3) untrust?local 和 local?trust 外网访问本地和本地到内网的策略,用于VPN,USG防
火墙把VPN接口视为本地(local)接口,所以要使VPN正常通讯,需要配置两条策略。 4) local?untrust 用于USG设备自身访问外网,本次用于特征库升级中心。
所有策略的当前配置都没有做附加的条件,但今后都可以进行自定义,比如可以定于允许访问的地址段、时间段以及可以访问的服务等。
由于本设备为综合安全网关,还可以在策略中附加安全定义,如防病毒、入侵防御、URL过滤等。但是加上这些定义后,网络速度会变慢一些,因为设备要花时间检测流量中的每一
- 26 - 个包是否包含这个特征信息。
每一个选项都可以进行配置,但一般用系统默认配置即可。下图为防病毒配置。
- 27 -
3.5.2 NAT策略
NAT策略即地址转换策略。一般来讲,访问公网时需要配置这个策略,因为运营商给的公网IP有限,所以必须把内网地址翻译成公网地址。本次实施共做了四条NAT映射策略,系统默认的策略为全禁止。
- 28 -
本次配置的NAT策略如下:
1) 内网到联通地址解析:内网访问联通地址翻译成联通地址池里的IP,随机使用。
2) 内网到电信地址解析:内网访问电信地址翻译成电信地址池里的IP,随机使用。
- 29 -
3) 本机到电信和联通地址解析,本次为升级安全服务配置
3.6 SSL VPN配置
本次实施创建了联通和电信两个SSL VPN接口: 联通访问方式: https://203.86.43.114
电信访问方式: https://60.247.91.198:5443 (因电信禁443口) 选择“网络—>SSL VPN”开始配置。
- 30 -
华为USG6630防火墙实施配置手册项目实操
