在企业网中，如何配置防火墙能实现内网访问外网呢？以这张图为例，这台防火墙的一号口连接了内网，二号口连接了外网。 配置时，除了最基本的 ip、 路由以外，还要做三个关键配置。第一个配置安全域，我们要把内网口加入信任域，外网口加入非信任域。第二步，我们要做安全策略，要放心从内网到外网的。 第三步呢，我们要做 nat 策略，要将内网访问外网的包进行地址转换，转换官网 ip， 这样就可以了。关注我，学习更多实用网络技术！

　　防火墙调试很难吗？防火墙呢？其实调试起来也是非常简单的，那么作为防火墙调试，我就只总结了三个步骤，也就是三句话，通过这三个步骤，一步一步去做，那么任何品牌的防墙我们都可以轻松搞定。 那么首先第一步呢，我们需要给防火墙的内外接口，我们配置相应的 ip 地址，同时需要把每一个机加入相应的区域 好。那么第二步呢，我们作为安全网关出口网关防护长，那么在这里我们一定要配上一条学生路， 我们说的八个零都有啊。那么第三步呢，我们需要放通相应的策略，比如说我们内网，如果要去访问外网，那么我们需要从园区 到目标区域的出去的流量，给他放通我们相应的安全资料。那么只要完成了这三个步骤，那么咱们不管什么片往上加，我们全部都可以搞定。

　　新买的企业防火墙不知道如何？佩服怎么办？记住这五个万能参数，瞬间会上手调试。首先登录设备，每个设备开箱时都有说明书，会告诉大家管理接口、 ip、 地址、账号、密码等信息。 其实防火墙无非分为内向外、外向内两种常见场景。其中内向外是最常见的，大部分主要用作访问互联网。首先根据刚才讲到的五元组完善访问策略信息， 这里需要注意不要忘记做地址映射。 snack 是原映射， dnat 是目的映射访问互联网，我们这里设置原映射 snack。 原地址设置我们刚才配置的内网地址。目 地址设置按内，因为我们不知道互联网都有哪些地址，点击确定即可完成防火墙的上网设置。外向内主要用于业务系统对外提供业务功能。策略配置基本和刚才一样，只不过是地址位置颠倒。 同样外向内也需要配置映射原地址选择 any 目的地址选择我们对外公布的公网地址，转换地址选择我们提供服务的内网地址。 如果是全端口映射，直接点击确定就可以了。接下来进入运营商线路，我们就可以美滋滋的上网冲浪了。好了，本期就分享到这，大家有疑问的可以在评论区留言讨论，记得点赞关注哦。

　　老张防火墙调试到底难不难？防火墙的调试起来其实呢非常的简单，那么我今天告诉你三个步骤，只要你按照我这三个步骤去做，那么你就可以搞定大多数主流的品牌防火墙。那么接下来请注意听我这三个步骤。 第一个步骤给接口配置爱奇艺者，并把相应的接口加入对应的区域。 那第二步呢是我们要配置一条缺什么东西，而且呢，如果你有福气的话，我们要做 nit 单词音效，并且我们要配置什么东西呢？ nit 原地址转换。 那第三步骤我们要放通与肩策略，那就比如说你的内网如果需要到外网上去上网的话，那么我们必须放通行的内网到外网去。遇到策略 好。那么接下来我把华为的配置脚本我整理成一张图片，如果有需要请双击加收藏。

　　大家好，今天呢给大家分享一个防火墙的一个配置的一些步骤。 那么好多朋友呢，呃一听到防火墙呢，可能就有点发触啊，感觉自己呃不了解防火墙，呃很多遇到配很多防火墙的时候呢，可能会出现很多问题。 嗯，那当然实际情况呢，也确实是这样。交换机呢和路由器可能相对来说要比较简单一点， 但是防火墙呢，我们如果呃方法配置的不对，可能会出现呃各种各样的问题啊。那我我们常见的就是呃网络互访不通啊，或者是 我们从内到外不同，或者是我们到接口不同，或者是我们从外到内的内部的这个服务器啊不同。 那么今天呢，我给大家分享一些干干的干货。那么请一定根据我提供的这三个步骤啊，来进行一步一步去操作，只要你每一步都做的没有问题， 那么防火墙对你来说也就非常简单了。那么首先第一步呢，我们要了解一个概念，防火墙呢， 他是分区域的，也就是说我默认外网，我们就在 on trust 区域，那内网呢，我们平时就是 在 cross 区域。那么首先第一步，我们要给接口分配 ip 地址，划分区域，那么我们给外网接口我们划分啊，配外网的 ip 地址，那我们把这个接口加入到 ontros 区域。那内网，我们配 内网的 ip 地址，那我们把这个地址呢，这个接口呢，加入到 pass 的区域。这是第一步。那第二步呢， 我们需要做呃默认陆游和 nit 啊，默认陆游，那我们八八个零陆游，我们下一跳，直到这个 昂创斯就是呃外网的网关上，那么耐特，我们需要做原地址耐特，其实我们内网的这一段地址，我们要从外网耐特出去。 那么第三步呢？第三步呢？我们呃需要做呃策略啊，策略就是我们从内串死的到昂串死的，我们要给他放通，全部放通。 那么我们从昂创斯的到创斯特呢？这个时候呢，如果我们内部有服务器，我们是需要给他放通，如果没有服务器，那就不需要放通，只要记住这三点就没问题了。

　　不过还好，这种强管理模式是需要在你电脑上安装一个扣单软件的。手机端或者没安装扣单软件的电脑是没办法监测记录聊天内容的，只能控制让不让你访问，所以大家不用过度担心。当然，安装扣单不仅仅可以记录你的聊天记录， 而且可以通过操作系统更底层的控制来防止数据的泄露，俗称 dlp。 那我们来看看都能设置什么呢？卷入策略其实就是连接公， 是内部的基本要求，我们建一个策略大家就知道用途了。不允许安装代理软件的 win 十电脑连接到内网里面。管控策略就很简单了，就是不允许什么应用访问。对于文件级的，还可以定位具体的关键字，比如文件名含有保密字样的，不允许外发并记录。 这个根据公司的具体情况来了。之前说生意服上网行为的时候，有个 ssl 加密内容识别的问题，大家一直在讨论证书的问题， 相信采用的就是本地福气证书进行解密。当然，不是所有人应用都能解密，我们看看他们能解密哪些应用。网页端的 htvs， 邮件端的 smtps、 pop、 三 s、 i max、 step、 lssmtp。 嗯，不是所有的都能解。那一个上网行为的好坏，怎么去做一个初步的判断呢？就是特征库数量多少， 我们来看一下他都能识别多少应用。体验性号称识别一万一千多种应用，以及二点二一条诱饵药库，姑且就信了吧，我也没时间数啊。那说了这么多，这 设备怎么部署呢？三种模式，第一个就是网关模式，充当路由器或者防火墙使用。除了上网行为的全部功能之外， vpn、 路由的功能都有了，净省一台防火墙。但是买这个的一般都不会缺这点钱，所以常用的是第二种网桥模式， 串联在防火墙跟交换机之间。基本上百分之九十九购买者都会选择这个模式。只提供单纯的上网行为管理功能，不用来直接连接外网。 前面说的这个掰帕斯按键，也就是为了这种模式单独设计的。默认情况下，系统会把外网口一零，和内网口一一作为掰帕斯接口。当断电时，这个设备就相当于一个网络对接头，将两根网线连接起来。这时候 外网和内网的网络通信不受影响，但所有的监控、上网审计的功能都失效了。当你有多套网络时，就需要设置多个摆 pos 端口。那这个摆 pos 按键的作用呢？就是强制使用摆 pos 模式。将这台设备模拟成一个网络对接头，大家可以看到红灯亮起， 所有网口的状态，灯都灭了，所以这个按钮不要随便按哦。当然还有第三种就是镜像模式，连接到防火墙的镜像口上，默默的对所有的日志内容进行记录，保持不做控制。添加到网络时不影响网络拓谱。 所有从交换机流到防火墙的流量数据报也 copy 一份给到上网行为管理。好的。看完本期节目，大家是不是更加有一种在互联网的海洋里裸泳的感觉了呢？其实 国家早就提出公共场所无限上网安全管理要求，规定向公众提供 wifi、 无线上网服务的公共场所，应依法向公安机关登记备案，落实上网实名认证、上网行为审计、日制流程等网络安全技术措施。 安装已取得公安部相关销售许可证的网络安全管理系统并联网运行。所以还是那句话，技术是一把双刃剑，鱼和熊掌不可兼得。在此也提醒大家， 互联网不是法外之地，我们在享受它便利的同时，也要注意自己的言行，尤其是不要得罪搞 it 的开玩。

　　一般中小企业网的防火墙应该如何配置？是不是很多人听到防火墙就觉得哇，配置一定是很复杂很高大上的呢？其实没有大家想的那么复杂，防火墙的本质就是安全功能更加突出的一个路由器。 那么两种配置思路今天给大家捋一捋。第一种正儿八经的防火墙。听名字就知道防火墙就是一个带安全防护功能的墙吧。将其按照交换机一样进行 规划，放在路由器和核心交换机之间，无需额外配置，就可以发挥他的流量安全监测、反网络安全攻击、流量控制等功能。 第二，作为路由器使用。很多小型企业网络会这么做，因为防火墙本身就具有一定的路由功能，在网络规模较小的时候，是可以作为路由器来使用的。将防火墙部署在网络出口，然后直接连接交换机，正常按照路由器的配置进行操作就可以了。

　　如何使用 mf 页面来配置一台生幸福的防火墙？一分钟教你轻松搞定。首先第一步大家要知道这台防火墙的 ip 地址是幺零点二五，幺点二五，幺点二五，幺杠二十四位。我们只要把网线的一头连在这个 madj 门头上面， 网线的另外一头连到我们电脑的网卡上面。接下来我们就可以开始配置了。首先第一步我们点击以太网三，选择右键点击属性，然后我们在属性里面选择协议版本。四，然后在这里面呢使用下面的 ip 地址 幺零点二五，幺点二五，幺点两百，指望元宝三个五点零。点击了确定。第二步我们打开网页，在地址栏里面输入幺零点二五，幺点二五，幺点二五幺，点击推车。好，我们就进入到生幸福的防火墙 的配置页面。在这里面呢，我们输入用户名密码，点击登录好。我们可以看到生幸福的防火墙的话，他可以在线升级，我们点击他把它关闭呀。在这里面我们可以进行网络配置，你说在接口下面配地址。 然后呢，我们安全防护的对象你比如说有 ips， vivo， 实时漏洞分期等等。然后呢，我们也可以在生幸福的防火墙上面跑， ss 为偏跑 ipc 口为偏。如果说大家不知道怎么配置的话，我们可以点击最后一个配置向导。 大家可以看到我们的防火墙有三种部署模式，路由模式，透明模式跟镜像模式。大家点击这个开始配置啊，就可以按照他这个需求来一步一步来。

　　这款电脑软件你可能没听过，但浅妆后发现是真刚需，真实用。作为一款非常宝藏的电脑安全软件， 安信，他没有任何广告，不影响电脑运行速度，也不会明理按理引导你下载其他软件。但能非常精准的帮你拦截各种弹窗，并且保存拦截记录，方便你查看。除了常见的杀毒和清理垃圾， 安信还能保护你电脑里的重要文件。你可以指定特定的程序去访问他们，比如我只允许我的丁丁访问这个文件。通过防护记录，你还可以查看是谁动了你的文件。现在每月只要九块九，点击评论区还有专属福利。那么问题来了，你用过比他更厉害的电脑安全软件吗？

　　你知道防火墙如何配置策略吗？好，我们来配给大家看一下。配个简单的防火墙的策略，看一下怎么通信的。我的策略这么邪啊。 secret policy 就是安全策略。安全策略当中呢，它用的叫 ruler， 后面写个名字 ruler name， 相当于安全策略编号一样写一好，这名字我写一，然后在这里面去执行策略。我这里实行我的策略的话，就是针对我的区域去做。比如我做一个什么 source zoom， 这个 soft 指的是圆啊。我的圆区呢，我可以设置 trust。 目标区呢，我们是 on trust。 第一 定好我的员跟目标，之后我的员去访问目标，如果流量是从 trust 到 untrust 流量，就会执行策略。然后做完这些之后啊，我们就可以去放行啊。大家注意，我这里只是定义员跟 目标，我定完原根目标之后，我还要干嘛呢？我还要放行他的服务。这个服务的话，你可以单独去写， 如果说你想放行所有的，你就不用写，直接写个 action 团灭者，这就相当于放行所有。但这个肯定是不安全啊，我就模拟器，我就随便敲了线网，当中这么做是不安全的。这么放行之后的话，我们在这边再去 pin 一下，你看看， 再去访问就通了。这个通说明什么？这个通只能说明我 trust。 把 untrust 能通。聘通，是不是意味着我可以去访问。防火墙。不行啊，防不了防火墙。 为什么呢？因为防火墙本地没有开启拼的权限，去端端口。所以如果你想让防火墙这个端口能通，我们要开启他端口的权限， 因为默认他所有端口的 manage 功能全被过滤掉了，就是他默认是 switch manage or default， 全部拒绝端口功能啊。就是很多人觉得哎，为什么我拼不通防火墙？搞不清楚。拼不通防火墙。给大家解释一下。 如果你拼不动防火墙，就因为端口防火墙的拼功能没打开。打开之后你在印上面再去防防火墙就可以了。但是你能访问防火墙，防火墙能不能访问你呢？ 防不了疫，所以防火墙上面做的都是单向访问他，不是双向访问。如果你想让他双向访问，还是要基于策略。所以呢，我们要写个这玩意。 这种发型之后你再去拼亚洲内衣才能通啊。所以这是防火墙的一些基本配置。

　　防火墙是一种网络的安全设备，主要用于监控和控制网络的一个通信，在保护计算机系统啊或者数据方面都有一些比较重要的作用。 那我们下面说一下防火墙你想要配置他的一些步骤点要概括一下。第一个呢，你就是确定网络拓步，对于我们的复杂网络环境，需要先确定网络这个架构，主机这个数量，联网类型等等，后来选择我们需要合适的防火墙型号，防火墙部署的位置啊等等。 第二个，那你就定制安全策略，通过了解我们企业网的业务运作和我们的一些比如 it 的治理风险是吧。在我们公司的安全政策规定中， 我们防火墙就说他的一个管理明细来设置我们的防火墙。例如可以指定哪些 ip 地址是被允许连接到网络的，哪些 ip 地址是不能连接的，哪些协议的数据是能够放行的，哪些协议的数据是应该被禁止的。好，那下面 对应着我们要配置防火墙的一些规则，那这些规则根据我们的安全策略网络 top 来设置我们防火墙的规则，以控制和过滤流入流出的一种网络数据。我们常见的有一些什么允许通信的 是吧，拒绝通信的 nat 原木 ip 规则，这些都是一些很基本的规则做匹配的。好。然后还有第四个 就说更新和测试我们的防火墙，那对应着我们定期更新防火墙这个软件，反病毒的软件是把其他关键的一些安全设备软件对应着其主机，开展一些必要的审计工作，对其策略开启一些常规的测试，验证能否提供达到预期的一种效果。 nice。

　　在调试企业防火墙的时候，一定要注意的点就是 ospf 去配置的过程当中，我们需要注意一下策略。那么首先我们先对这个防火墙的 ip 进行一个迁移，先把路由器的 ip 配置到防火墙上，然后我们后续再去连线，先配上 ip 地址以及划分的安全意， 连接 sw 的接口和 sw 接口画了 trust 的，并且配置地址分别把路由器上的 ip 呢都给他移过来好吧。那么呃顺便我们也把咱们的路由器里有连接专线的链路呢，也把 ip 一起迁移过来 好，那么我们是幺九二点，幺六八点四三点一这个地址去连接专线。好。那么连接专线的那种点完之后我们就先不变，先不配，先不配他了啊，就先不管了好。那么接下来我们要去配置 ospf， 因为我们的路由 是通过 osp 学习的，那么在 ai 一上先把我们在路由器上配置的 osp 配置给他贴出来，然后我们放大一下啊，给大家看一下。通过我们的配置对比呢去实现通过网页点击配置 ospf。 那么首先我们需要在我们的 ai 一上找到路由模块，包括说 osp 我新建一个 osp 进程进程一。然后呢去配置 a， 他的 id 为幺九二点，幺六八点二五五点一，其他默认参数保持不变就可以了。那么请加上我们的默认录的下发啊，因为我们的啊本身的网络中是下发的默认录由的。 然后接下来呢，我们在这个网络当中呢啊，就是 osq 配置当中呢，还需要做一些其他配置，因为我们只配了进程对吧？那么接下来去新建一个区域啊，我们要新建个区域里，同时这个区域我们不做认证，那没有认证。同时呢， 我们要去宣告一个网段，这是必配的啊。幺九二点一点零网段先宣告一下，那么一点零宣告完之后，我们的网段还没宣告好，还有一个二点零没有宣告对吧？所以点击到网络配置，在区域里面中加入二点零网段的宣告好，那么这样我们的配置就已经扣闭好了。 从路由器进向到我们的防火墙，接下来就是把线路替换，哎，设备删掉对吧？那么我们连接新的线路，那你会发现连接完线路之后，防火墙是无法建立 osq 邻居的， 因为在这样的网络环境当中呢，我们 ospf 协议是一个数据信息防火墙，默认阻止了所有的数据，那 dnaany 他默认哪个策略是 dnaany 的对吧？所以我们要在这个策略之前的新建一个策略，新建策略要去放通 ospf。 那么首先我们 去新建策略当中去写个编号，名字叫迎娶 ospf， 就是我们内往日 andospf 的一个描述。然后呢，接下来我们啊去配置他原安全域，原肯定是信任域对吧？那么目的域呢？那肯定是 logo， 就是本地，就是我自己，一台路由器就是 logo。 然后接下来我们去详细的去写哦。 sw 的语文 ip 的 osp 地址是幺九二点零一点二，这个 ip 杠三十二为地址，好点击确定。那么我们放通这个地址，同时我们也要去放通 sw 四的地址对吧？所以新建 ip 啊， sws 的我们的 ospf 接口 配置幺九二点，幺六八点二点二杠三十二。这个 ip 好，可以确定好。那么我们原 ip 已经啊做好了，那目的 ip 呢？啊，因为我们是一个主播地址，那我就先不写，直接选 any 就可以了。或者你也可以去定义 特定的地址也可以的啊，看我自身的一个啊，配置的习惯，或者说在线网中的一个配置需求。然后呢，在服务当中去选择。我们点了一天对吧，找很难找。没关系，直接输 os 好，然后他会匹配关键词 os， 然后出现最后的 ospf 对吧？ osp 然后 ospf 勾选一下，然后我们允许啊，点击允许这个策略好，然后点击确定，我们的策略就生效了。好吧。好，那点击确定即可。那么接下来我们的策略当中出现了一条发行到 logo 的一个 ospf， 然后效果呢？你就可以看到 osp 路由条目在设备上学习到。当然要稍等一会会啊，你要稍等个四十秒左右的时间才能鉴定 osp 的这个邻居。 ok， 好，那这样就完成了。

　　如何配置防火墙，实现内外网互绑呢？在这张拓福图中，防火墙作为我们的出口区设备，同时连接了内网和外网。如何进行配置？这里我们主要分为三步。第一步，我们先进入信任区，将接口加入到信任区， 然后再进入非信任区域，将接口加入到非信任区域。第二步需要做安全策略，我们先进入安全策略视图新建规则，把原区域设置为信任域， 目标区域为非信任欲，最后再放行即可。第三步需要做耐策略，先进入策略视图新建规则，还是将原区域设置为信任欲，目标区域为非信任欲。最后通过 cip 的方式来转换，就可以实现防火墙内网的互相通讯。想系统学习网络技术的小伙伴，点击视频左下角链接参加我的网络实战课。

　　大家好，一年一度的互网工作可能要开始开展了，如果你在负责信息相关的工作的话，有可能你就会收到一些漏扫的一些报告，那么漏扫的报告当中会告诉你 你的哪一个服务器上开了什么样的端口。那么面对这样的问题，你该怎么去处理呢？那么今天我就给大家展示一个完整的过程视频可能有点长，如果你有这方面的需要的话，可以看完这个视频。 现在大家可以看到我这里模拟了一个服务器，那么我是通过远程桌面登录进去的，看见没有？这是个远程桌面， 那么很多运维人员在平时的运维工作当中，为了快捷，他们把防火墙给关闭了，那么所有的数据他就是直接通的。来我们看一下啊，外尔沃点 cpl， 这可以看得见。我这里就是把这个防火墙是关了的，那么如果 他告诉你你有三三八九的端口是高危端口，你是不能让他访问到的。这个三三八九端口是管理用的，那么他还有其他的端口，他也告诉你也是高危端口，那么你不能让他路少来，少到这样的端口。所以我们先 要把远程桌面的端口给他关掉。怎么关呢？我们不能把自己关在外面，所以我们在启用这个防火墙之前，我们先要配置，让我们自己能够登上去。好点入站规则往下拉，拉到最下面。这里有一个 远程桌面用户模式， tcp 印要看准了啊， tcp 印只有吃它才行，双击它，好，我们点作用欲，然后在这里输入一个远程 ip 地址，就是说谁能够远程 这台服务器？那么这个操作完成之后，必须要保证我们现在的电脑能够远程这台机器。那么我看看现在我的 ip 地址是多少啊？ 好，大家可以看得到，现在这个 ip 地址是本机 ip 地址。然后我通过这个 ip 地址去远程它的。好，我把它复制下来， 我把粘贴过来好点确定。好，确定这个时候我就启动防火墙。 那么三三八九，除了我刚刚那个 ip 地址之外，其他的 ip 地址他是都访问不了，我们看看能不能行啊，不能把自己关在外面了。 ok， 看见没有，我们还能点动，就说明这个成功了。如果说你还有其他的 ip 地址需要管理这个服务器，那么你就在这里跟着加 ip 地址就完事了啊。这然后 再添加就 ok 了啊。那么这个就是封三三八九。那么另外一个就是说如果你有业务的 ip 地址该怎么办？就打个比方说啊，我们看看现在监听了什么端口 好，现在假设这几个四九开头的这些端口都是我的业务端口，那么我不可能把这个端口给他封掉，那么封掉之后我的业务也没办法跑了。所以我就必须要针对这些端口来进行放开。指定哪些 ip 地址可以访问我这台电脑的这些端口。 就在 fire 点 cpl， 此时点高级设置入站规则。为什么是入站呢？别人来访问我就是入站，我出去访问别人就是出站，知道吗？好，新建规则。好，这里选择端口，下一步。好，这里是 tcp， 看见没有， 它这边显示有 tcp， 如果你是 udp 的话，它这边会显示啊，但是 listen 这边还没有 udp， 我们就 tcp 吧。好，我们把这几个端口粘进去。四九六六，四到六六九吧。啊，好，复制它本地特定端口，它 到六六九，然后逗号，记住要英文的，然后还有三零粘贴进去。逗号还有一个 五九。好，那么四九开头的端口，我们就把包括完了下一步，然后点允许连接下一步， 然后下一步。比如说我这里取个名字叫做业务端口。好完成。这不是完全完成了，这还得有业务端口，我们双击打开。同样的道理，我们在作用 这里选择远程 ip 地址，哪些可以访问我是不是那么还是刚刚那个地址啊。啊，我把它加进来。当然这个是不是不是随便乱填的？你要清楚哪些机器会来访问我这个服务器，知道吗？这不是随便乱填的。 所以说，在这里业务逻辑你必须要清楚，你才能做这个事情。好，我这里点确定。我假设这里是个其他的服务器，需要访问这台服务器。好 确定。那么这几个端口除了刚刚我指定的 ip 地址，其他的 ip 地址它都是访问不了的。 一般而言，我们在做防火墙策略的时候，我们就只管本地，不管别人。也就是说我们需要做，谁可以访问我哪一个端口。至于我要去访问其他人的什么端口，我们这个是不管他的，因为这个我们需要在 对方的服务区上来做。而如果你不知道他的业务逻辑是怎么样的，我们可以用一条命令 next 杠 no， 按这个 i s w。 是的，随便写一个。这里几条就是当前我的计算机和其他 ip 地址所建立了连接关系，你可以把这个关系给它整理出来。然后就比如说我这台服务器的这个 ip 地址，需要访问这个服务器的这个 ip 地址， 那么这就是一条业务关系。那么具体这个是不是业务关系，你必须要清楚你自己的业务逻辑，这个是没有一个定数的。其实在这里还是要给大家说一下，关闭端口 和阻断端口是不一样的概念，那么阻断端口是通过防火墙这样的工具来阻止访问对应的端口，而关闭端口是把 监听端口的对应的进程给他杀掉，这样他就不会监听了。你在上面看到的监听端口，假设这个端口我现在要封禁他，好在防火墙入站规则 啊。端口下一步端口是五零四零，这里显示有是吧？五零四零 t c p 好，接着来这 t c p 下一步，然后阻止连接下一步，下一步就随便写一个名字 block 五零四零。 ok， 这就完事了。这叫做主断端口。 那么什么叫做关闭端口呢？我们看这个端口，它后面对应的有个 p i d， 在这里看到没有？四六零八。我们来看看四六零八这个 p i d 是哪一个进程的。 好，我们看到他的路径在这里，然后他的名称是这个，因为它是一个系统进程，我这里是给大家做一个模拟啊，你把这个进程给他杀掉就完了啊，怎么杀呢？任务管理器 详细信息这。然后找到四六零八这个进程，其实你可以在这里去找 pid， 排个穴啊，再排个穴， 往下四六零八的字点右键结束啊。这个叫做关闭端口，那么有的端口他是通过系统改注册表的方式来关的，那么有的是通过结束进程的。我这里说的结束进程，我只是打一个比方， 假如说你有的业务软件，那么他就不是通过修改注册表来关的，他就是要通过关闭进程来关。好。大概情况就是这样，希望能够帮助的了你们。

　　完整带大家完成一个基础的防火墙配置。以华为防火墙为例一、进入系统仕途并创建防火墙区域。这里我们创建了两个防火墙区域 trust 和 interest。 trust 区域是内部网络，而 interest 区域是外部网络。二、创建一个允许流量从信任区域到微信 区域的安全策略。三、创下了一个入战规则控制外部流量如何访问网络。四、配置出战规则控制内部流量如何离开网络。 五、启用 net 可以帮助您隐藏内部 ip 地址，并允许多个设备使用同一公共 ip 地址访问外部网络。六、监视和记录防火墙活动启用日志记录和流量分析。以上是华为防火墙的一些基本配置命令步骤，具体的配置根据实际需求和网络环境会有所不同。

　　现在我们接着配置核心交换机，把康守线插到核心交换机上。 首先我们把交换机名称改一下吧，改成 cosle 一起。然后进入交换机的上行口。这里我们尝试一下把交换机的上行口切换为三层口。可以看到我这台交换机的接口不支持切换成三层口。 我们还是直接新建一个互联的微烂吧。然后配置微烂 f 的 ip 地址，这里的 ip 地址规划的是幺七二点、幺六点、幺点二。 然后互联接口类型配置为 xs， 微蓝配置为九九九。现在我们拼一下防火墙的内网地址， 可以拼通，再添加到外网的默认多油。下一跳为幺七点、幺六点、幺点幺。防火墙的 ip 地址再创建两个危难对应。托普图上规划了两个网段， 一般在规划的时候，微单和网段最好有一定的关联，比如这里微单幺零就对应的是幺九二点幺零，八点幺零。 最后把与华山交换机互联的接口配置为 accessical， 因为这里我用了简化配置，我把华山交换机当做傻瓜交换机用，所以配置为 xx。 扣好。现在都配置完了，下一集我们看一下效果。

　　好，我们来讲解一下那个防火墙的几种上网方式配置啊。呃，通常上网的话，我们在实际项目中用的多的就三种，一种是 dice p 的，嗯，另外一种就是拨号的， 还一种就是我们的那个固定 ip， 就是说他给了你一个供网的固定 ip， 或者是说 你这个属于是下级网络，他给了你一个固定的地址跟网关，你填写进去就可以了。 那么我们的实验环境呢？是这样的，一个内网，一个防护墙，然后一个外网，一个管理电脑。那么其实管理电脑跟外网都是用的同一台电脑啊调节的。首先我们需要那个有两个网卡，一个 我是用的，一个还回口，然后一个实际的物理网卡。还回口的作用就是用来管理这台防火墙，这样的话我们可以把实际的物理网卡空出来，然后电脑调节到物理网卡，然后走真实的网络出去 啊。那还回口添加比较简单啊，我们输入那个硬件的，这个添加硬件下脑，我们下一步这里有一个手动，那么我们要添加的是网络设备器，等他出来， 这里选择厂商是微软啊，然后这里有一个太子的黄河口，我们点下一步，然后安装就行了啊。我们这里安装了。那么安装后第一件事情是什么呢？设置一个静待地址，幺九二点 幺六八零网段的任意一个地址，除了一一以外，因为防火墙我们上一篇讲过，他的默认地址是零点一，那么我们可以把它设置在零网段，这样的话就方便于管理。那么管理后你不你不能直接拖匀出来，你会发现你 你如果直接添加，你是找不到这一个对应的网卡的，你需要怎么做呢？在那个找到烟 sp 里面 啊，这个，然后你要点一下这个运行一下，然后重启一下电脑，这样的话你就可以发现了。 那么发现后我们直接在这里选择这个一套网，这个零点五五，我们直接看 app 地址就行了，不知道哪个网卡的话添加，然后添加一个 udp 的，然后我们这里双向 绑定就行了。这样的话我们把它接在领口下面就是管理口，那么二口下面我们对应的绑定的是这个真实的网络，然后然后这里有 dp， 然后调节在一口，等于一口就是做万网，然后一口啊，零口记一杠零杠零就是做外网记一杠零杠一就是做内网。好，那么我们来首先第一步，那肯定是要先出示化了， 如果你不出示化的话，你没办法进外表页面，当然甄姬不选啊，那天我已经演示过了啊。管理口是机灵杠铃杠铃，那么我们只需要开启一下管理功能，然后允许所有的。那么这个时候我们来 进入一下后台，好，进来了，那么我们输入账号密码，好进来了。 好，第一件事情，那我们在做准备工，在讲这三个方式之前呢，那我们先把准备工作做了。呃， 因为这个是简单的讲解一下一些那个内容，所以呢也不会详细讲。在这个之前，那么我们正常的一个网络肯定第一个 你，如果一个简单的网络，那第一个你肯定要有 dhcp， 你需要把它那个下面的那个，你可以接他傻瓜交换机到下面，然后让他所有的机子自动获取上网。所以呢，第一件我们需要配置一个，我们先把接口 确定了，我们这里是 g 一杠零杠零接的外网， g 一杠零杠一接的那个内网。所以呢，我们第一件事需要把它先配置一个网关 好，然后防火，如果是路路由器的话呢，我们直接点确定就行了。但防火墙呢，他有一个安全区域， 他有默认是有三个的，一个是 xus 的，一个是安卓斯特，还有一个 dmg 啊。这三个作用就简单说一下， x 的是就是内网啊啊受受新人的， ontros 的就是不受新人的。一般我们是把它划分在万网接口就属于这个 电瓶机的话，就是说你如果有服务器啊或者什么的，可以建议在这个区域。当然这些都是人为划分的啊，你你根据自己 想要。只是说通常情况下，正常逻辑的情况下，我们都是啊，内网就接踹死的，外网接按踹死的，那么这个口我们是内网的，那么我们划分到踹死的里面，我们点确定 好。这个时候呢，我们需要把配置一个 dhcp， 那么模拟器里面有个比较郁闷的地方，就是说他那个还他的外部界面，没办法真正的做到那个跟外部话， 哎，也就是说他的功能还是有点限制啊。嗯嗯，这个大家看一下就知道好点。当我点确定的时候，正常你如果是真机，那他就没问题了。但是你如果模拟器的话，他会要求你在那个接口先开启这个 功能，也就是开启 dhcp 功能。好，那我们就开一下，记得进入是内网口，我们输入这个好，然后我们再来配这个就 ok 了。 好，这个配置完后呢，如果是路由器的话，那么我们只需要配置一个 nice 艾特上网，这样的话就能够 ok 了。但是他是防火墙，防火墙的话他一定涉及到一个安全的策略，默认情况下防火墙的策略呢是全部禁止的，也就是说你不管什么流量都过不去。 那么我们这里就主要是演示那个怎么对接上网。那么我们直接把他的那个就是说允许他全部通过，当成一台路由器使用。 后面我们会讲解一下，简单的讲解一下安全的策略的。好，那么这个配完后，我们还需要配置一个赖特策略，就是让他能够上网啊。能上网的话，那么这里我们需要选择区域，区域的话 我们是上网的话，我们是从内网到外网，也就是说从 trust 到 antrost。 所以呢，我们这里选择啊，选错了 trust， 哎 啊，这里选安创斯特。然后呢，我们没有什么地址吃，我们直接用它接口获取到的地址来上网。 好，我们选择啊。这样就准备工作完成了。接下来我们来讲解一下整个对接万网的三种方式。第一种我们先讲 dhcp， 好， hcb 的话，我们确定好外网口后，点击编辑。那么这里你会发现有三种模式。首先我第一个我们肯定是要选择安全区域，那我们选择的是 on trust。 那么我们先演示静态啊，按按按这个顺序来吧。静态。那么我就随便设一个可以上网的那个。 好，这里这里的格式大家注意一下啊。前面这一段写 如果是静态 ip 的话，比如运营商分配了你一个官网的 ip， 他给了你一个 ip 地址子网野马跟默认网关还有 dns， 你可以把他的网关写啊， ip 地址写在这里，在一个斜杠后面写直网野马， 野马的话你可以写完整的，也可以写这样的二二十四位的。嗯，都是可以啊。然后网关的话，你可以在这里写他的网关，或者你后面加静态路由都是可以的。 然后 d d n s 的话，你也可以再建立一些那个 d n s。 好。其余的就 如果说你是分配给你的是公网 ip， 如果你想通过公网访问的话，你可以在这下面开启一些对应的服务，比如网页访问，或者是他那特 sh 都可以。那么我们点确定 hmm 啊，已经配好了模拟器还是有时候有点小问题，点什么，这个就不管了。 好，这样的情况下我们应该就可以来测试一下能不能上网。首先我们可以弄完后，我们这一点有一个 ci 控制台，我们可以试一下，先看一下本防火墙本身能不能上网，你会发现 啊，可以了，可以上网了啊，现在已经朋友强势没问题了。那么我们来试一下内网的， pcpc 的话是接在内网口，我们首先那个 给他自动分配一下，我们先看一下 获取到地址没有啊，已经获取到了八七，我们先拼一下网关是不是通的。好，这里遇到另外一个问题，这里再顺便说一下吧，默认情况下，如果你没有开那个的话，他是访问不了那个内网的，你需要在内网口刚刚配置的时候忘记说了， 这里有一个访问功能，你需要开启哪些服务，否则他是聘都不让聘的啊。 嗯，开球现在可以了啊。到网关通的，然后我们拼一下幺幺四啊，也是通的，因为我们已经做了那一套了。再拼下百度 啊，百度也通了啊。通了是因为我，我们刚刚已经做了提前的准备了。第一个你可以看到他有命中数， 就是策略放行。第二个我们有 nite， 就是说从踹死特到安踹死特，我们转换成这个接口，获取到的地设置的地址，我们这里设置的一点六八，然后转换成这个，把三网段转换成这个，出去上万网 啊，我们可以看一下，他也有命中数的啊。这好，这是第一种方式，静态的话比较简单，那么如果说你这里没写默认网关，你就只写了一个地址的话，那么 你会发现你是这样的话，就外网就断了，就上不了了。另外一种方式是什么呢？我们可以在路由静态路由里面，我们把这个直接把它 添加上去，就默认添加一条默认录油。这个大家应该都熟悉啊，所以防火墙是有两种方式的。静态里面有两种方式来添加，这样我们又可以上网了。好，我们把它删除一下，待会来讲解下。一个。 好，静态已经讲完了。那我们来讲第二个动态。动态的话就很简单啊，就是说 如果你接到一个比较小的项目，他一般就是拉了一个光纤过来，猫猫是自动拨号的，那么你接在猫下面就可以上网了。那么我们只需要把方式设置成 dhcp。 好，等一会啊。好，可以看到已经获取到地址了 啊。静态录啊。 dhcp 的话，我们可以先测一下啊。你会发现他不需要写路默认路由的啊，也不需要写写什么网关。因为 dhcp 的话，他会自动的。嗯， 他会自动的生成一条默认录由，指向默认网关的。这是电器 cp 里面下发的，就跟我们平常 pc 去获取那个电器 cp 后，他也能够获取到网关的一个意思。 这个 dhcp 比较简单，就是说你工作中遇到的是 dhcp， 那么你就把模式选择。那么接下来最后一个就是 pppo 一。那么我们输入运营商给你的真实的账号密码啊。这里我就是测试的啊，就随便输入一个。这里 除了那个以外，我们还需要选一个东西。建议的话，这里大家把 mtu 养成一个习惯，改小一点，不然的话他有可能会封包。呃，就是那个分片，分片的话，那么对网络影响还是有点。那么点击确定 这里要稍微要等一会啊，已经获取到了一个一点五五了。然后注意的是，这里一定还啊。如果你改成拨号后， 他的那个安全区域是会变的，就变成没有选择。那么我们还需要把它改成一个 unchess。 这里晒。稍微等一会，他那个感的很 后，他需要重新拨号。好，已经重新获取到地址啊。好，这个时候你还是会上不了网的啊。因为他跟静态一样，我们需要手动去写 那个路由，他不会自动获取的。我们可以看路由表，里面根本没有一条什么关于啊，静态的。所以呢，我啊内默认的，我们需要手动的添加一下。 这个时候我们吓一跳，地址就不学了，因为他是一个拨号的，拨号的是没有吓一跳的，他只能选择接口啊。在外保界面里面注意啊，你他是不会显示那个拨号接口的， 那么我们选择的是物理接口，就是你用哪个号哪个口拨号，你就选哪个，那么我们选您。那么点击 确定。当这个好了后，我们我们可以观察一下他的在命令行里面展示的路由表，你会发现他实际的接口是指的是波浩宁， 而在键里面他会显示的出接口是物理口。而且你会发现拨号的还是有点复杂的啊， 有这么多秘密你在。如果你在外国配置的话，就简单的输入账号密码就好。好，这个时候好了，我们再来试一下啊，到外网通了。 好，这样就完成了整个三种方式。其实如果你需要，就是说你拿到一个项目，客 户说只需要你把它打通，也不在乎什么安全性，那么你就按按博主这样的简单配置就行。策略全部放行，然后配一个 dhcp， 然后 再配这个上网就好了。然后根据他到底是 dhcp 还是拨号还是说是固定的，然后这里来设置一下这个接口的几种方式就就可以了。这样的话正常的一个简单的网络就打通了。 一般这种小网络的话，可能下面就接了一，接了一台傻瓜交换机，然后让电脑上网，或者接一台三层的当傻瓜用，下面再接一些交换机啊，还有无线，这样就在一个简单的局域网就上网了，这种很常见的啊。 这三种组网方式啊，也没什么难度。主要的注意的是一个 静态跟 ppo 一拨号的时候是需要手动写默认陆游的，那么 djcp 一般是不需要写。然后安全区域，记得防火墙一定有。安全区域接口要划分，如果没划分的话你你会发现你 流量流量始终过不去。还有剩下的。其他的就没有什么需要注意的。一个是策略放行，然后做 nat。 嗯，这个的模拟器可以实现呢，所以我们用真机来演示了。就一个地方，配 dhcp 的时候， 这里会麻烦一点，需要手动在命令行里面先输入一下这个参数才能够配置，其他的就没有什么了。

　　啊啊，这个如同模式呢，他指的是路由模式三层模式是路通啊。路由模式二层呢，是交换模式。那我切换成交流交换模式。然后呢，我们去配置安全区域。安全区域呢，我们左边连接的是 trust 区域， 那我要引入把我这个接口一杠零杠零啊，加入到我的 body 区啊。对这里呢，我放行的尾单是 m 一啊，因为我在交换机上没有配置这个 vr， 默认都在 m 一下面。然后呢，我们再去创建 安全区，呃，叫 trust 区。嗯， trust 区啊，就是连接路由器这边。 那我们添加这个接口，一杠零杠一。那么同样啊，在这里呢，要放弃围栏一。配置完成以后，我们在这个防火墙上呢，去配置安全测量 啊。配置安全策略的话，我们去看一下。那创建两个规则。第一个规则呢，就是要放行 trust 区域到 on trust 区域的。呃，安全策略。第二个策略呢，是要放行 trust 区域到 on trust 区域到 trust 区域。所以呢，我们第一个策略的名称呢是 t two u 啊，原区域呢是 trust 区域，目的区域是 untrust 区域。激活啊 这个安全策略。然后我们再去创建一条规则啊，安全策略呢是 you to t 啊，就是 trust on trust 区到 trust 区的安全策略。园区呢，是 on trust 区， 目的区域是 trust 区域。激活这个安全测量。 那我防火墙呢，就配置完成啊，比较简单。配置完成以后，我们下面呢去配置路由器。首先我们去配置接口， 进入系统视图修改设备名称叫 r 一，进入接口零杠零。 在这个接口上，我配着 ip 地址幺九二零幺六八点十点二五四。这个地址呢，他会作为我们电脑主机的网关。那么在这里的话，我们要配置 a 呢，作为 ds cp 服务器啊，自动为 pc 一和 pc 二内部主机呢，去分配地址。 今根据企用 dhcp 的服务创建 dhcp 啊，它的一个 ipd 支持啊， ipd 支持的名称呢，是 power 十啊配置的网关呢，是幺加幺六八十点二五四。 配置的网段是幺九二零幺六八点十点零。昨晚赢码二五五点二五五点二五五点零。 gs 服务器列表八点八点八点八。好，我们配置完成以后。

　　哈喽，大家好，陈辉中小型企业网中防火墙该怎么配置？首先呢，防火墙对于中小型企业网而言，一般是扮演出口的角色，你要把它放置在整个园区的边缘，一个接口连接外网，一个接口连接内网。 那这个时候防火墙主要要配置三类东西。第一类就是把相关的接口加入到相关的安全的区域中去。第二点，通过安全策略来放行区域之间的通信流量。第三点，你需要做到 natpat 来实现内网访问，外网的 地址转换。最后一点，你需要一条静态墨尔路，由指向运营商来保证咱们园区网之间的联通性。我是六安闫辉，关注我，网络生涯不迷路。