后台信息初始配置只完成一个内网接口和一个外网接口的配置。如果规划更多分区，比如服务器区，客人区等。您需要配置接口和安全区域。 　　

　　

　　步骤1:如果您需要基于默认安全区域自定义安全区域，请选择“网络安全区域”创建一个新的安全区域。 　　

　　

　　 　　

　　

　　该接口可以在此步骤中添加到安全区域，也可以在接口配置界面中进行配置。 　　

　　

　　2.选择“网络接口”,根据网络规划配置其他接口的IP地址和安全区域。 　　

　　

　　连接一般服务区的接口被添加到dmz安全区；内部和外部接口加入信任安全区；外部网络接口加入不可信安全区域；如果还定义了安全区域，则将相应的接口添加到安全区域。 　　

　　

　　 　　

　　

　　 　　

　　

　　“启用访问管理”用于控制访问防火墙的协议类型。例如，如果您通过HTTPS或SSH登录防火墙，您需要启用HTTPS和SSH协议。例如，如果您需要Ping防火墙接口来检测连通性，您需要启用Ping协议。 　　

　　

　　配置安全策略背景信息配置接口和安全区域后，您需要配置安全策略以允许流量通过防火墙。此外，安全策略允许的流量并不意味着没有威胁。您还可以参考入侵和病毒检测安全策略中的内容安全配置文件。 　　

　　

　　此处配置的安全策略用于防火墙的在线操作。在保证防火墙能够正常工作后，需要根据日志和业务情况不断调整，使防火墙更好地保护网络安全。 　　

　　

　　下面给出的安全策略配置只是一个示例，请根据实际的流量交换要求进行配置。匹配条件越精细越好，以避免防火墙释放过多的流量。 　　

　　

　　步骤1:选择策略安全策略安全策略。 　　

　　

　　2.配置允许外部网络用户访问内部网络的Web服务器10.2.1.5，并参考默认入侵防御配置文件来检测流量威胁。 　　

　　

　　 　　

　　

　　3.继续配置其他安全策略。省略了这些步骤。 　　

　　

　　配置NAT背景信息在初始配置中，快速向导会自动生成源NAT策略，将Internet流量的源IP转换为公共网络接口IP。您可以直接使用它或修改配置。另外，当企业有服务器供外部用户访问时，也需要配置NAT服务器，将服务器的私有IP地址映射到公有IP地址。 　　

　　

　　步骤1:配置源NAT。源NAT有两种地址转换方法： 　　

　　

　　地址池法：如果有多个公网地址可以使用，一般采用地址池法。这种方法需要创建NAT地址池来限制可用的公共网络地址范围。 　　

　　

　　出接口地址方式：如果只有防火墙公网接口上的公网地址，一般采用出接口地址方式。这样内网PC直接借用公网接口的IP地址接入互联网，特别适合公网接口IP地址不动态固定的情况。 　　

　　

　　a、可选：选择策略NAT策略NAT策略源转换地址池来配置公共IP地址池。 　　

　　

　　 　　

　　

　　B.选择“策略NAT策略NAT策略”来配置源NAT策略。 　　

　　

　　地址池源NAT需要引用地址池；出接口源NAT不需要指定地址池，直接将snat作为报文出接口的IP地址。 　　

　　

　　 　　

　　

　　2.配置NAT服务器(服务器映射) 　　

　　

　　A.选择“策略NAT策略服务器映射”。 　　

　　

　　B.创建新的服务器映射。 　　

　　

　　 　　

　　

　　激活许可证背景信息防火墙的一些高级服务是由许可证控制的，所以如果需要使用，要先激活许可证。 　　

　　

　　防火墙支持在线激活许可证和手动激活许可证： 　　

　　

　　在线激活不需要导入许可文件，只需在发货附件中找到许可授权证书，获取授权码(授权ID)，然后-连接许可中心即可激活。前提是要确保已经建立了访问外部服务通道的防火墙，这样防火墙就可以 　　

“系统 > License管理”。
2、根据需要选择激活方式。
在线激活

　　

　　

手动激活

　　

　　

升级特征库前提条件已经建立防火墙访问外部服务通道。

　　

已经购买并激活特征库升级服务License。

　　

背景信息升级最新的特征库可以识别更多的应用、病毒和威胁，提高系统的安全防护能力。

　　

有三种方式可以升级特征库：

　　

定时升级：设定设备在特定的时间自动连接安全中心进行特征库升级。注意避开业务高峰期，以免影响业务。立即升级：设备立即连接安全中心进行一次特征库升级。本地升级：从安全中心isecurity.huawei.com下载特征库文件，手动上传到设备升级。适用于设备不能直接连接Internet的情况。建议在初次使用防火墙时进行一次立即升级，然后配置定时升级，使设备特征库及时自动更新。

　　

操作步骤1、选择“系统 > 升级中心”。

　　

2、依次单击每个特征库对应的“立即升级”按钮，进行一次升级。

　　

3、立即升级完毕后，依次单击每个特征库对应的“定时升级时间”，配置定时升级时间。建议将时间设置为晚上业务流量较少的时候。

　　

配置高级业务现在防火墙已经接入网络，并具备基本的安全功能。下一步您可以开始配置其他高级特性，以下列举一些常用特性，具体配置请查阅产品文档。

　　

双机热备： 部署两台防火墙进行备份，实现在一台防火墙故障时，另外一台防火墙能够迅速接替故障防火墙的工作，保证业务流量不中断。VPN： 防火墙支持IPSec VPN、SSL VPN、L2TP、GRE等多种VPN，满足分支互联、移动办公需要。智能选路： 当企业通过多ISP接入Internet时，防火墙提供动态、静态智能选路功能，按照管理员配置的选路方式调整流量分配，最大化利用链路资源。用户认证： 主机动态获取IP地址、同一主机多人登录，基于IP地址的策略控制无法针对具体的人。防火墙提供用户认证功能，对认证通过的用户进行权限管控。内容安全： 基础安全策略只控制是否放行流量，防火墙提供内容安全功能，针对放行的流量深度检测应用层数据。内容安全功能包括入侵防御、反病毒、URL过滤、文件过滤、内容过滤、邮件过滤等。加密流量检测： 越来越多的应用流量采用加密传输，需要配置加密流量检测功能对SSL流量进行解密再执行内容安全检测。带宽管理： 企业购买的带宽有限，带宽管理功能提供带宽限制、关键业务带宽保证等功能，提高带宽利用率。配置日志功能持续监控流量日志记录对监控网络安全性、监控业务运行状态、监控防火墙运行状态至关重要。管理员定期分析日志，调整防火墙配置，确保防火墙对网络的持续保护。

　　

防火墙支持会话日志、流量日志、策略命中日志、威胁日志、系统日志等丰富的日志类型。表1-3列举常用日志类型，更多信息查阅产品文档。

　　

表1-3 常用日志类型

　　

日志类型

　　

作用

　　

配置方法提要

　　

会话日志

　　

报文经过防火墙处理后会建立会话，会话日志记录了连接信息，主要用于故障定位和溯源。会话日志只能输出到日志主机查看。

　　

选择“系统 > 日志配置 > 日志配置”，配置会话日志主机IP地址及日志格式。一般使用缺省的二进制日志格式即可。在安全策略编辑界面中，设置“记录会话日志”为“启用”，匹配此条安全策略的会话都会记录日志。

　　

流量日志

　　

流量日志记录了到达或通过防火墙的流量信息，流量日志有助于分析网络流量组成，为进一步调整安全策略提供输入。

　　

这几类日志属于业务日志，可以在Web界面查看，也可输出到日志服务器查看。这里只给出在Web界面的查看步骤。在安全策略编辑界面中，设置“记录流量日志”、“记录策略命中日志”为“启用”，匹配此条安全策略的流量记录流量日志和策略命中日志。选择“监控 > 日志”，查看流量日志、策略命中日志、威胁日志。

　　

策略命中日志

　　

策略命中日志记录了命中安全策略的流量情况。可以从策略命中日志中了解哪些流量命中了指定的安全策略，从而验证安全策略是否达到了预想的效果。

　　

　　

　　

威胁日志

　　

威胁日志记录了防火墙检测到的入侵、病毒、DDoS攻击等威胁信息，帮助了解网络中的威胁事件。根据威胁日志，可以调整防火墙的安全防护配置、隔离攻击源。

　　

系统日志

　　

系统日志也叫Syslog日志，记录了系统运行过程中所产生的日志，用于了解设备是否正常进行。

　　

系统日志可以在Web界面、CLI终端、日志服务器等查看。这里只给出在Web界面的查看步骤。选择“监控 > 日志”，查看系统日志。