USG6000配置ipsec

大家好，我是精彩网络技术，今天呢我们为大家讲解啊， usg 啊，六千微防火墙来配置啊，点到点的一个 absect 啊，一个 vpn 的隧道， 在这里面，我们先看一下啊，这个 top 呢，左边呢是我们其公司的总部， 那么右侧呢是我们公司的分布啊，这两个网络呢，它都是四网啊，都是四网，中间呢是利用互联网将两个公司进行连接，但是呢我们现在需要呢，就说，呃， p c 一这边呢，我希望去访问公司分布的啊， p c 二， 那么我们这样的话，我们需要丝网与丝网之间的一个通信，但是丝网与丝网通信的话，我们需要去借助 ipsak 啊，就说我们在互联网上啊，就从防火墙的这个一点一点一啊，到这个对端的二点二点二点一，中间呢我们要建立一个 ip ipsak 隧道，这样的话，我们 pc 到 pc 二的流量呢，他经过这个隧道以后呢，再到达我们这边 pcr， 当然因为 ipc 隧道呢，他可以对进入隧道的数据呢进行安全加密，这样的话可以防止啊， 进行加密以后呢，呃，我们的数据呢，他可以达到一个加密，还有完完整性，真实性，防重放的这样的效果啊，这样的话来减少啊，即便是被我们一些敏感的数据，被被其他窃取到的话，他也是没办法 啊。看到了，那么我们下面呢来看一下这个配置是如何去配置的，那么我们在这里呢，先看一下左侧公司总部，那么公司总部防火墙连接到我们的交换机啊，交换机连接到我们电脑主机 pc 的 ip 呢是幺幺二点幺六八点十点一， 那么防火墙的这个接口就是幺九二点幺六八，十点二五四这个接口 ip 呢来作为 pc 的网关 啊，防火墙的右侧呢是一点一点一，这是一个公网地址啊。 br 一呢是啊，互联网上的一台路由器，右侧呢是二点二点一，那么内侧的这个幺九二点幺六八点二十点二五四呢来作为 pcr 主机的网关。 那我们首先呢来看一下这个是如何去配置的。那么我们首先呢来看一下，我们把 互联网中间呢，它只是一台路由器啊，我们这台路由器的话，我们只要只需要给它配置相应的 ip 就可以。我们先配置 ar 机， 进入系统识图，修改设备名称 ar 一进入记忆零杠零杠零接口配置 ip 地址呢是一点一点一点二点满二十四位。 然后呢再进入到接口记忆零杠零杠一地址的 ip 地址呢是二点二点二点二， 年满二十四嘞。好，这样的话，我们只需要其实呢就是防火墙的这个外网口啊，那我们这个接口一点一点一啊，指定我们对端啊，就是一点一点二呢作为这边接口的 网关。那么右边这个防火墙啊，就是二点二点二点一这个接口啊，指定他的呃，网关呢是二点二点二，机械这样的话就可以实现啊，一点一点一到二点二点一之间的一个通行。 那我们先呢来看一下我的防火墙如何配置。首先呢，在防火墙的内部啊，我们设置到他的一个区域是 across 的区域 啊， trust 的区域啊，它是一个授信区域，而我们互联网这边的区域呢，它是一个 oncast 的区域 啊，然后对右侧这边呢也是这样的情况，就说公网这边呢是 on trust 区域，那么内网呢是 trust 区域，我们先把这个区域呢给它规 画上，规划好以后呢，我们把接口啊，配置 ip 啊，设置相应的安全区域。好，我们这样的话，我们用网页的方式来配置，首先呢我们已经连接到啊，就是本地电脑已经通过幺九二幺六八幺三七点幺，这是我本地的 啊，虚拟网卡已经连接到这个防火墙上面啊，当然第一次要配置防火墙的话，我们首先呢还是要进防火墙 啊，它的缺省的密码是 a b m l n t 一二三，第一次使用防火墙的时候呢，要修改一下密码，输入它的缺省密码，然后呢 我们把它修改成一个新的密码， admi 三四五六对，确认一下新密码。 好，那么我们进入到防火墙以后呢，进入系统视图进入到，那么我们通过这个云朵连接到这个接口 d 零杠零，这个接口 ip 呢，我们给它配置成幺点二点幺六八点幺三七点二， 和我的本地还会网卡呢，是同一个地址，同一个网段的地址。然后呢这个接口呢，我们要去配置他的一个 https 的权限，这个权限主要用于我们浏览器通过幺九幺六八幺三七啊点二呢进行登录到防火墙。 好，那么右侧这个呢，我们再继续给他做一个简单配置进入，呃，用户名是 a d m i n， 密码呢是 a d m l h e 二三，第一次使用修改密 对吧？ 好，修改完以后呢，我们进入系统视图修改，进入到记忆零杠零杠零的接口配置， ip 地址呢？这边是幺九二零幺六八点幺三八点二，连满二十四位 啊，去开启 https 的这个权限。好，开启完以后呢，我们防火墙呢啊，我们就可以通过浏览器的方式来进行登录， 我们打开浏览器，呃，我们先登录啊，第一个啊， h t t p ps， 幺九二点幺六八点幺三七点二啊，端口号是八四四三点高级点继续访问，这样的话我们就进入了第啊左左边的第一排防火墙，用本名和密码输上， 我们登录到防火墙里面去，然后呢取消确定，同意确定。那么在这里我们先来观察一下啊，那么我们内网可能是记忆一杠零杠零这个接口 ip 地址是幺九二幺零八十点五四啊，外网口是记忆一杠零杠一这个接口啊， ip 地址是一点一点一点一，我先呢在这个网络里面的接口里面去设一下，呃 啊，这是内网口是吧？内网口，我们配内网口的话，他的左手区域呢是 trust 区域，内网口 ip 呢是幺九二点零六八点十点二五四，野马，二十四位野马，好，确定，那我们再来看一下他的外网口， 这个呢是外网口，外网口的话所处在的安全区域是 on trust 啊，一点一点一点一啊， ip， 当然他有默认网关啊，就是一点一点一点二，就是对面路由器的接口的那个 ip 啊，配置网关以后呢，我们就不需要配缺省路由。 好，那么我们下面呢，我们再来看接口啊，配完了，配完以后呢，我们就要去配置安全策略啊，去配置安全策略，那么因为我们 用的是 ip sec 啊，要就说在防火墙与防火墙之间呢，建立 ip sec 这个隧道，建立这个隧道的话，我们呢他有四个安全策略，这个呢需要注意啊，第一个呢就是 trust 的啊， trust trust 呢就是指的我的内部的啊，内部的这个售进去，比如说我 p c 要访问 p c r， 那么对于这个防火墙来讲，这边内部呢就是 trust 区域，而因为他从工往出去的啊，所以外部呢他全部变成 r trust， 真的我要开启幺九二点幺六八十点二啊，十点零这个网段去访问目标地址，幺九幺六八二十点这个网段的安全策略，这是第一。第二个的话就是 ontrust 到 trust， 就是因为我们去的包，它还有返程的包， 对吧？那么返程的话就是 on trust 到 trust， 那么也就是原地址呢，就是幺九二点幺六八二十点零这网段到我这个 pc 幺九二点幺六八啊，二十啊十点零这个网段， 那么要注意啊，就是我 pc 一到 pc 二的流量，或者是 pc 二到返回到 pc 一的流量，他是进入到我的这个 ipsec 的这个隧道里在通行啊，因为在这个隧道里通行的话，那么我们是对这个数据呢要进行加密啊，进行加密， 那么还有呢一个 local 到 unchart 区域的一个安全策略，那么在这里呢，呃，我们就说这个口啊，记一个啊，一点一点一点一，那么要访问对的二点二点一啊，这个呢 是建立隧道的啊，啊，一端是吧？一端在一点一点一，另外一端呢在二点二点一，这样的话一点一点一呢，对这个网络，对我的防火墙来讲呢，他就是一个 lock 的区域，那么这边的另外一个二点二点二的区域，这边呢就是昂昂创的区域，要放心他的一个安全策略， 同时呢要放心二点二点一的啊，到我这个一点一点一啊啊的一个安全策略，这样来建立策略呢，实际上呢，因为我们在这里面呢还涉及到因为建创建这个 epsic 的隧道的话，他会使用的这个 udp 的协议啊，就是五百，那么我们要通过这个啊，在我们其实呢在创建 epsic 隧道的时候呢，首先呢要他要建立一个 i k e 啊啊 i k e 啊，那么 i k e 的一个啊安全联盟，然后呢创建好 i k e 的安安全联盟以后呢再创建 apathetic 的安全联盟，然后两个安全联盟呢两个阶段全部 建立通了以后呢他们才能进行真正的通信。 r k e 呢，主要进行一个啊，就是在我们不管在这个互联网上不安全的网络上呢，去创建一个安全的一个 r k e 的一个 啊隧道啊一个通道，这个 i p e 呢主要来生成啊，我们 i p sac 它所适用的这个加密的密药 啊，加密的密要，所以呢这是第一阶段，第二阶段的话就是我们把生成的啊通过 i k e 生成的这个呃密要呢用于 apsec 的对数据呢进行加密啊，比如说我们的一也 sp 啊，那么对数据呢进行啊分装啊，进行加密加解密。好，我们下面呢来看防火墙是如何去配置的？ 那么首先我们直接去配置策略了，配置策，安全策略呢？我们新建，刚才我们给大家讲的要配四个安全策略啊，第一个呢就是 trust 到 on trust 这个，那么原地址的话原安全区域，那么就是 trust 区域，物理安全区域呢是 on trust 区域，原地址呢是，就是我左边的这个丝网的这个地址啊，幺九幺六八十点零 啊，这个地址 p c 一啊，这个网段目的地址呢是我对端的啊， p c r 的啊，网段要价一百二十点零。好， 然后呢我们去放行他的一个安全策略，就是另外一个呢，我们还要去创建呢， t to you 啊， you to t 啊，就是原安全策略呢，就是 across 的 目的 i 目的区域呢是 trust 原 ip 原地只能是幺九二幺六八啊，就是 p c 二的这个网段的地址来访问我 p c 一的啊，幺九二点幺六八啊，点十点零，这个网段的地址。 好，然后呢我们请确定啊，那么在这里呢还有两个啊，一个呢是本地 locker 到 untrust 去，那么也就是原安全区域是 locker 目的安全区域呢是 untrust， 原地址呢就是我从我这个防火 强的一点一点一啊，然后呢它是一个三十二倍的啊，野马，这样的话代表是从这个接口出去啊，本地路由器这个防火墙接口出去，我要到达二点二点一啊， 好，这样的话我们设置好了，然后点确定，那么我们还需要去配置安全侧面就是 untrust 到 lock 这个区域，原来语言区域呢是 untrust， 目的区呢是 lock， 然后呢原地址呢是二点二点二，点击三十二位的眼码， 然后本地呢是一点一点一点一，三十二度的一点码，好点确定，然后呢我们再点进去，这样的话安全 策略我们就配置完成，配置完成以后，那么其实我们左边呢，我还需要去配置啊，去配置什么呢？要配置 ipsyk， 在网络里面呢，我们去配创建这个 absec 的隧道，那么我们点新建 absec 在这里面呢，我们场景呢是点到点啊，因为我们对端防护墙，本端防护墙连接到对端防护墙，点对点， 那么策略的名称的话，我们去写一个 ipsyk 啊，这样的一个名称就行。本端的端口是我的出接口 啊，我的出接口，那么对端的话是二点二点二点一啊， 也就是我们看一下啊，对端的话就是二点二点一啊，这是我的对端借口，这是我的本端借口。 好，然后愚公享密要这个呢，就是两边的密，密要呢要，必须要一致，那我的密要写的是华为啊，小写的华为本端地址一点一点一点一，对端呢 ip 的话是二点二点二点一。好， 这样的话我们把这个这边设置好以后呢，要带加密的数据流，就说因为我们其实通过这个里面的话，也就说我 pc 一的流量要去访问 pc 二的流量，那么我这个流量肯定是在经过隧道， pc 隧道走，他是加密的隧道加密的流量， 那么那么如果我去访问互联网，比如说我 pc， 我希望去访问互联网的某一某一个主机，那我要上网，是吧？这个呢就不需要加密了，不需要在这档里跑，所以呢我在这里呢还要配 地址，带加密的数据流，那么原地址呢，就是我幺九二零幺六八 p c 一的这个网段，然后目的网段的话就是 p c r 就是分公司的这个主机， 二十点零野马的话是二十四。好，然后呢协议呢？是所有协议啊，那是加密啊，动作是加密好， 第三步呢，我们要设置安全提议啊，点高级啊，在这高级里面的话，其实这里面他都已经有默认值啊 啊，我们呢可以直接打勾啊，那么当然我们啊直接用默认也行啊，在这里面你看 i k 有两个版本啊，那么呃都行，那么这里面呢，你看有加密算， 比如说协商模式你要设，如果要设置的话，你两边必须要设置成一样的啊，两边的模式要设置一样的加密算法的啊，有算法也要保持一致，认证算法要一致， 还有完整性的算法，还有各种算法啊，那么 dh 这个命要的交换组啊，还有下面的这些分装啊，传输模式或者隧道模式 分装好，默认的话都是 e s p e s p 指的是加密啊， a h 呢，它只是验证头部，它是对我们传输的，具体的数据呢，不会加密啊，所以呢啊，一般情况下的话用 e e s p 啊，这是 e s p 的加密算法， 什么认证算法等等，我们点应用就行啊，哎，加密算法至少选一种，哪一种哪一个没有选 加密算法啊，我们刚才把它点掉了，是不是啊，我们看一下啊 啊，那么这个我们算 a e s 啊，这样的话我们点确定就行 啊，点应用，那往左侧呢就配置完成了啊，左侧配置完成，那我们再来看一下右侧啊，看一下右侧，右侧呢，我们通过浏览器呢来登录到防火墙上去， 我们再新建一个啊，链接， h t t p s。 这是幺九二零幺六八点幺三八点二，端口号是八四四三。好，这样的话我们登到 i 第二台防火墙， 用户名是 id 名啊，密码是 adm， 一二三四五六点，登录好小确定，同意确定。然后呢我们首先呢去看接口 啊，接口呢，这记忆一杠零杠机啊，这边呢是内部接口，是记忆一杠零杠零。那么我们第一个接口呢，他是内部接口， 内部接口呢，我们是是 trust 区域是幺九二点幺六八点，这边是二十点二五四啊，内部接口的 ip 好确定。然后呢我们再看一下它的外部接口，外部接口的话是 entrap 的区域，呃，二点二点二点的接 野马的话二十四位的野马，这里面我们把网关设上的话，我们就可以少一条啊，就是配一条全省路由，这个就相当于是全省路由啦，对，安全区怎么 across 的啊？ 确定好 trust 的啊， trust， 我们看一下这边啊，第一台设备，我们这个有没有问题？接口 啊，这边没有问题啊，我们看第二个接口，配置完成以后呢，我们配置策略，策略呢，跟刚才呢是完全相同的，我们直接就来配就行， fast 到 on trust。 然后呢 trust 到 entrust 啊，原地址呢是幺九幺六八二，右侧呢是二十点这个网段原版的二十四。 然后呢我要到的目的网段呢是要加幺六八十点零这个网段年码呢是二十四啊， 好，我们确认这是 trust 到 on trust， 然后呢我们再去新建 on trust 到 trust 这个区域， on trust 呢就是 on trust 区域，是吧？安全区域，目的区域是 trust。 on trust 地址呢是幺九二点幺六八点十点零啊，就是对 p c e 的啊 啊，主机来访问我们 pc。 二点零这个网段。 好，然后呢我们确定，然后我们再去配置啊，一个是 lock 到昂唱 lock 就是本地 设备啊，远端设备呢是昂串的啊，原地址是本端是二点二点二点一，对吧？原码三十二倍的原码就是这个接口， 那么访问对端呢是一点一点一点一，野马呢是三十二维的野马。好，这是 locker 到 untrust， 然后确定，然后呢再去配置 untrust 到 lock 就是 on trust 到 lock。 on trust 呢是一点一点一点一，野马呢是三十二微的野马， 目的地址呢就是我本段二点二点二点一点满的话三十二位点满。好，确定这样的话我们就 配置好了，是吧？确定这样的话，四个安全策略配置完成以后呢，需要去配置 ipsec， ipsec 呢是这边呢，我们去新建一个 ipsec 啊，也许是点对点 ipsec， 然后本端接口呢是公网接口啊，是吧？二点二点一，对端是一点一点一点一啊， 月供小蜜要拿，两边要一致啊，都是华为小写的。华为本端的 ip 地址呢是二点二点二点一，对端的地址的话是一点一点一点一 啊，被加密的数据流啊，那肯定是我本端是幺九二，就是内部流量。二十点零这个网段，这是我的云地址，目的地址呢是对端的啊，幺九二零幺六八点十点零，野马二十， 好，配置完之后呢动作是加密啊，协议是 any， 那么安全提议啊，安全提议呢，其实我们没有做任何的变化，是吧？两边只要保持一致就行啊，然后我们点确定 好，然后呢我们可以去诊断一下啊，我们去诊断一下， 这时候你看可以看到，是吧？基本上已经创建完成啊，创建完成，创建完成以后，呃我们呢 啊去拼一下啊，可以去拼一下。那我怎么去拼呢？我们 pc 的 ip 呢是十点一啊，对端呢？是啊，网关是十点二五四，对端的 ip 呢是二十点二，网关是二十点二五四，那么我们从本端呢拼一下对端， 对端呢是幺九二零幺六八的二十点二二十点二， 然后我们拼一下，看一下它能不能通行，发现已经通了啊，那么也就是说我们左侧的流量它是经过什么？这边这两端呢建立了一个 ipsec 的一个隧道， 然后我们数据呢交到我的这个接口以后呢要进行分装，因为我要去的目的地呢是对端，就是私网地址啊，所以呢 我们通过这个啊记一杠零杠零啊，一杠零杠一，这个接口呢，对，我们要去往这边的这个数据流啊，匹配到的数据流呢进行分装啊，进行加密啊，然后到对端以后呢进行解密，然后呢解完以后呢就到了 p c 二，所以呢整个过 过程的话，就说在互联网这一块的话，他是非常安全的啊，互联网呢通信是非常安全的，那么我们在这，在互联网的这个位置上呢，我们可以去抓一个包，我们再拼一下，我们看一看。呃，他这个分装的数据包的内容。 好，我们现在呢直接去拼一下啊，用 p c 一去拼 p c 二，我们可以看一下啊。 好，这边下面这一部分呢，就是我们已经分啊两边的内容啊。呃， 在这里呢，其实我的数据包呢，它是因为我 pc 一访问 pc 二的时候呢，因为在这个接口上呢，它进行分装了啊，其实呢就是你看到的这个一点一点一访问我的对端二点二点一啊，这里面分装的话，你看分装的安全载合，这个呢实际上就是我的具体的数据了， 而我的这个具体数据量呢，其实还是比较多的啊，所以呢这个数据呢全部是被加密的，那么返程的数据啊， 就是我 smp 的这个协议就是拼包，那么返程的协议呢，他也是全部是加密的，所以呢在这里面他传输呢，他是非常安全的啊，非常安全的，因为我们在这里呢用的这个 i k 呢，它可以自动去生成啊啊，生成这个泌耀。而我们的这个 ip 赛客里 啊，他呢可以使用这个，就是大家刚才其实看到了这个啊这个协议，这个协议呢他是啊定期的话就是 变更密，要变更密要呢进行两端的一个安全传输啊。好，这个呢就是我们 给大家讲的防火墙点到点的 ipsic 隧道的一个配置，那么丝网到丝网之间呢，我们在公网上建立一个 ipsic 隧道呢，进行安全传输。好，我们今天就讲到这里啊，谢谢大家。

大家好，我是健康网络技术啊，那么我们下面呢来给大家讲一下这个 usg 六纤维防火墙啊配置点到点的一个 absect 隧道。这里呢我们企业左边呢是企业总部啊，右侧呢是企业分部，中间呢是互联网， 那么我们我们 pc 一呢，我们想去访问我们的 pc 二，这样的话我们的流量呢会经过我们的互联网，而互联网本身是不安全的，所以呢我们怎么让啊我们的数我们的数据更安全的通过能够访问 pc 二呢，那么我们需要在防火墙的这个 啊，公网接口啊之间呢，我们去建立一个 epsic 的安全隧道，这样的话我们 p c 一的流量访问 p c 二的时候呢，它会进入到这个隧道以后呢会被加密啊， 那么确保数据的一个完整性，安全性，而且呢他对数据员呢进行检测，另外呢他还可以使得我们的数据呢 啊不被篡改，即便是篡改了以后呢，他还有具有一个抗除放性啊，所以呢这样的话确保 pc 一和 pc 二之间的流量呢，经过互联网的时候呢，他是非常安全的。那么我们下面呢用这个命令横的方式呢进行配置。那么首先我们看防火墙 啊，我们打开防火枪啊，输用户名密码，那第一次用的时候呢，需要去修改密码。 好我们进入防火墙，修改设备的名称 fwg。 然后呢我们去关闭防火墙的信息中心。然后呢我们去进入到接口 记忆一杠零杠零的接口，在这个接口上他是内瓦接口，配置 ip 呢是幺九二点，幺六八点十点二五四年码二十四位。 然后呢该接口我们去配置它的一个安全区域啊， top 区域来追加这个安全区域， 把一杠零杠零这个接口加入到创载区。然后呢我们进入到公网接口，零杠零一杠零杠一配置 ip 地址一点一点一点一 野马二十四位。退出配置这个所属的区域呢是 truck 的区域， 把盖接口加进去一杠零杠一好。那么我们再看一下啊，啊路中间的路由器呢，我们只需要去配置两个接口就行了啊。所以呢我们去配置啊， g 零杠零杠零和 p 型的零杠机。那么我们我们这里呢已经配置好了，大家去看一下就行啊。这两个接口我们都是 up 起，配置完以后呢，物理层和协议层都是 up 起来的，正常的。 那我们再看防火墙 进入防火墙进入系统，试图 w 二关闭防火墙的信息中心。进入接口一个呢是零杠零，一个是一杠零杠零， 这是他的内网接口，这台机呢是幺九二零幺六八点二十点二五四年满二十四啊。该接口我们配置他的一个安全区域是 plus 区域 杠零杠零。然后呢我们再进入到接口记忆一杠零杠一 配置 i p d 只能是二点二点二点一原码二十四元。呃，设置它的安全区域呢，是 on 的区域，一杠零杠一好。配置完以后呢，下面呢我们首先呢去配置安全策略。配置安全策略以后，我们有四个安全策略啊，就是每个防火墙有四个，就是 trust 导航 trust。 那么在这里呢，我们下面呢做了规划，大家呢就是我们配置的说法再给大家讲。那么首先呢，我们去配置安全测 啊，是创建安全策略的这个名称是 trust 到 on trust 之间的安全策略。 呃，原区域的话，就是我们 pc 一所处的区域。呃，目的区域 installation 区域呢，它是 ontark 区啊，指的是我们 pc 二的区域 啊。原地址是我们这个 pc 一的主机地址。所出的网段要求把十点零的网段点满二十四位。那么目的网目的地址的网段呢？是我们 pc 二的网段，二十点零点满二十次。好。 然后呢，我们去激活这个安全策略，这是第一个。然后呢，我们再去创建第二个安全策略，叫 past 到 嗯， trust 到 trust。 呃，原区域是 pizza 所处的区域啊。那么对于 pizza 来讲的话，这边就是 trust 区域啊，是互联网这边的 目标区域是 top pc 一所处的区域。原地址是 pc 二所处的网段， 目的地址是 pce 所处的网段。 激活这个安全策略，配置完成。然后呢，我们再退出去继续去创建啊， locker 到 on trust 去的一个安全策略。那么也就是从这公网考 啊，于这个二，就是一点一点一与二点二点一之间的这个区域。那么原区域是 lock 防火墙本身 啊。目的区域是 on past 区域。原地址是一点一点一点一三十二位的这个接口地址啊。目的目的地址呢？是二点二点二点一这个三十二位地址。 好。激活这个安全策略。那么我们继续创建 untrust 到 local 这样的一个安全策略。原地址原区域是 untrust 区域，目的区域是 local 区域。 原地址是二点二点二点一啊，就是对端 f 二 f w 二的这个接口的地址，目的地址是一点一点一点一。 好激活。这个安全策略好。那么安全策略我们配置完成以后呢，我们需要去在第一个防火墙上呢，去 配置 ipsec， 那么创建 ipsec 的这个隧道，这里呢，一共有六个步骤啊。那么第一个步骤呢是定义被保护的数据流。我被保护的数据流呢，就是 pc 一访问 pc 二的流量。 所以呢，我们在第一个防火墙上面呢，我们要去配置 a c r 防控制列表，在这里我们使用高级防控制列表啊。 ruler premit 原 ip 原地址是幺九二零，幺六八 d 两人这个网段， 目标地址呢是幺九二点，幺六八点二十点零，就是 pcr 做出的网段。 好定好被啊。被保护的数据流以后呢，下面我们记个几个步骤啊。先呢去配置 i ike 的安全提议， ike propose， 这是 ike 的安全提议，编号呢是十。在这里面我们可以不用做配置啊，他默认了已经有相关的一些配置。比如说 啊， ik 这个安全题的时候呢，我们去分装它的计算方法， ae x 是吧，它的 dh 组十次认证计算的方法，这种算法那认证的方式呢？是与共享医药的方式啊。然后等等 好，我们退出。然后呢，我们去配置 ipsec 的安全题 ipsec proper so， 那编号呢，我们也设成十。在这里呢，我们也不用做配置啊，这里呢有默认配置，当然你想改也可以。但是呢， 两个台防火墙之间的配置呢啊，参数必须要一致。比如说分装的这个 evsp 啊，就是分装安全载客，那么他的分装计算的方式呢？是这种方式，那么他的 esp 的计算的计算方法 啊？分装的计算方法是这上面是认证啊，个性计算的方法是这样。好，我们退出。第三步呢，我们去配置 i k e 的 p r， 就是 i k e 的对端啊，对端的话我们取个名称 to f w 二。 呃，在这里面的话，我们需要配置有几个啊，一个呢是呃关联 proposal h e proposal 啊。第二个我们要 去配置与共享密要这个与共享密要的话，我们可以我们两边设置是一样的啊，有大写大写字母啊，华为啊一二三，有数字有小写啊。 好。配置完成以后呢，我们要把远端的这个地址啊，就是我对端啊， ipe 对端的这个对等体的这个地址是二点二点二点一， 二点二点二点一。好，那这里面呢还有我们看一下啊，我需要去配个什么 月供小蜜药，我们已经配了。还有一个呢，远端的地址已经配了。呃 啊， i k i k 的 pro plus 也配了，就说三条命令我们都配了，好，没问题啊。配置了这三条退出。最后呢，我们再去配置这个 ip sec 策略。 哎，这个这个策略呢，需要把我们刚才 i k e 啊，包括 i k e 对登体，还有被保护的数据流呢，我们要做进去啊， 安全啊， ip sec 安全策略。 ip sec 策略名称是 p 一，然后呢序号呢是十，我们使用 i s k 啊这种协议呢来进行 啊，创建啊，创建啊，就是用 it 叶生成的秘药，然后呢进行建这个隧道。在这里呢一个是安，我们要配置 n t c l 三、 先被保护的数据流。呃，安全 t e 啊， ip set 的安全 t e 啊，就是十 啊。呃，还一个呢，就是 i t e 对端 f w。 二好，我们配置完成以后呢，退出，需要在我们的工网接口上 一杠零杠一下面进行应用。 ip sec 啊， police 啊。标题好。这样的话，我们左边的配置呢，就配置完成。下面呢，我们再去看一下右右侧的配置。嗯，接口我们配完了，我们下面 去配置。安全策略。呃，刚好和这边呢，也是一样的啊。那么安全策略的方式刚好和我们左边的相反， 我们把它配一下。第一个呢是 t two u 就是原地址。原区域是 fast 区域， p c r 的区域。 目标区域是 p c e 这边儿的区域。 ctrl 的区域。原地址是幺九二点，幺六八点二十点零， p 十二所处的网段。 目的地址是幺九二零，幺六八点零是 pc 所处的网段。激活安全策略然后呢，再继续创建 呃， untrust 到 trust 之间的安全测量。原区域就是我们 pc 做出的区域。 untrust 区域，目标区域是 trust 区域， pcr 做出的区域。原地址 是幺九二零，幺六八 p c 所处的网段。目标地址是 p c 二所处的网段。 激活这个安全策略。然后呢，我们继续创建。呃，安全策略 locker 到 u 到 uncast 之间的安全策略。呃，原区域是 locker 本身啊，就是防火墙 啊。目的区域是 ontark 区域。那么原地址是我们本防火墙的这逛街二点二点二点一。编码三十二就是这个该接口的主机地址。目的地址呢，是对端的一点一点一点一啊。 三十二激活安全策略。那么我们还需要去创建一个， 就是 untrust 到 locker 安全自律。呃，园区 是 oncas 区域，目的区域是 locker 区域。呃，原地址是对端 一点一点一点一点码三十二位啊。目标地址是本端的布网接口二点二点二点一点码三十二位。 然后呢，去激活安全策略好。那么安全策略我们配置完成以后呢，我们去配置啊， i k e 现在是 i k e 的一个安全提议 啊，被保护的数据流啊。先去创建啊。 a 四二三千啊， s 二防裂控制列表。然后允许原地指示幺九二点幺六八点二十点零去访问。呃，我们 p c 幺九二点，幺六八点零点零零点零点零点二五。 好。创建完成以后呢，我们去配置 i k e 的安全提议。那么我们使用默认啊。好，我们退出在创建 ip 赛克安全提议 啊，编号也是十好退出放在 i i k e 的。呃，对等体名字呢，我们取名字叫 to w e。 在这里呢，一个是愚公小妙啊，愚公小妙呢，和对端呢，必须要保持一致。华为一二三 啊。配置远端的啊，地址是一点一点一点一对灯体的地址啊，远端的对灯体的地址是一点一点一。然后呢，还有一个就是 ike 的 人群提议好，退出。这时候呢，我们可以去创建 ip sec。 呃，策略 啊，名字呢？ p 一序号呢，是用 s k 啊这个啊，自动的这个协议啊。 然后呢，我需要去关联我们的 excel 被保护的数据流。呃， h c k 的安全提议二炮石 h d 的对等体图 f w e。 好。配置完成以后，我们需要在我们的公网接口上 一杠零杠一，然后呢去应用 ip sec 啊，去用这个安全特点哎， 用这个特点。七一好，我们配置完成。配置完成这个时候呢，我们需要注意啊，我们的数据流， pc 一的流量，我们要访问 pc 二的话，那么我们需要有路由啊，所以呢，我们在路由器上呢，要去配置啊，出口的路由，所有的数据呢， 都通发给我的互联网一点一点一点二啊。这边呢要配置返程的路由就 pc 二，要访问 pc 一的流量，同样在防火墙上呢，去配置路由 送到我们的二点二点二点二好，那么我们这样的话就配置完成啊。配置完成配置完成以后呢，我们把 p c 一和 p c 二呢，要配置相应的 ip 啊。好，我们配完了。配完以后呢，我 我们来。好，我们下面去看一下 ike 的一个呃安全联盟的情况。 this play ikesa 在这里的话，大家可以看到，其实我们 fwe 与 fwr 之间呢，已经通建立了 ike 的一个安全联盟啊，这是安全联盟的两个阶段 连接的对端。那么用 disclay 啊， absect 啊，你可以看一下 absect 的一个安全联盟。 在这里面的话你看我们可以看到安全策略的名称 p 一序列号是十，被保护的数据流是 asr 三千是吧？然后呢模式呢， skm 这种模式 啊，这是分装的模式呢，是隧道管。然后呢，这里面还有一些你看对端的地本端地址，远端地址， 被保护的数据流啊等等啊，原因数据流，目的数据流等等。这个下面呢，他是建立了这个 你看出方向的这个 e e s p 啊，它的一个安全联盟的一些情况，比如说安全 啊，所以啊采用的这个安全提议等等，还有一些其他的一些信息在这里面。也就是说我们 f w 一和 f w 二之间呢，已经建立了 f c 的安全隧道，那我们用 p c 一呢去拼我们的 p c 二， 他能够啊正常通信。那么我们在中间的这个电路上呢，去抓包去看一下啊。比如说我们点右键点抓包， 用 pc 一呢去访问 pcr 中间的这个部分呢，就是我们的这个包与包之间的通信，因为我们的数据包 pc 一访问 pcr 的流量呢，进入到这个 供网接口的时候呢，他就会进行进行加密。所以呢，你在这个一点一点一访问，二点二点一中间呢他使用的是 esp 啊，就是分装安全载客这里面的数，这就是我们传输的数据，那么传输的数据呢，是我们看不到内容啊，这是被分装被加密了好。 呃，这块的话就是我们用命运横方式来配置点到点的 excel 的安全隧道的配置方法。

大家好，我是新萌教育的麒麟，今天呢，给大家录个小视频，就是关于华为 usg 防火墙的基本配置啊。 什么叫基本配置呢？就说你把这个防火墙配完之后，能保证防火墙下面的主机可以正常的返回互联网，哎，这就叫最基本的配置步骤。另外呢，大家注意一点，基本上现在国内外的厂家，呃，防火墙厂家非常多， 他们最基本的配置步骤呢？基本类似啊，当然有的例外，你像四科的 aic 防火枪，还有之前拆个炮的防火枪，他们的配置方法跟 华为的，跟三十网科的，跟申信福的，跟安恒的，跟天龙信的，可能稍微有点不一样啊。今天的呢，咱们说的是华为 usg 的防网枪最基本的配置步骤，四步，我先 给大家把这四步写出来。第一步呢，我们要把接口划分到安全域与划分的安全域。 什么叫安全浴呢？就是他是防火墙上面的一个概念，就是现在绝大多数的防火墙厂家，基本上有将近百分之九十九的防火墙厂家，他们都是基于安全浴的。 只要是基于安全域的防火枪，你在用的时候必须得把接口划分到安全域里面去，你不划分这个接口就是废的。当然关于安全域的概念呢，我今天不过多说，咱们今天主要还得给大家普及一下华为防火枪的基本配置。 呃，接口划分安全域之后呢，你要给接口配个 ip 地址，并且配置 ip 地址，这是第一步。第二步呢，我们要做的就是陆游，要做陆游就是你防我强，有能 能力把内部主机的数据包发到互联网上去，那什么叫有能力呢？方光枪，他也是具备三层路由功能的设备，那既然要转发，他得有路吗？他得知道怎么转发，对吧？所以说待会我们要写路由，但主要是缺省路由， 缺少路由，你也可以说成是默认路由。然后第三步。第三步大家注意。呃， 对于我们平常来说，我们上网的时候，我们的电脑，我们的主机都是在我们企业内部，或者在我们的家庭内部，而我们电脑上面的 ip 地址基本都是私网的 ip 地址， 你要想返回互联网的话，你需要，呃，让互联网上的主机给你返回流量的时候，肯定不能直接返回给你的主机，为啥呢？因为你的私网地址咋办呢？ 这个时候我们要做一项技术，叫做 aat， 叫网络体质转换，也就是说你内部的主机，你公司内部的家庭内部的主机，返回互联网的时候，你要 把你这个数据包原 ip 地址，也就是四网地址转成你出你那个出口设备的外网口地址，而你出口设备的外网口地址正好是一个公网地址，这样呢，互联网上的设备就可以对你进行正常的响应，可以对你经回报，可以吧？ a e t 啊 啊？第四步，策略，大家切记要注意一点，在防火墙上面，策略非常非常重要，默认情况下，绝大多数的防火墙厂家，他们是所有流量都不同的，注意，这是绝大多数。当然了，华为稍微有点类似。呃，不是华为稍微有点 例外。呃，并不是说华为的防火墙默认情况下所有的接口流量都不通，呃，也不是说他都通，这个有条件的，什么条件呢？我先不说，我先把这四步给大家简单演示一下，可以吧？ 首先大家来看我这搭建好了一个环境，在这个环境里面呢啊，右边这一块模拟的是公司的内部网络，在公司的内部网络里面呢，一共有两个网段，这是福气的网段，这是办公的网段， 那中间呢？中间的红色区域是用来模拟互联网的，左边呢是用来模拟我们的家庭的。当然今天我们不管那么多，我们只需要在华为的防火墙上面，也就是 usb 六纤维上面做配置，我把这四个最基本的配置步骤给大家演示一 下，可以吧？首先大家来看，在这个图里面，内网接口记一杠零杠一，外网接口记一杠零杠零，连接服务器区的接口记一杠零杠二。所以我们要把这三个接口分别加到不同的安全域里面去，你比如叉式的， dm 类， angela 式的， 对吧？先加到不同的安全域里面去，给大家演示一下，呃，登录 的密码是 a、 d， m a。 然后我们通过 cmv 进入到配置视图，或者说系统视图。进来之后呢，我们要 先把接口划分到安全域，注意系统默认情况下是有四个安全域的。 dm 一般用来连接服务器区域，他叫缓冲区。凹槽式的他叫不 信任区域，一般用来连接互联网区域。刷似的叫信任区域，一般用来连接办公网络。 logo， 那是防火墙本地的，就是抵达防火墙本地的 logo， 或者防火墙始发的叫 logo。 下面呢，我先把接口划到安全域里面去，放中 chuas 的 a、 d、 d 音能 face 记一杠零，杠一，这样 g 一杠零，杠一这个口子就进入到了 chous 的安全域，然后放重 nxus 的 add 音能 face 记一杠零杠零， 这样一杠零杠零，这个接口就进入到了昂刷式的这个监狱发中电位 a、 d、 d enfes 记一杠零。二。好，现在呢，我已经把三个接口都划分进了对应的安全域，下面要做的就是给接口配置 ip 地址， 一杠零，杠一口的地址是幺九二点幺六八点一点一，二十四位。验码一杠零杠零。接口的地址是二零二点一，零点一，二十四位验码 一杠零杠二，接口的地址是幺七二点幺六点一点一，二十四位。烟马，看到没有？现在相当于我把第一步给做完了，接口划分的按键域，并且也配了地址。下面呢，我来做第二步配置，确省路由。这个简单 配置，千层路由 ip 如特斯坦特写八个零，吓一跳，是谁呢？吓一跳，那肯定是运营商所给你的那个网关，当然在我们这个环境里面是二零二点一，零点十，对吧？那千层路由也有了。进入到 第三步，配 nt 怎么配呢？大家可以直接对视 cr 查看所有的配置，在这里面你会看到有一个叫 nt 的策略，防火枪的策略非常多，看到没有，一大堆的 polo c 策略，路由什么安全策略，什么认证策略一大堆，这其实防火墙上面最重要的就是策略，各种各样的策略展现的要做的是 aat 的策略，所以说我进入到 ait pluss 里面来， 然后呢，我新建一个 nt 的规则，也就是说能够让内部主机访为互联网的，可以吧，叫如内蒙因特奈斯。 内部主机是谁呢？咱们现在为了让传世的区域可以正常的反映互联网，可以吧？所以我现在做一个 nt 策略，名字叫英特奈特。然后呢，我要去匹配流量，就 什么样的流量要被执行 nt 转换。大家来看，当流量来自于 xs 的这个安全意义，并且数据包他的原地址是来自于幺九二零幺六八零一点零网贷的，这样的流量我要给他执行 nt 转换。另外呢，我你也可以再限制一下这个 流量要去往的是哪个安全域，去哪呢？去往昂川似的，我才让你转，你去往其他的区域，将店铺里不给你转，可以吧？当然目的地的话，你也可以写下目的地址，咱们这个地方呢，既然是返回互联网，那你就应该写成暧昧，对吧？ 当然你也可以限制一下服务哈，你像 http 的流量， https 的流量我给你转， snnp 的我给你转，拼的我给你转，其他的我可以不给你转。 我们可以用室外制作限制，但既然是上网的话，咱们这个地方就不做限制了，我直接做动作叫 x， 注意做圆 n t。 为啥叫圆 n t 呢？ 因为对于 win 七来说，他访问互联网的时候，原地址是幺九二零幺六八点一点一百，他出去的时候要把原地址转成防火墙的外望接口，出去就是转的地址是原地址。所以说我们要做原 app， 关于 app 内容的非常之多，这个一两个小时也讲不完。这个正课里面需要讲啊，我记得需要讲了，一周的时间，一周三节课，每节课俩小时，内容比较多，所以今天呢，大家就 简单知道一下防火墙上面配置，上网的 nt 叫圆 nt 可以吧？那接下来的话，我们 选择 e z i p， 但还有其他选项啊，我只解释一下 e z i p 啥意思， e z i p 就说转成防火墙外部接口的 ip 地址出去可以吧？这样 ant 也做完。下面呢，我们进行到最后一步，安全策略。策略。安全策略的话呢，今天 我给大家简单解释一下，在华为防火墙上面，你内部区域在刷似的，然后互联网呢？在昂刷似的，你要是不做策略的话，这两个区域之间根本无法互通，默认情况下，任何两个安全与之间的流量是不同的。 当然安全策略我今天也不过多说。呃，内容非常多，下个视频呢，我给大家简单介绍一下华为安全策略吧。啊，今天这个由于视频比较长，我就不来单独介绍他了。 呃，默认情况下呢，就是防火墙上面，华为的防火墙两个安全翼之间的流量是不同的，你要是想让他通咋办呢？需要单独做策略去放行，可以吧？大家来看着，进到 sk 的 plass 里面 新建一个安全策略，假设名字叫 chuas 的，到英特卖的可以吧。接下来依然是匹配流量，流量从哪来呢？从 chuas 的安全域来，他要去哪呢？他要去往 oncha 似的， 原地址是多少呢？原地址是幺九二点幺零八点一点零网段，那目的地是多少呢？当然你可以不写，因为上网的话目的地是 m， 对吧？那接下来的话，你可以做一个 xomit 放行，这样子的话， 安全策略就算是做完了，对吧？这样做完之后，我给大家说这个问题，现在他就可以去访问互联网了，咱们打开问题，尝试去拼一下网关设备的幺零三点二三幺点一点十，这个接口地址，如果能拼通，那就代表成功了， 是吧？给大家演示一下哈，拼幺零三点二三幺点一点十，没问题吧？成功。当然你可以在华为的防火墙上面去查看一些信息，你比如 desplay 发奥 对，出来发奥三生推宝，查看他的绘画表。大家来看，在绘画表里面，我们看到有一条阿 cmp 的表象，原地址是幺九二点幺六八点一点一百， 防火墙呢，给你转成了二零二点一点一点一，也就是防火墙外网接口的地址，目的地呢？没有变，依然是幺零三点二三幺的一点十，对吧？ 当然你可以查看这个绘画表的详细信息啊，我再拼一下吧，再拼一下，拼完之后呢，我给你们查看一下他的详细信息， 后面加上我 boss。 大家来看中间这一个表象，这个表象叫绘画表，就是我们刚刚用温漆发送出去的拼包，他所产生的绘画表来看协议 rcmp， 这是那个绘画的标示符。绘画二 d 流量呢，是从 chuas 的去往 runchax 的，这个绘画表的超时时间是二十秒，二十秒之后这个表象就消失了， 还剩下十八秒。数据包呢，是通过一杠零杠一这个内网接口，属于 xs 的接口接收的，他要通过一杠零杠零扔出去，那数据包呢？就被方向扔出去，下一条是谁呢？二零二的一点点十，下一条的麦克地址是 a bb cc 零零，三零幺零，然后呢，这个从 xs 的到英特奈斯的一共发了四个包，二百四十个字，接返回的流量呢，也是四个包，二百四十个字，接下面是数据包的原地址，被转换之后的原地址，目的地没有变， 端口号随机的。另外这是所这个流量所撞上的策略。好，本次内容呢，就给大家介绍到这个位置，下个视频呢，我再给大家介绍一下华为防火墙上面的安全策略，点击下方购物车学习更多内容。

大家好，我是经常网络技术，那么我们今天来讲防火墙通过近排 ip 接入互联网，那么防防火墙呢，它的内网呢连接到我们的一台 pc 电脑，那么网段呢是幺九二幺零八十点零这个网段，在我们防火墙的这个记忆一杠零杠零 这个接口呢，我们配置 ip 地址是幺九二点幺六八十点二五四，那么 pc 呢，它是通过防火墙啊来获取 dscp 啊 ip 地址， 那么防火墙呢，它的外网口连接到我们的 s s p 的这个云商的路由器， 配置的 ip 地址的网段是一点一点一点零这个网段，那么我们在 isp 上面呢，还配置一个还回口的一个地址，就是二点二点二点二，那么这个地址呢，我们主要用于呃来 测试啊，就是我们最终实现 pc 一与这个二点二点二点二，那么实现互通。那么下面呢我们来看一下这个防火墙是如何配置的，另外呢这个防火墙的就说内往这边呢，我们属于 trust 的区域啊，外网口这边呢属于 untrust 区域， 这样的话我们要配置这个防火墙的话，一个呢是配置这个接口的 ip 地址，那么把这个接口 ip 这个接口呢会加入到 truck 区域，对于这个外网口呢，我们配着 ip 地址以后呢加入到 truck 区域，那么在这里呢，我们还要去做 啊 trust 区域到安全到 on trust 区域的一个安全策略，放行安全策略。另外呢我们左边呢是丝网地址啊，右边呢是互联网啊互联网的地址， 另外呢我们刚才讲了，就是左边呢是他的四网地址，右边呢是公网地址，那么在公网上呢，四网地址是不能直接去路由的，那么需要我们四网地址，如果要访问公网的话，那么必须要在我们的这个 把丝网的地址呢要转转换成我们在防火墙呢，转换成这个公网接口啊，就是 gg 一杠零杠一，这个接口的公网地址转换成公网地址呢以后呢再进行访问公网，这样的话我们还需要在防火墙呢去做 nice 的策略 啊，那么在这里呢，我们现在来先配置防火墙，打开防火墙，然后呢我们通过他的一个密码啊，用户名和密码呢，我们先登录到防火墙， 防火墙的默认用户名是艾特密，密码呢是后面知道后面我们这个密码呢是我们需要修改的密码， 用户名是 idmi， 密码是 admj 幺二三，我们第一次使用的时候呢要修改密码，修改密码以后呢要输入旧密码 admnh， 一二三，输入新密码 admn， 一二三四五六，确认新密码。 好，配置完成以后呢，呃，我们进入系统视图修改设备的名称 fwe， 然后在这里呢，我们希望呢是用过通过网页的方式呢来管理防火墙，那么通过网页方式的话，我们需要通过浏览器，那么我们在这模拟器里面我们可以 做一个云朵啊，通过云朵呢来调节我本地电脑和我这个啊，这个模拟器里面的 fw 啊，这个防火墙的一个连接。首先呢我们在这个云朵里面要添加一个 udp 端口，添加一个 啊，在这里呢我们添加一个仪态网二，这个接口 ip 地址是幺九二幺二点幺六八点幺三七点幺，这个这个网卡呢，它是一个虚拟网卡，那么我们事先呢要去安装一个虚拟网卡， 好，然后呢我们在下面的端口，下面呢入边口，入边入端边，口号呢，我们选择二，然后双向通道呢点增加好关闭，然后我们用网线呢把这个云朵和防火墙的这个记忆啊， 零杠零口，这个零杠零杠的领口呢，它是一个管理口，那么我们这边啊就说我本地还回网卡的地址是幺九二点幺六四幺三七点一啊，原版呢是二十四位，那么我们对端的这个接口呢，我需要修改一下它的 ip 地址， 改成幺九二点幺六八点幺三七幺三七点二，二十四位的野马。好，修改完成以后我们呃进入防火墙啊，我们进入到记忆零杠零杠零口， 进入以后呢，它默认的 ip 地址呢是幺九二幺六八，是零点一啊，我们把它去修改一下，修改成幺九二点幺六八点幺三七点二，野马是二十四位的野马，同时这个接口呢我们 需要去开启他的呃，他的管理权限啊，那么因为我们使用浏览器访问的是防火墙呢，他是通过 sttp 的这个 ps 啊， stps 这个协议呢 去登录防火墙的，所以呢我们要放行他的一个权限，放行完了以后呢，我们到我们的电脑上使用我们的浏览器， 在浏览器呢我们去输入呃 h t t p s。 冒号两斜杠幺九二点幺六八点幺三七点二，那么端口号呢是八四四三啊，注意这个冒号呢是英文的冒号， 这样的话出现这个界面呢，说明呢我们已经啊连接到防火墙，然后点击高级啊，点 继续访问，这样的话我们就进入防火墙了，那么输入用户名密码 啊，进入到防火墙以后呢，我们这边直接点，这是一个快速向导，我们直接点取点取消啊，这边点确定就行啊，点同意 啊，点确定，那么在这里呢，我们首先呢去把防火墙的内网接口和外网接口呢，先配置 ip， 同时呢我们把相应的接口呢加入到相应的这个安全区域啊，内网接口是一杠零，杠零，杠零啊，外网接口是一杠零杠一， 我们来看一下，在这里呢点击网络点击接口，然后呢在这里呢一杠零，杠零，是我们的内网接口啊，我们在这里呢有一个编辑， 点击编辑，然后编辑过程呢，我们首先呢去选择他的区域，内网接口的安全区域是 trust 区域啊，他是授信区域，然后 ip 地址呢是幺九二点幺六八点 十点二五四，野马呢是二十四位的野马，我这样正常输上进去就行了。然后我们点确定， 在这里我们可以看到啊，区域呢是 trust 区域， ip 地址已经设置好，而且我的这个 ipvs 的状态呢已经起起来了，那么我们下面呢去设置这个外网口啊，外网口的话我们使用的是 on trust 区域， 然后 ip 地址呢是一点一点一点一，野马呢是二十四个野马，那么这里呢其实还有一个默认网关啊，那么如果是我们这边呢 默认，对于我这个防火墙来讲，他的默认网关其实呢就是一点一点一点二，对吧？如果我不设置默认网关的话，我需要去配置一个路由啊，指向到我的一点一点一点二啊，配置确实路由，所以在这里我可以直接配一点一点一点二 作为它的一个出口网关，然后呢我们点击确定好，这样的话我们接口配置完成以后呢，我们下面呢需要去配置 呃，这个 d s c p 服务器， d s c p 服务器呢，我们主要用于通过这个记忆一杠零杠零杠这个接口呢，我为 p c 一呢分配 m p 地址啊，我们来看一下如何去做。那么首先呢，我们选择 这个网络里面的这个 dhcp 服务器啊，点 dhcp 服务，点击服务点新建啊，点新建的时候呢，我们这个接口呢，它属于这个内网接口，对吧？记忆一杠零杠零杠零，这个接口上要给 pc 呢分配 ip 地址， 那么我们选择一杠零杠零啊，在这里呢，你看摸人的网关啊，包括可分配的 ip 地址啊，分配 ip 地址呢是幺九二点幺六八点十点一，这边呢是我们就把它分到幺幺二点十 幺六八，十点二五三啊，网关呢是接口的这个例子，对吧？然后呢我们直接 dns 的话，我们去指定也行啊，比如说我八点八点八点八，嗯，这边高级有什么？然后这些下面呢我们就不用 不用设置了，然后我们直接点确定，但是呢你看他请先在接口上配置 d s c p 啊。 select 就是基于接口地址持方式呢，配置 d s c p， 那么我们怎么去怎么去做呢？因为在这个 管理界面，这没办法去设置，对不对？这下面呢有一个 c l r 控制台，就是命令行的控制台，点击命令行控制台 啊，点击命令控控制台，然后呢我们在这里呢进入到系统视图，进入到接口啊，记忆啊，一杠 零杠零这个接口，下面呢我们启用 d h c p selector 啊 interface， 这样的话我们执行了这条命令以后呢，我们再回来啊，再回来以后呢，我们再新建 d h c p 服务器接 口，选择记一杠零杠零 ip 地址，我们注意把这个地方改成二五三啊，默认的网关的话，我们的要网网关就是幺九二幺六八零二五四，对不对？然后 ds 服务器列表呢是八点八点八，我们设置好以后点确定，这样的话我们 ds cp 服务器呢就配置完成了， 配置完成以后呢，我们下面呢需要去配置安全策略啊，安全策略呢，我们要去放行我们 trust 渠道啊， trust 区域的一个安全策略，那么怎么去做呢？我们新建一个安全策略这个名称的话，我们可以自己起啊， t 呢代表 trust 啊，土 on trust， 那么 t 土 u 呢，代表的是 trust 区域的 untrust 区域，然后在这里面这个原 ip 原 安全区域呢，我们可以选择 trust 目目的安全区域呢，可以选择为 on trust 原地址呢，我们可以选择为啊，幺九二点幺六八点十点零，这个网段就是我们内网的这个网段，野马呢是二十四位的野马，注意我们把它写写准确点，确定目标地址的话，我们这块我们就不用写了啊，因为我们互联网 的地址特别多，我们不用写，剩下的我们都不用点啊，直接点确定就行。好，这是我们的安全策略，安全策略做完以后呢，我们还要去配置一个。 net 策略。 net 策略呢，主要是做。 net 地址的转换，把我们的这个丝网地址呢 啊，转换成我们的公网接口啊，就出接口的这个地址来访问我们。二点二点二。好，我们下面呢去新建一个。 net 策略名字呢叫 to t to u， 然后呢，我们加个下划线。 net 这样的话，我们做原地址的一个。 net 地址转换，但原安全区域的话，我们这里呢去选择 cross 的区域啊，目的，呃，目的安全区域啊，这里面有目的安全区域是吧？ on cross 的区域。然后原地址啊，就是我们幺九二点幺六八点十点零， 野马呢，是二十四位的野马。好，配置完成以后，我们点确定，那么目的地址我们就不用选了。然后在这里面呢，就是我们转换后的数据包呢，我们要 把它直接设置为出接口啊，出接口就是 g e 一杠零，杠零那个接口。好，我们点确定，这样的话，安全策略我们就配置 完成，配置完成的话，整体情况下的话，我们应该可以正常的通信了。那么首先我们来看一下这个 pc。 一， 我们选择 dhcp 啊，来获取 ip 地址点应用啊，命令行呢，我们用 ipcoc 杆来查看一下获取地址情况，这样的话，我们会发现我的 ip 地址已经正确过期到了幺九二点幺六八点十点幺，是吧是吧， 网关和 ds 夫妻列表都有了。我来拼啊，我来拼什么呢？拼我的 sp 的这边啊，注意我们路由器的这两个接口 ip 呢，我们还没有配置，我们先这时候我们需要先做一下配置， 进入系统示图修改设备的名称叫 r s p r s p 进入接口记忆零杠零 零杠零 a p d 只能是一点一点一点二，野马，二十四位的野马， 然后我们再去创建一个还回口地址零，这个地址呢是二点二点二点二年吗？二十四，这个地址是模拟连接在我们路由器上的一个二点二点二点二的一个主机啊， 另外呢我们因为是因为在这里呢，我们的四万地址转换成一点一点一点一了啊，那他访问二点二的话， 那么数据包呢，从防火墙直接会发送给我们 sp， 因为我们刚才给这个接口上呢配置了一个出默认网关，就是一点一点点二，所以呢数据包呢可以发送到二点二点 二点二呢，返程的时候呢，因为它网端在 s p 上面，所以呢它和这个一点一点一点一呢，它属于直连啊，所以呢它就能直接通，那么根据现在的 配置呢，我们来测试一下 p c 一，来访问我们的二点二点二的一个联通性， 好拼，二点二点二点二已经能够同行了啊，这个说明我们的所有的配置都是正常正常的。 另外在我们防火墙上面呢，我们也可以在监控里面呢，去看一下我们的绘画表啊，根据绘画表呢，那么可以看到一些信息啊，看到一些信息 真的在这里呢，就是原地址，目的地址啊，都可以看得到。好，这个呢就是我们今天讲的这一块内容啊，谢谢大家。

外面就是连接的是互联网，内侧的话连接到我前内部网络，那么他还旁边挂了一个外板服务器，对不对？那么这样的话，我防火墙连接的这三个接口呢，我们需要去配置他的一个安全区域啊，这是安全区域的一个 一个概念。这个安全区域呢，在华为里面啊，比如说连接内部网络的区域呢，通常设置成 trust 区域，就是兽性区域，安全级别是八十五啊，数值越高他的安全级别就越高。 那右侧呢连接到我们互联网，互联网呢是鱼龙混杂的地方，是吧？非常不安全的地方，所以呢我们配置的安全区呢叫 on truck 区，非授信区啊，安全级别是五啊，并比较小了。那么左侧连 接的是我的一个外边服务器啊，这外边服务器呢是内部网络，他是为我们的外部用户提供外边服务，也为我们内部服务器呢提供啊内部服啊外边服务的。所以呢他会介于什么？他的区域就是 dmz 区， dmz 区呢，介于我们 啊授信区和非受刑区之间的一个区域。所以呢我们配置防火墙首页一个是接口上呢，一个是 ip， 一个呢就是该接口呢配置他的一个安全区域，这是第一个， 第二个呢就是防火墙，不同区域间呢，他默认是 delight 不同区域之间，不同安全区域之间的 啊，策略呢？安全策略呢？它是禁止的啊，就说我，比如说默认情况下，我内部主 就要访问互联网，那么 track 区域到 on track 区域之间的安全策略呢？是 delay 啊，这是他默认的一个配置，所以呢我们要去放行啊，我们要去访问的话就要放行，当然我们的外部主机要去访问，我内部服务器就要去放行 on track 区域到 dna 内区的安全策略， 对吧？所以呢，你说不同区域之间我们要通信，我们要放弃相应的安全策略，在这里面，在防火墙里面我们还需要去配置什么？ net 策略，比如内部的主机 都是有死网地址，那我要去访问互联网，那么需要在防火墙的出口的地方呢，去做网络地址转换，把我们的内部地址转换成公网地址，再去访问互联网。那我们下面呢去大概我们就 讲一下啊，那我们看防火墙如何去配置的啊？对防火墙来讲，我们进来的时候呢，要输入他的一个用户名，还有密码，第一次使用的时候呢，要去修改密码啊，输入旧密码 啊，输入新密码啊，确认新密码。 配置完成以后，我们登录到防火墙上面去了，是吧？进入系统视图修改设备的名称， fwr 在这里呢，我们关闭防火墙的信息中心啊，这样的话我们屏幕上不乱七八糟啊，那在这里面我们就按照我们刚才给大家讲的这一块，然后做一下相关的配置。 嗯，在防火墙这边呢，我们进入接口一转零，一转零，接口上配置 ip 幺九二零幺六八点幺零幺点二， 原版二十四位。该接口呢，我们配置它的安全区域呢，是 trust 区域， 去把该接口呢加入到我们的安全区域里面。好，这是一个接口，那么我们进入到一杠零杠二，就是 level 夫妻这个接口啊，这个接口我们配置 ip 呢是幺九二点幺六八点五十点二五四，年满二十四， 该接口我们去配置它的安全区域是 d m z 区，把该接口加入到 d m z 区，一杠零杠 二，好，退出进入到接口一杠零杠一，该接口配置 ip， 这边是官网 ip 地址啊，连接互联网的地址， 然后 fair world 总这边呢是 untrust 区域最佳该接口的这个一杠零杠一好，这样的话我们 啊防火墙的这个接口和安全区我们配置好了啊，配置完成以后呢，我们需要去做安全策略啊，当然我们要做安全策略之前的话，还有一些需要做，比如说我们内部的路由，对吧？我需要去做，对不对？外部的进来的路由 啊，不是外部进来路由，防火墙上的路由到我的内部附近，这些路由我们全部都要去配，对吧？ 所以呢，我们所有电脑主机的网关在什么地方？在我们交换机上，所以呢，我在交换机上呢，就需要去配置我们出去的路由，对，这个防火墙是 usg 六千微啊， usg 六千微的防火墙， 然后我们下面在交换机上我们去配置路由。配置的路由，首先呢配置出去的路由是啥？因为我配置出去路由我们使用缺省路由啊，下一跳呢就是防火墙这边接口的 mc 幺九二零幺六八九幺零幺点二， 对于防火墙来讲，数据包，所有数据包送到 r s p， 所以呢在防火墙呢去配置我们所有出去的路遥送到运营商这边，一点一点 点二，好，对于防火墙来讲，那么我还有返程录，有，对不对啊？ 那返程路由的话，我们要到十网段，二十网段，三十网段、四十网段都要去，那么要到这些网段我们怎么去配啊？我们就要配置我们的返程路由啦，返程路由呢？他是明细路由， 对吧？幺九二点幺六八点十点零啊，野马呢？二十四位，那么我们要送到什么地方去？送到我们的交换机啊？送到交换机，交换机这边呢是幺九二零幺六八点幺零幺点幺， 当我们这里面大家可以发现我还有二十万段，三十万段，四十万段，所以呢，我在我的交换机防火墙上呢，可以直接去做一条 路由会所，咱们去做路由会所呢，我们去配置目的网站是幺九二点幺六八点零点零就行，只要是你的 ip 地址的。呃，前两位是幺九点幺六八啊，那么我呢就把这个数据包送给交换机， 这样话这个这条路由呢是一条汇总路由啊，你这样的话，有了这条路由，那么我刚才之前配置这条路由呢，就不需要， 你要到十网段，我同样能匹配到这条路由，到二十网段，三十网段、四十网段都能匹配到这条路由， 所以呢这个呢就极大的去减少我们防火墙上的路由调木啊，减少我防火墙的压力啊，工作压力，好吧，然后防火墙这边呢，我们还需要去配置策略， 对不对啊？要去配置策略，那配置策略的话，我们刚才说了内部主机访问互联网，那么我们需要去配置安全策略，这安全策略呢叫 secrete police， 然后在这里面去创建策略的名称啊，策略名称呢？内部 trust 区域到我们的互联网区域啊？ on trust 区域，那么这个呢指的是名称啊，这个名称大家能看到这个名称就知道 我是哪，从哪的数据流去访问哪的，从哪个区域访问哪个区域，对吧？现在我们在这里呢配置原区域是 trust 区域，目标区域呢是 on trust 区域，原地址就是我内部的地址，哪些地址允许房互联网？ 那么比如说如果你要去，嗯，所有的地址的话，我们 啊可以使用 any 啊，可以使用 any， 但是你要写这一条，如果你要写了 any 啊，其实我可以把这一条直接备用去写 啊，不用去写，如果你要写写具体的，那你就要写下面这些具体的这些地址啊，地址后面你就要写具体的地址了，对吧？那目的地址我们这里面呢就不用去设置。为什么？ 互联网的这个地址是不是太多了？你访问百，访问百度或访问哪一个网站，那地址太多了，你没办法去啊，没办法去统计是不是？那么在这里呢，还需要注意的就是有一个服务，一般内部主机要访问互联网的话，肯定访问互联网的，所以服，是吧？比如说你有可能要 看视频，有可能要搞语音啊，有可能你要去玩游戏，所以呢，他使用的端口号符号都不一样，这样我们就不用去设，不用去设就意味着我内部主机可以去访问我互联网的所有的服 啊。最后呢，去激活这个安全策略啊，去激活这个安全策略， action 啊， please 啊， premise。 这样的话，我们这一条的安全策略呢，完成以后 就可以实现什么呢？我内部的这些主机去访问互联网，这只是放行了。什么内部主机访问互联网的这个安全策略， 刚才我们还讲了，是不是啊，内部主机要去访问互联网的话，在出接头上呢，要做网络地址转换， 那么在防火墙这里面的话就是去配置什么？ net 策略 啊，就是。 net， please， 创建规则是一样的， t to u 是吧？下滑线 t to you 吧 原就是哪些哪些区域的主机能够访问互联网？当然就是 trust 区了，访问目的区域呢？就是 untrust 区了，对吧？原地址是哪些？就是我内部的所有地址都能访问，是吧？然后呢，我去激活这个原奈 这种原料子呢，我们使用的是 e z i p 的方式去激活啊。 e z i p 呢？指的是什么？就是我内部的主机私网地址到了防火墙到达的时候呢，它会 转换成我出接口的地址去仿互联网，出接口地址就是一点一点一啊，你要仿互联网，我马甲啊，全部变成一点一点一，好吧，这样的话，我们这个防火墙这一块的配置呢？就 啊，内部访问主机访问外部互联网的主机呢？我们的防火墙的配置呢？就是就完成了啊，完成了。当然我们这 sp 这边呢，我们也需要去配置，是不是啊？比如说 display ip 肉厅 display， 我们去检查一下这个 ip 二的这个接口 ip， 看一下对不对啊？一零零二和二点二零二是对的，这边 clint 三的 ip 地址呢，也是对的啊，好吧，那么在这里面我们去看一下，那么我的内部主 主机去访互联网，能不能去访互联网啊？那么我们再用技术部去拼一下互联网的这个主机 ipd 是多少呢？是二点二点二点一 啊。结果是什么？是不是通了呀？那么他通了，那么其他通不通啊？其他都很多啊，我们用 pc 三去试一下 pc 在哪去访问？二点二点二点一，你看我这个所有部门电脑都能访回来吗？

好，我们来讲下一个啊，这个 l t p ow， 而 p 赛特，呃，单纯的 led p 是没有加密功能的，我们可以配合 ip 赛特来结合，就是说 在 ip 赛特里面跑 l t p， 这样的话来够能能够用 ip 赛特来保护这个 l t p 的那个安全性，当然它的延迟会比 r t p p 会高一些， 那么我们来看一下怎么配吧。环境很简单 啊，跟之前一样，一个测试的环境，电脑用来接到这里测试，然后呢，这里借了，借了万瓦方 墙，然后有个踹死的一个电焖机，我们尽量是访问他的那个内网的电焖机功能电焖机去， 那么我们这里做的只是基本的对接，包括简单的安全策略，还有耐特工呢，其他的我们没有做，那么这个时候我们来做什么呢？首先我们还是老样子啊，先要放心 那个 x s 的到 logo 的流量这里注意啊，我们这里的流量多了很多，第一个我们多了呀，突击 p 啊呀，突击 p 是有的，在这个基础上面我们多了 一个 i k e 的第一阶段，也就是 s 看某 udp 的五百端口号以及 esp 这两个协议。 所以呢，你如果实在不确定的话，我啊那么建议大家就是直接 楼口，然后放行，我们到到这个门店我们不严格匹配他的服务了，我们直接这样放行就可以 可以了，然后我们配置 ip 赛的，呃， ip 标不 ip 赛的有两个地方可以配，第一个呢，我们这里可以看到有一个这个我们直接进入这个场地就可以配了。 还有我们在 ip 赛腾里面新降的时候有一个点到多点，我们可以选择 ltv p o vip 赛的，这样的话也是可以， 这个时候我们在，我们两两个都可以啊，我们这里就选一个，然后对端，我们不不选择，因为是那个，然后我们选择 paphone 恰谱都允许， 这里我新建一个地址，吃 app 幺九二点幺六八点幺零幺点一二幺九二点幺六八点幺零幺点二百五十， 好，从二开始吧。啊， dns 的话我们可以分配一个，或者说 啊这个 ds 有两个作用啊，就是说如果你的内网涉及到域名解析的话，我们需要给他分配一个内网的 ds， 让他能够解析内网的服务。还有一个就是说一旦你要突 tp 播录到防火墙的时候，你所有的流量都被引到的 朋友圈了，你需要上万网的话，你需要分配一个电 s k， 他按他从你这边的出口的电 s 出去，这样的话他才能够上万网。所以呢这有两个作用，如果你不分配的话，你会发现你上不了网的，所以呢这里注意一下， 然后加密的流量，这个流量就是我们原根部，我们都任意，然后协议呢，我们选 udp 端口号原端口幺七零幺，这个是 led p 的端口，我们选择确定，就是说 ip 赛特只加密 ltv 的流量，其他的我们不加密。然后这里有一个接受任意对端，任意的那个过来的那个客户端的那个安全加密协商的， 这样的话就不管你是安卓的也好，苹果的也好啊，微软的也好，都可以帮你协商，那么我们点击 好，这个时候我们可以来试一下啊啊，我们把这个删掉，我们重新建一个， 新建一个，然后选择连接到工作区域 啊，二零二点一百点一点一后天，然后我们 选择 led p 开始的一二三。哦，账号密码我们还没建立呢啊，我们来建立一下啊，账号密码的话，我们 我们这里有一个对象，里面有一个用户，我们在这里创建就行了。好，这里之前我是忘记删了啊，这里有一个也有个账号密码忘记删了。 当这个创建以后，我们首先选一下，之前我们这里选的是 led p， 那么我们这里选的是证书，那么这里不一样了啊，我们选择的是预贡小蜜药，我们输入那个蜜药， 然后还是一样选择未加密或者是那个，然后我们来连一下。好，已经连上了啊，怎么看我们用的是不是 ip 赛的呢？ 我们在这个详细信息里面你会发现有一个加密用的是 ip 赛的，用的是 a e s 一百二十八位的加密 啊。还有可以看的地方就是在网络这里有一个 ip 赛的，有一个监控，可以发现他的 ip 还可以协商，跟 ip 赛可协商都有，包括 led p p 里面有一个绘画都有。然后我们来拼一下呀，啊，那个幺九二点幺六八点两百点二，也就是我们的这一台服务器 啊，你会发现不通，因为我们我们刚刚只放行了。什么啊？只放行了，就是说当我们的流量从 发起到那个防火墙建立的流量，我们是放心的，但实际的流量从踹石的就建立后，他会从踹石的到达巅峰之一， 这个流量我们是没有放行的，所以呢，我们这边需要再添加一个策略，首创始的到 dmj， 我们允许 xs 到 dmj， 然后原地址，我们可以选什么呢？选那个要 ttp 的地址是那个就幺九二点幺六八点幺零幺点零 那个网段过来的，去往目的地，我们去往哪个呢？服务器的两百点二三十二，然后我们点确定， 这个时候我们再去拼，应该是可以了，你看 可以了啊，然后我们用外表来访问一下幺九二零幺 六八点两百点二啊，我看一下这个开了没有哦，等会啊， 我们我的八零没开，我开一下八零端口啊，然后我再访问一下，要加两百点两百点二。好，这个服务 ok， 就现在我已经播录到 内网里面，相当于在内网养，我可以访问任意的资源，只要你策略放心的得到，那就可以了啊。像苹果啊，苹果机他是必须得用 ltv p o vip 赛的的，因为他不支持纯 ltvp。 如果你是手机的话啊，手机安卓他是支持 led p 的，电脑端的话也支持。旧苹果的话，你只能用 vip p o wifi 的，如果你有平的或者 ipad 的这些的话，你只能说用这种方式来对接。

防火墙用 vivo 方式去配置，如何配置呢？我们在这里做一下模拟啊，因为我电脑主机呢，我们是有啊，有浏览器是吧？我们有浏览器呢来登录这台防火墙，但是浏览器要登录防火墙的话，我们需要把本地电脑 和我的这个防火墙呢要进行对接啊，进行对接，那我们怎么对接呢？呃，我们去添加一个云朵啊，然后对云朵呢进行做一下设置，比如说我添加一个 udp 的端口， 然后呢还要去添加一个本地的虚拟网卡，我的本地虚拟网卡是幺九幺六八幺三七点击啊，这个虚拟网卡添加好以后呢，我们在下面的入端口 连个号，这个地方呢改成二啊，上面是二，下面是一啊，这个方向不能反，不能反， 然后呢双向通道打勾点增加云朵呢，我们就填设置好了，然后我们要用这个网线呢和我们防火墙呢进行对接。 那对接以后呢，我连接到的这个端口是 g 零杠零杠零这个端口啊，这个端口呢我们要去放行他的一个权限啊，这个他这个权限是什么呢？啊？就是 h t t p s 啊，因为我防火墙我要通过浏览器方式登录的话 啊，我们使用防火浏览器的这个 s t t p s 这个协议呢去登录这台防火墙，那我们看一下怎么去做防火墙呢？它有一个 用户名，当然默认情况下他有用户名密码，后面这呢是我们修改后的密码，用户名密码， 然后呢第一次使用呢去修改密码啊， 嗯，确认性命吗？好，这样的话我们就配置完成是吧？配置完成以后呢，我们去进入系统识图修改设备的名称， s w e 啊， 防火墙呢？我们刚才讲啊，在 ge 零杠零杠零的接口上啊，去配置他的权限，是不是啊？ 它的一个管理层级啊？啊？它的它这个服务的管理呢，我们要去开启一个权限啊，就是 h t t p s 的权限啊，开启这个权限， 呃，开启这个全新以后，这个接口上呢要有一个 ip 地址啊，因为我们要通过浏览器的方式要登录到这个防火墙上， 真的这个接口上的 ip 呢，他有一个幺九二八零点一，是吧？但是我这边的虚拟网卡是幺九二幺六八幺三七点一，那我把这个接口上的 ip 呢，需要去改正一下，改成幺九二点幺六八点幺三七点二，在同一网段， 那么这个接口呢，它本身呢就是一个管理口啊，它本来就是一个管理口，所以呢这个接 接口呢，他默认有一个安全区域，就是 trust 区啊，就是说这个该区域呢，他是本身就默认增加在这个 trust 安全区里面，如果你要是不确定的话，你可以使用 cr words 纵， 然后呢 trust 区域，我们登录到这个区里面去看一下 display this。 其实我可以看到这里面呢，他追加了一个接口，就是 g 零杠零杠零啊，这个接口呢是加入到我的 trust 区域里去的，那么这样的话，我们 通过我们的浏览器啊，就可以来登录到这个防火墙上，比如说 sttps， 冒号两斜杠幺九二点幺六八点幺三七点， 注意他这里面的话是有个八四四三的一个端口号，你必须要写冒号八四四三，这样的话我们才能登录到我的这一台防火墙，你看点高级点继续访问， 那么需要去输入防火墙的用户名啊，密码呢？是我刚才修改后的那个密码， 这样的话我们就登陆到防火墙上了 啊。然后呢我们通过浏览器的方式呢对防火墙呢进行配置。

首先我们点这个防火墙的图标，然后把这个 usb 六千微把它拖出来，对他点开机，这个时候会报错，说他没有这个包，我们再选择这个包，然后再点导入，就可以把这个防火墙的系统把它导进来，我们就可以对他再选择启动， 他就可以正常的开机了，就不会说再爆刚才那个错了。但是防火墙的开机时间是会长一些，我们要耐心等待一下， 他这个井号呢走的时间确实比较长，完了以后咱们看到这个界面输入账号跟密码，这就呢已经进入了防火墙的这个配置界面了，就说明这个设备已经可以正常使用了。