1 SSG5 防火墙 快速布置说明 1. 配置准备知识 1.1. SSG5 的面板端口标识 其中,控制台用于PC 对SSG5 进行命令行配置;0/0-0/6 端口可连接其它以太网设备,如PC、MODEM、路 由 器 等 ,也 可通 过 这 些 端口使 用TELNET 或 WEB 方 式 对SSG5 进行配置。 1.2. 区域规划 防火墙对不 同 作 用的端口进行划 分 安 全 区 域 ,并 在 不 同 的安 全 区域 中执 行严 格 的安 全 策 略 以实 现 访 问 控制和 安 全 防护 。 SSG5 设备上 的端口可以灵 活 划 分 安 全 区 域 ,通 常 会 有 三 个 区 域 : 外 部 不 可信 区 域 ,命名 为 : untrust; 内 部 安 全 区 域 1,命名 为 : trust; 内 部 安 全 区 域 2,命名 为 : trust2; 1.3. 端口划分 SSG5 默 认 出 厂 时 对端口的定 义 2 桥接组 (bgroup) 相当二层交换机,可允许桥接组里的端口之间进行数量交换。 在 缺 省 情 况 下 ,ethernet0/2 - ethernet0/6 接口 ( 在 设 备 上 标 记 为 端口 0/2 - 0/6) 被 组合 为 bgroup0 接口,其 IP 地 址 为 192.168.1.1/24,且 被 绑 定 到 Trust 安 全 区 域 。 SSG5 最 多可配 置 四 个 bgroup。 如 果 要 将 以 太 网 接口设 置 在 bgroup 中 ,必 须 先 确 保 以 太 网 接口处 于 Null 安 全 区 段 。取 消 设 置 bgroup 中 的以 太 网 接口会 将 接口置于 Null 安 全 区 段 中 。 将 以 太 网 接口分 配 到 Null 安 全 区 段 后 ,即可将 其 绑 定 到 某 一 安 全 区 段 并 分 配 不 同 的 IP 地 址 。 端口规 划 明 细 : ethernet 0/0 端口指 定 为 外 部 不 可信 区 域 untrust,用 于 连 接外 部 电 信 互 联 网 线 路 ,可连 接的类 型 有 ADSL 和 光 纤 互 联 网 连接等 。 ethernet 0/1 保 留 为 DMZ 区 域 ; ethernet 0/2- ethernet 0/3端口作 为 桥接组,命 名 为bgroup0,指 定 为 内 部 安 全 区 域 1 trust,用 于 连 接安 全 区 域1 的PC 或 交换机; ethernet 0/4- ethernet 0/6端口作 为 桥接组,命 名 为bgroup1,指 定 为 内 部 安 ...
