前面第一章把内网VLAN划分好了，并且VLAN之间已经做了互通或者ACL，第二章则把WIFI覆盖配置完毕，实现了不同的SSID连接不同的VLAN，今天我们来做一下华为防火墙的配置，一是上网策略，二是服务器端口映射，需要提醒大家的是，本章已经默认三层交换机和防火墙之间能够正常通讯，双向的默认路由都已经在第一章做过了，没看过第一章的朋友，可以先回头看一下。

华为防火墙的配置，以WEB方式为主进行讲解，将电脑IP地址手动设置为192.168.0.2，子网掩码：255.255.255.0，其他不必设置，浏览打开https://192.168.0.1:8443

华为防火墙登录界面

默认的用户名是admin，密码：Admin@123，第一次登录后，要求更改密码，密码要求有大小写英文字母和特殊符号，更改密码后会要求重新登录，然后才能进入配置界面

进入配置界面

1、编辑内网接口，内网接口IP配置为192.168.124.1 255.255.252.0，对应核心交换机里面配置的几个VLAN，注意内网接口的安全区域选择trust

配置内网接口

内网接口允许https和ping

2、编辑外网接口，填写运营商提供的IP地址，注意外网接口的安全区域选择untrust，为方便管理员在外网远程管理防火墙，勾选启用访问管理和https

允许管理员在外网配置防火墙

3、新建一条策略路由，下一跳地址填写宽带运营商提供的网关地址

新建策略路由

新建策略路由，下一跳地址是运营商的网关

4、新建一条安全策略，允许trust到untrust的访问，即允许内网所有设备连接internet

允许访问外网

经过以上步骤，内网计算机等联网设备就能正常上网了。

5、根据客户要求VLAN125禁止上外网，那么我们要做一条相应的安全策略，并且这条策略一定要放到刚才这条安全策略的上面！

禁止VLAN125上网

6、有几台服务器，软件供应商要在外网通过远程桌面的形式调试，我们需要在防火墙上做NAT策略

开放服务器3389端口，允许在外网远程桌面

通俗地讲，今天就是配置内网接入internet，并且禁止VLAN125访问internet，然后就是服务器的端口映射，明天我们将为出差员工配置拨入式的VPN，方便出差员工使用公司内部资源，感兴趣的朋友敬请关注和转发，谢谢！