问和记录日志。 第八步：测试验证

如下图内网用户在访问网站时便会提示访问被拒绝。

第九步：如何确定某类网站属于哪个URL库类别

如果不确定要限制的网站属于哪类URL库，可以在任务栏通过URL查询来判断。

第十步：URL过滤监控及日志

URL库监控默认关闭，开启后可以监控内网访问的前十URL及前十URL类。如下图： 且可查询URL过滤的日志信息

防火墙配置十八：网页内容过滤配置

一、网络拓扑

二、需求描述

针对要访问的网页，如果包含一次或一次以上的黄秋生字样，则将该网页过滤掉不允许用户访问

三、配置步骤 第一步：设置关键字类型

在控制/URL过滤规则中，在右侧任务栏点击新建关键字类型，类型名称不妨用黄秋生并在该规则中添加要限制的关键字即可。

第二步：设置URL过滤规则

点击控制/网页关键字，点击新建网页关键字过滤规则，名称不妨用限制网页关键字过滤黄秋生，选择目的安全域（外网接口所属安全域），在关键字类别中勾选刚自定义好的关键字类别，并设置阻止访问和记录日志。

第三步：验证测试

在搜索栏中输入黄秋生点击百度后提示一下界面，因为我们要访问的网页包含了一次或一次以上的黄秋生字样，所以不能访问到该网页。