老管网络日志 | funpower's blog

配置一台全新的天融信防火墙NGFW4000，配置完后，内网用户10.10.1.0/24和10.10.2.0/24可以通过防火墙上网，外网用户可以通过访问防火墙的外网接口地址来访问内网的WEB服务器10.10.1.200，并且内网用户也可以通过WEB服务器的外网地址进行访问。

网络说明：
防火墙外网接口地址：218.90.123.121/30
防火墙内网接口地址：192.168.0.253/30
核心交换机防火墙VLAN：192.168.0.254/30
核心交换机用户群A的VLAN：10.10.1.0/24
核心交换机用户群B的VLAN：10.10.2.0/24
用户群A的默认网关：10.10.1.254
用户群B的默认网关：10.10.2.254
防火墙至出口的默认网关：218.90.123.122/30
核心交换机至防火墙的默认网关：192.168.0.253
内网WEB服务器地址：10.10.1.200/32（通过防火墙映射成公网地址）

简单拓扑图如下：

这里着重介绍的是出口防火墙的配置，从上图中可以看出，防火墙位于核心交换机至INTERNET出口的中间。我们首先需通过某种方式对防火墙进行管理配置。

1、连接防火墙
首先查看防火墙的出厂随机光盘，里面其中有个防火墙安装手册，描述了防火墙的出厂预设置：

管理用户
管理员用户名 superman
管理员密码 talent 或12345678
系统参数
设备名称 TopsecOS
同一管理员最多允许登录失败次数 5
最大并发管理数目 5
最大并发管理地点 5
同一用户最大登录地点 5
空闲超时 3 分钟
物理接口
Eth0（或LAN 口） IP：192.168.1.254/24
其他接口 Shutdown
服务访问控制
WEBUI 管理（通过浏览器管理防火墙）：允许来自Eth0（或LAN 口）上的服务请求
GUI 管理（通过TOPSEC 管理中心）：允许来自Eth0（或LAN 口）上的服务请求
SSH（通过SSH 远程登录管理）：允许来自Eth0（或LAN 口）上的服务请求
升级（对网络卫士防火墙进行升级）：允许来自Eth0（或LAN 口）上的服务请求
PING（PING 到网络卫士防火墙的接口IP 地址或VLAN虚接口的IP 地址）：允许来自Eth0（或LAN 口）上的服务请求
其他服务 禁止
地址对象
地址段名称 any
地址段范围 0.0.0.0 – 255.255.255.255
区域对象
区域对象名称 area_eth0
绑定属性 eth0
权限 允许
日志
日志服务器IP 地址 IP：192.168. 1.253
日志服务器开放的日志服务端口 UDP 的514 端口
高可用性（HA）关闭

从中可以看出，管理口为ETH0口，地址为192.168.1.254，我们将一台电脑直接与ETHO接口相连，然后配置一个192.168.1段的地址，然后在浏览器上访问https://192.168.1.254，就进入了WEB管理界面（如出现安装证书问题，直接点继续浏览此网站），如下。

2、配置防火墙接口
将ETH1配置成外网接口，ETH2配置成内网接口，依次选择左边菜单的“网络管理”->“接口”，在ETH1接口一行点击最后的蓝色图标，如下图，进入ETH1接口配置模式。

然后输入外网地址，接口模式为“路由”，最后点“确定”，如下图。

同理，将ETH2接口地址设置成内网地址：

3、路由配置
这里有两种路由要写，一是至外网出口的默认路由，下一跳为218.90.123.122，还有一种是至内网核心交换机的回程路由，共有两条，下一跳都是指向192.168.0.254。
依次选择左边菜单的“网络管理”->“路由”，然后点击“添加”，添加一条至外网的默认路由，如下。

再依次添加两条回程路由：

这样，出去的路由有了，回去的路由也有了。

4、访问控制
默认防火墙是阻止所有经过的包，所以需对访问控制项进行设置。
点击菜单的“防火墙”->“访问控制”，点击“添加”按扭，如下图就出现了添加窗口，在源窗口和目的窗口均选择“ANY[范围]”，“服务”不选（包含所有服务），“选项”默认，直接点击确定。这样，就允许所有的数据经过防火墙了。当然，可以通过详细的设置来控制不同网段的电脑，这里就不在叙述了。

5、配置地址转换（NAT）
首先新建“区域”，选择菜单的“资源管理”->“区域”，点击添加，将内、外网的区域新建好。

下来配置源地址转换，选择“防火墙”->“地址转换”，点击添加，选择“源地址”转换，在源选项上，将“高级”的钩打上，然后将“neiwang”移至“已选源AREA”，如下图：

在目标选项上，将“高级”的钩打上，然后将“waiwang”移至“已选目的AREA”，如下图：

在“服务”选项上，不选择任何服务，这样就表示包含所有服务。

在“源地址转换为：”选项中，选择“ETH1[属性]”，如下图。

配置到此，内网用户已经可以通过防火墙上INTERNET了。接下来配置目的地址转换，让外网的用户可以访问内网的WEB服务器10.10.1.200。

6、内网WEB服务器映射
选择菜单“资源管理”->“地址”，选择添加，将10.10.1.200添加至地址栏中，命名为www-server，如下图。

然后选择“防火墙”->“地址转换”，选择添加，弹出对话框，然后选择“目的转换”选项，在“源”选项上，选择“ANY”：

在“目的”选项上，选择“ETH1”：

“服务”选项不选，“目的地址转换为”选择刚才新建的“www-server”地址，“目的端口转换为”选择“不转换”，如下。

这样，外网用户通过浏览器访问防火墙外网接口的地址时，就可以浏览到内网10.10.1.200网站服务器上的内容了。

最后点击页面右上角的“保存配置”按扭。

用一晚上下载了Windows7.7600.16385.RTM.X86.DVD.iso镜像。2.6GB。今天晚上开始安装，安装Windows7旗舰版只花了12分钟就完成了。界面比VISTA还花哨。但效果很好。安装占用10G空间。内存使用560MB左右。

安装机器的配置（07年1月份组装的机子）：

CPU：Intel Pentium D 820, 2800 MHz (14 x 200)
主板：华硕P5PL2
内存：金士顿533 1G*2
硬盘：希捷160G
显卡：七彩虹 GeForce 6600 LE (256MB 128Bit)
显示器：三星 SyncMaster 740N [17″LCD]
光驱：明基DVDROM 165N (16x)
键盘鼠标：微软光电套件
机箱、电源：富士康489+动力火车节能至尊
音箱：创新SBS2.1 350value

安装方法网上也都有，大至有四个方法。我是从windows xp安装windows7，所以选择如下安装方法：

1、下载windows 7 7057ISO镜像(RC或RTM)，用虚拟光驱拷贝至非C盘(如D:7057) :
2、把D:7057目录下的bootmgr和boot目录(其实只要里面的boot.sdi和bcd文件)拷贝到c盘根目录下,并在C盘根目录下建个sources文件夹。(XP下不需要取得管理员权限)
3、把D:7057sources下的boot.win复制到C盘刚建的sources文件夹
4、用管理员身份运行cmd，然后输入c:bootbootsect.exe/nt60 c: 提示successful(即成功了!)
5、关闭cmd窗口重启计算机，自动进入安装界面，选择安装语言，同时选择适合自己的时间和货币显示种类及键盘和输入方式
6、出现“开始安装界面”，(要注意了，不点击“现在安装”)点左下角“修复计算机”(repair mycomputer)，进入”系统恢复选择”，选择最后一项”命令提示符”(commandprompt)，进入DOS窗口
7、输入“D:7057sourcessetup.exe“(不带引号)，开始安装
8、选择安装语言、格式化C盘，就OK了 

桌面：

“我的电脑”属性：

任务管理器：

刚从迅雷网站上下载的最新版，界面很炫：

IE8.0下的BLOG后台：

windows7下设置共享文件夹，首页右击需共享的文件夹，选择共享->高级共享，设置共享。再继续点击最下面的“网络和共享中心”的链接。

打开“网络和共享中心”的链接后，出现的对话框中确保所有的共享功能都是启用状态，唯独在“密码保护的共享”一栏中关闭密码保护共享。这样，WIN XP的用户才能访问所共享的文件夹。

总体感觉，windows7不错，准备使用一段时间了。只是安装完后只能试用30天。还能用，先不管了，等过了二十几天再看看，因为目前没有比较完美的注册方法。

一直使用的SecureCRT 5.0.5 Build 1078中文特别版，由于新版本的一些功能对实际工作有帮助，就升级了一下版本。使用的是“绿色软件联盟”提供的SecureCRT V6.2.2.263 汉化绿色特别版 (下载地址2）。直接将文件夹放置在d盘programfiles下，然后运行程序。

主界面：

指定SecureCRT的配置文件路径，选择“选项”->“全局设置”，在“常规”的配置文件夹一项中指定配置文件的路径，一般为软件所在的路径，如下。

接下来，将原来版本中的Sessions（会话）拷贝至现在版本的根目录下，再次打开SecureCRT，就出现原来的快速启动快速链接页了，如下。

我的blog在江东组织的bluehost合租主机上已经两年多了。稳定性不错，就是国内访问速度慢了些，而大多的访问者都是国内的朋友。所以一直想把空间搬回国内来。以前买了个盘古网络的主机，但速度一直不理想。结果就打消了这个念头。

最近无意间看到了“WopusIDC平台”，而且我一直访问的“黑莓时光”的BLOG也在这主机上。给我感觉访问速度都不错。而且又碰到他们的夏季活动。65元一年。空间150MB。我的BLOG大小在54MB，短时间空间肯定够的。性价比不错（具体配置及价格）。所以直接就联系卖家然后买了一年的服务。

试着ping了一下，ping原来bluehost的主机IP，在223ms左右。ping WopusIDC平台的主机IP在13ms左右。

昨天晚上开始安装wordpress，然后数据库的导入、uploads文件夹的导入，以及其他相关设置。终于完成了搬家任务。

创建VLAN100，名称为server_group：

enable
set vlan 100 name “server_group”

删除VLAN：

enable
clear vlan 100

设置端口2/1为VLAN100

enable
set port vlan 2/1 100

设置端口2/2为TRUNK，并允许所有VLAN通过：

enable
set port trunking-format 2/2 ieee-802.1Q
set port vlan-binding-method 2/2 bind-to-all

去除端口2/2/的TRUNK属性：

enable
set port trunking-format 2/2 clear
set port vlan-binding-method 2/2 static

设置VLAN100的三层接口地址：

enable
interface “server_group”
ip address 10.2.2.254 255.255.255.0

去除VLAN100的三层接口地址：

enable
no interface “server_group”

设置端口2/3是否自协商：
开启

set port negotiation 2/3 enable

关闭

set port negotiation 2/3 disable

设置端口2/3全双工、半双工：
全双工

set port duplex 2/3 full

半双工

set port duplex 2/3 half

设置端口2/4速率：
千兆

set port speed 2/4 1000

百兆

set port speed 2/4 100

设置默认路由192.168.10.253：

enable
ip route 0.0.0.0 0.0.0.0 192.168.10.253 1 low

设置静态路由，去往32.0.0.0/8的网络的下一跳为192.168.11.253：

ip route 32.0.0.0 255.0.0.0 192.168.11.253 2 low

产品图片：

今天才知道安装一个插件就可以启用WAP版了。

插件名称：WP-T-WAP。下载后上专至/wp-content/plugins/目录下，然后在后台启用即可。如果你的BLOG地址为http://a.com，则WAP地址为http://a.com/wap。

我的手机版地址为：http://guanjianfeng.com/wap。

这篇文章很详细，想体验的朋友可以参考一下。

终于支持中文了。版本为0.9.0.125。

下载地址：http://blackberry.svn.wordpress.org/nightly/

昨天知道wordpress出了这个插件。立即安装测试。希望下个版本尽快解决中文问题。

本文即通过此插件发布！

测试。blackberry.