网络设备正确玩法-防火墙代替路由器（3）网络规划和配置

1，网络规划

网络规划设计，是网络最重要的部分，也是最应当花时间的部分。有哪些业务，如果满足这些业务需要，瓶颈在哪里，网络地址怎么划分的，接口怎么连，如果这些不去想好规划好，肯定会走很多弯路。

好比烧一样小菜，找合适的网络设备是找主食材料，网络规划设计就像写菜谱，网络实施配置就是下锅炒菜，网络测试就是试吃味道，网络上线就是正式上桌。菜谱写的好，写的详细，就是初级厨师来做，也能依样画葫芦把菜做成，最多也就菜色差那么点。

1.1，IP网段规划

一般内网采用约定的私有地址，C类私有地址为192.168.0.0-192.168.0.255.255，C类网段以24为子网掩码划分，即掩码255.255.255.0。网络设备通常出厂初始就配有IP地址，以方便登陆及操作，一般最常用的为192.168.1.0/24网段。为了避免多设备默认这个网段冲突，建议可选其他网段规划为内网地址，255个C类网段可选。光猫网段不做更改，保留192.168.1.0/24，其他网段见下表。

1.1网段规划

1.1网段规划

1.2，IP地址分配

根据网段规划，对设备上配置的地址进行详细分配，有些网段开启DHCP，则自动分配。一个二层广播域只能有一个DHCP，否则会冲突。

地址分配

地址分配

1.3，物理连线

物理连线整理成表格，对实施和配置都会带来很大的方便。当然有条件，能打印网线标签，就更好。

连线表

连线表

1.4，网络拓扑

网络拓扑也是很重要的，更为直观清晰。

这里光猫没有使用桥接，还是使用默认的三层转发，同时把无线功能关闭了。主要懒的弄，光猫DMZ转发到防火墙外接口也能用所有服务。

AP1和AP2都是无线路由器，已关闭无线路由器的DHCP功能，连线到内网LAN口，这里当AP使用。

拓扑图

拓扑图

2，防火墙配置

按网络分层次，由底层到上层，一层物理层搞通，二层链路层协商成功，三层IP直连接口互相ping通，路由和策略添加完成，不同网段ping通，应用主机测试联通性，最后冗余切换测试等。

2.1，接口internal（LAN）

这里internal即我们通常说的内网LAN，在别的防火墙也有称为trust或inside，反正大致是一个意思。

网络--->接口--->internal

在需要的修改的接口上双击编辑，后面就不再重复怎么修改其他接口了。

2.1.1

2.1.1

IP改成192.168.9.254，掩码255.255.255.0，用最后一个地址网络的网关地址，存粹是工作习惯，如果大家习惯用第一个地址192.168.9.1也可以，但后面分配的DHCP需要排除这个地址。

内网接口上关闭不必要的服务，可保留https，http，ssh，ping。

DHCP同时需要更改地址，起始地址和终止地址，只要不冲突即可。这里1-99足够用了，这样100以上就可用于手动分配给固定的静态IP地址。

2.1.2

2.1.2

修改确认后，DHCP改变，PC需重新获取IP，可在命令行执行ipconfig /renew刷新，或直接拔网线重插。

2.1.3

2.1.3

2.2，接口WAN1

这里wan口有些防火墙也叫untrust或outside接口或区域

网络--->接口--->wan1

地址模式改为自定义

IP改为192.168.1.250，掩码255.255.255.0。

外网接口上仅保留ping服务，如果想开http或ssh那就是给黑客送人头啊。

2.2

2.2

2.3，DNS

域名解析必须配置，可用运营商分配的，也可用自己熟悉的，这里用阿里的。如果需要也可启用DDNS，自己网上找找资料。

DNS服务器：设定

首选DNS：223.6.6.6 //填自己熟悉稳定的DNS服务器

背选DNS：223.5.5.5 //填自己熟悉稳定的DNS服务器

本地域名： FG //此处随便输入名字

2.3

2.3

2.4，静态路由

默认路由即告知防火墙，默认数据往哪个接口扔出去，显然是网互联网出口，接口下一跳地址，就是光猫的内网IP 192.168.1.1。

网络--->静态路由--->新建

2.4.1

2.4.1

动态网关：关闭

目的：子网

0.0.0.0/0.0.0.0

网关地址：192.168.1.1

接口：wan1

2.4

2.4

2.5，安全策略

防火墙与路由器最大不同就是需要配置安全策略，根据策略检查进出数据流，对未明示的允许的流量，则最后一条策略默认deny。如果感兴趣可以网上找下资料，大部分就是基于包状态的防火墙，有些新的墙也有基于应用特征的。

策略&对象--->IPv4策略

默认已经开启了2条策略，1，内到外接口流量，且做了地址转换NAT。2，其他任何跨接口流量deny。

如果仅上网，这2条策略已经够了。如果想控制更明细到单台设备，网上可以找点资料研究研究，这里就不详细说了。

2.5

2.5

附一张包状态防火墙的示意图，可大致看下对TCP流量协商的检查原理。

3，测试监控运维

3.1，测试

测试是检验的完成的唯一标准，防火墙上测试外网是否可达到，再测试笔记本是否可正常上网。

如果防火墙自己ping外网是好的，说明防火墙到光猫这一侧，配置没有问题。

直接ping百度网址，有返回包，可确认防火墙的路由和DNS解析配置正确。

3.1.1

3.1.1

笔记本测试网站访问，大功成功！

3.1.2

3.1.2

3.2，监控

接口流量监控

3.2.1

3.2.1

会话监控

3.2.2

3.2.2

访问监控

3.2.3

3.2.3

3.3，运维

配置备份、恢复

3.3.1

3.3.1

重启、关机

3.3.2

3.3.2

4，总结

疫情在单位值班两周了，自热饭方便面吃到吐了，无力吐槽。无聊拿台机器重新配置了下，这机器还是不错的，性能强，价格低，功能多除了科学上网外。值得买老是推软路由文章，应该走走网络硬件这条正规路了。

后面大概写下SSL-VPN配置，这个对家用环境超有用，其他自带的DDNS之类网上教程很多，自己看看就能配了。渴了，喝口水去。