2例子:防火墙与交换机连接的端口:e0/0/1,防火墙与Internet连接的端口:e0/0/0。 (1) 配置e0/0/0 和e/0/0/1的IP地址 system-view [Usg] interface ethernet 0/0/0 [Usg-Ethernet0/0/0] ip address 202.2.2.2 24 [Usg-Ethernet0/0/0] quit [Usg] interface ethernet 0/0/1 [Usg-Ethernet0/0/1] ip address 192.168.0.1 24 [Usg-Ethernet0/0/1] quit (2) 在配置e0/0/0 和e/0/0/1IP地址后,分别把两个接口加入相应的安全域。 system-view [Usg] firewall zone untrust [Usg-zone-untrust] add interface ethernet 0/0/0 [Usg-zone-untrust]quit [Usg] firewall zone trust [Usg-zone-trust] add interface ethernet 0/0/1 [Usg-zone-trust]quit (3) 打开trust和untrust两个域之间的包过滤 system-view [Usg]firewall packet default permit interzone trust untrust [Usg]quit (4) 配置路由 system-view [Usg]ip route-static 0.0.0.0 0.0.0.0 202.2.2.3 (5) 配置Nat,使内网用户可以上网。 system-view [Usg]acl 2999 [Usg-acl-2999]rule 0 permit source 192.168.0.0 0.0.0.255 [Usg-acl-2999]quit [Usg]nat address-group 1 202.2.2.2 202.2.2.2 [Usg]nat outbound 2999 address-group 1 [Usg]quit (6) 打开防火墙防范各种攻击的功能。 system-view [Usg]firewall defend all (7) 保存配置(配置完成必须保存,否则掉电配置丢失)。 system-view [Usg] quit save 输入Y,然后回车。